Il movimento laterale è il modo in cui gli autori di attacchi si spostano su più parti di una rete.
Dopo aver letto questo articolo sarai in grado di:
Argomenti correlati
Abbonati a theNET, il riepilogo mensile di Cloudflare sulle tematiche più discusse in Internet.
Copia link dell'articolo
Nella sicurezza di rete, lo spostamento laterale è il processo mediante il quale gli aggressori si diffondono da un punto di ingresso al resto della rete. Esistono molti metodi per riuscirci. Ad esempio, un attacco potrebbe iniziare con un malware sul computer desktop di un dipendente. Da lì, l'aggressore prova a muoversi lateralmente per infettare altri computer sulla rete, per infettare i server interni e così via fino a raggiungere l'obiettivo finale.
Gli aggressori mirano a spostarsi lateralmente inosservati. Ma anche se viene scoperta un'infezione sul dispositivo iniziale, o se vengono rilevate delle attività, l'aggressore può mantenere la propria presenza all'interno della rete se ha infettato un'ampia gamma di dispositivi.
Immaginiamo un gruppo di ladri che entrano in una casa attraverso una finestra aperta e poi si dirigono ciascuno in una stanza diversa della casa. Anche se un singolo ladro viene scoperto in una stanza, gli altri possono continuare a rubare oggetti. Allo stesso modo, lo spostamento laterale consente a un aggressore di entrare nelle varie "stanze" di una rete (server, endpoint, accesso alle applicazioni), rendendo l'attacco difficile da contenere.
Sebbene alcuni aspetti possano essere automatizzati, lo spostamento laterale è spesso un processo manuale diretto da un aggressore o da un gruppo di aggressori. Questo approccio pratico consente agli aggressori di adattare i propri metodi alla rete in questione. Ciò consente loro di rispondere rapidamente alle contromisure di sicurezza applicate dagli amministratori di rete e di sicurezza.
Lo spostamento laterale inizia con un punto di ingresso iniziale nella rete. Questo punto di ingresso potrebbe essere una macchina infetta da malware che si connette alla rete, un set di credenziali utente (nome utente e password) rubate, uno sfruttamento di vulnerabilità tramite una porta aperta di un server o una serie di altri metodi di attacco.
In genere, l'autore di un attacco stabilisce una connessione tra il punto di ingresso e il suo server di comando e controllo (C&C). Il server C&C invia comandi a qualsiasi malware installato e memorizza i dati raccolti dai dispositivi infetti da malware o controllati da remoto.
Una volta che l' autore di un attacco ha un punto d'appoggio su un dispositivo all'interno della rete, esegue la ricognizione. Scopre il più possibile sulla rete, compreso a cosa ha accesso il dispositivo compromesso e, se hanno compromesso l'account di un utente, quali sono i privilegi di quest'ultimo.
Il passo successivo che l'attaccante deve compiere per spostarsi lateralmente è un processo chiamato "escalation dei privilegi".
L'escalation dei privilegi si verifica quando un utente (legittimo o illegittimo) ottiene più privilegi di quelli che dovrebbe avere. Tale escalation a volte si verifica accidentalmente nella gestione delle identità e degli accessi (IAM) quando i privilegi utente non vengono tracciati e assegnati correttamente. Al contrario, gli aggressori sfruttano di proposito le falle nei sistemi per aumentare i loro privilegi su una rete.
Se sono entrati in una rete attraverso una vulnerabilità o un'infezione malware, gli autori di attacchi possono utilizzare un keylogger (che tiene traccia delle chiavi digitate dagli utenti) per rubare le credenziali dell'utente. Oppure potrebbero essere entrati inizialmente in una rete rubando le credenziali in un attacco di phishing. Indipendentemente da come ci riescono, gli aggressori partono con un set di credenziali e con i privilegi associati a quell'account utente. Il loro obiettivo è sfruttare al massimo quell'account, per poi passare ad altri computer e utilizzare strumenti di furto di credenziali per impossessarsi di altri account.
Per ottenere il tipo di accesso necessario a causare il massimo danno o raggiungere il proprio obiettivo, l'aggressore solitamente necessita di privilegi di amministratore. Quindi si sposta lateralmente attraverso la rete fino a quando non acquisisce le credenziali di amministratore. Una volta ottenute queste credenziali, in pratica ottiene il controllo sull'intera rete.
Durante tutto il processo di spostamento laterale, è probabile che l'aggressore presti molta attenzione alle contromisure adottate dal team di sicurezza dell'organizzazione. Ad esempio, se l'organizzazione scopre un'infezione da malware su un server e isola quel server dal resto della rete per mettere in quarantena l'infezione, l'aggressore potrebbe attendere un po' di tempo prima di eseguire ulteriori azioni, in modo che la sua presenza non venga rilevata su altri dispositivi.
Gli autori di attacchi possono installare delle backdoor per assicurarsi di poter rientrare nella rete se la loro presenza viene rilevata e rimossa con successo da tutti gli endpoint e server. Una backdoor è un accesso segreto a un sistema altrimenti sicuro.
Gli autori di attacchi provano anche a mimetizzare le loro attività nel normale traffico di rete, poiché un traffico di rete insolito potrebbe allertare gli amministratori della loro presenza. La mimetizzazione diventa più facile man mano che vengono compromessi altri account utente legittimi.
Molte categorie di attacchi si basano sullo spostamento laterale per raggiungere il maggior numero possibile di dispositivi o per spostarsi attraverso la rete fino al raggiungimento di un obiettivo specifico. Alcuni di questi tipi di attacco includono:
Queste misure preventive possono rendere lo spostamento laterale molto più difficile per gli aggressori:
I test di penetrazione possono aiutare le organizzazioni a chiudere le parti vulnerabili della rete che potrebbero consentire uno spostamento laterale. Nei test di penetrazione, un'organizzazione assume un hacker etico per sottoporre a stress test la propria sicurezza, tentando di penetrare il più in profondità possibile nella rete senza essere scoperto. L'hacker condivide poi le sue scoperte con l'organizzazione, che può utilizzare queste informazioni per correggere le falle di sicurezza da lui sfruttate.
La sicurezza Zero Trust è una filosofia di sicurezza di rete che per impostazione predefinita non si fida di nessun utente, dispositivo o connessione. Una rete Zero Trust presuppone che tutti gli utenti e i dispositivi rappresentino una minaccia e autentica nuovamente sia gli utenti che i dispositivi. Zero Trust utilizza anche un approccio con privilegi minimi per il controllo degli accessi e divide le reti in piccoli segmenti. Queste strategie rendono l'escalation dei privilegi molto più difficile per gli aggressori e rendono molto più semplice per gli amministratori della sicurezza rilevare e mettere in quarantena l'infezione iniziale.
La sicurezza degli endpoint prevede la scansione regolare dei dispositivi endpoint (computer desktop, laptop, smartphone, ecc.) con software anti-malware, tra le altre tecnologie di sicurezza.
IAM è un componente cruciale per prevenire lo spostamento laterale. I privilegi degli utenti devono essere gestiti attentamente: se gli utenti hanno più privilegi di quelli di cui hanno strettamente bisogno, le conseguenze di un'acquisizione dell'account diventano più gravi. Inoltre, l'utilizzo dell'autenticazione a due fattori (2FA) può aiutare a fermare lo spostamento laterale. In un sistema che utilizza l'autenticazione a due fattori, ottenere le credenziali dell'utente non è sufficiente per consentire a un aggressore di compromettere un account: l'aggressore deve rubare anche il token di autenticazione secondario, il che è molto più difficile.
Cloudflare One combina i servizi di rete con i servizi di sicurezza Zero Trust. Si integra con le soluzioni di gestione delle identità e di sicurezza degli endpoint per sostituire un insieme eterogeneo di prodotti di sicurezza con un'unica piattaforma che impedisce lo spostamento laterale e altri attacchi. Scopri di più su Cloudflare One e altre soluzioni di sicurezza della rete.