Cos'è lo spostamento laterale?

Cos'è lo spostamento laterale?

Nella sicurezza di rete, lo spostamento laterale è il processo mediante il quale gli aggressori si diffondono da un punto di ingresso al resto della rete. Esistono molti metodi per riuscirci. Ad esempio, un attacco potrebbe iniziare con un malware sul computer desktop di un dipendente. Da lì, l'aggressore prova a muoversi lateralmente per infettare altri computer sulla rete, per infettare i server interni e così via fino a raggiungere l'obiettivo finale.

Gli aggressori mirano a spostarsi lateralmente inosservati. Ma anche se viene scoperta un'infezione sul dispositivo iniziale, o se vengono rilevate delle attività, l'aggressore può mantenere la propria presenza all'interno della rete se ha infettato un'ampia gamma di dispositivi.

Immaginiamo un gruppo di ladri che entrano in una casa attraverso una finestra aperta e poi si dirigono ciascuno in una stanza diversa della casa. Anche se un singolo ladro viene scoperto in una stanza, gli altri possono continuare a rubare oggetti. Allo stesso modo, lo spostamento laterale consente a un aggressore di entrare nelle varie "stanze" di una rete (server, endpoint, accesso alle applicazioni), rendendo l'attacco difficile da contenere.

Sebbene alcuni aspetti possano essere automatizzati, lo spostamento laterale è spesso un processo manuale diretto da un aggressore o da un gruppo di aggressori. Questo approccio pratico consente agli aggressori di adattare i propri metodi alla rete in questione. Ciò consente loro di rispondere rapidamente alle contromisure di sicurezza applicate dagli amministratori di rete e di sicurezza.

Come avviene lo spostamento laterale?

Lo spostamento laterale inizia con un punto di ingresso iniziale nella rete. Questo punto di ingresso potrebbe essere una macchina infetta da malware che si connette alla rete, un set di credenziali utente (nome utente e password) rubate, uno sfruttamento di vulnerabilità tramite una porta aperta di un server o una serie di altri metodi di attacco.

In genere, l'autore di un attacco stabilisce una connessione tra il punto di ingresso e il suo server di comando e controllo (C&C). Il server C&C invia comandi a qualsiasi malware installato e memorizza i dati raccolti dai dispositivi infetti da malware o controllati da remoto.

Una volta che l' autore di un attacco ha un punto d'appoggio su un dispositivo all'interno della rete, esegue la ricognizione. Scopre il più possibile sulla rete, compreso a cosa ha accesso il dispositivo compromesso e, se hanno compromesso l'account di un utente, quali sono i privilegi di quest'ultimo.

Il passo successivo che l'attaccante deve compiere per spostarsi lateralmente è un processo chiamato "escalation dei privilegi".

Escalation dei privilegi

L'escalation dei privilegi si verifica quando un utente (legittimo o illegittimo) ottiene più privilegi di quelli che dovrebbe avere. Tale escalation a volte si verifica accidentalmente nella gestione delle identità e degli accessi (IAM) quando i privilegi utente non vengono tracciati e assegnati correttamente. Al contrario, gli aggressori sfruttano di proposito le falle nei sistemi per aumentare i loro privilegi su una rete.

Se sono entrati in una rete attraverso una vulnerabilità o un'infezione malware, gli autori di attacchi possono utilizzare un keylogger (che tiene traccia delle chiavi digitate dagli utenti) per rubare le credenziali dell'utente. Oppure potrebbero essere entrati inizialmente in una rete rubando le credenziali in un attacco di phishing. Indipendentemente da come ci riescono, gli aggressori partono con un set di credenziali e con i privilegi associati a quell'account utente. Il loro obiettivo è sfruttare al massimo quell'account, per poi passare ad altri computer e utilizzare strumenti di furto di credenziali per impossessarsi di altri account.

Per ottenere il tipo di accesso necessario a causare il massimo danno o raggiungere il proprio obiettivo, l'aggressore solitamente necessita di privilegi di amministratore. Quindi si sposta lateralmente attraverso la rete fino a quando non acquisisce le credenziali di amministratore. Una volta ottenute queste credenziali, in pratica ottiene il controllo sull'intera rete.

Mimetizzazione e contromisure durante lo spostamento laterale

Durante tutto il processo di spostamento laterale, è probabile che l'aggressore presti molta attenzione alle contromisure adottate dal team di sicurezza dell'organizzazione. Ad esempio, se l'organizzazione scopre un'infezione da malware su un server e isola quel server dal resto della rete per mettere in quarantena l'infezione, l'aggressore potrebbe attendere un po' di tempo prima di eseguire ulteriori azioni, in modo che la sua presenza non venga rilevata su altri dispositivi.

Gli autori di attacchi possono installare delle backdoor per assicurarsi di poter rientrare nella rete se la loro presenza viene rilevata e rimossa con successo da tutti gli endpoint e server. Una backdoor è un accesso segreto a un sistema altrimenti sicuro.

Gli autori di attacchi provano anche a mimetizzare le loro attività nel normale traffico di rete, poiché un traffico di rete insolito potrebbe allertare gli amministratori della loro presenza. La mimetizzazione diventa più facile man mano che vengono compromessi altri account utente legittimi.

Quali tipi di attacchi utilizzano lo spostamento laterale?

Molte categorie di attacchi si basano sullo spostamento laterale per raggiungere il maggior numero possibile di dispositivi o per spostarsi attraverso la rete fino al raggiungimento di un obiettivo specifico. Alcuni di questi tipi di attacco includono:

• Ransomware: gli autori di attacchi ransomware mirano a infettare quanti più dispositivi possibile per assicurarsi il massimo potere decisionale per richiedere il pagamento di un riscatto. In particolare, il ransomware prende di mira i server interni che contengono dati cruciali per i processi quotidiani di un'organizzazione. Ciò garantisce che, una volta attivata, l'infezione ransomware danneggerà gravemente le operazioni dell'organizzazione, almeno temporaneamente.
• Esfiltrazione dei dati: l'esfiltrazione dei dati è il processo di spostamento o copia di dati da un ambiente controllato senza autorizzazione. Gli autori di attacchi estraggono dati per diversi motivi: per rubare proprietà intellettuale, per ottenere dati personali per commettere furti di identità o per trattenere i dati rubati a scopo di estorsione, come in un attacco doxware o in alcuni tipi di attacchi ransomware. Gli autori di attacchi di solito devono spostarsi lateralmente da un punto iniziale di compromissione per raggiungere i dati desiderati.
• Spionaggio: gli stati-nazione, i gruppi organizzati di criminalità informatica o le aziende rivali possono avere tutti le loro ragioni per monitorare le attività all'interno di un'organizzazione. Se l'obiettivo di un attacco è lo spionaggio piuttosto che il puro guadagno finanziario, gli aggressori cercheranno di rimanere inosservati e integrati nella rete il più a lungo possibile. Ciò è in contrasto con gli attacchi ransomware, in cui l'aggressore desidera attirare l'attenzione sulle proprie azioni per ricevere un riscatto. Si differenzia anche dall'esfiltrazione di dati, in cui l'aggressore potrebbe non preoccuparsi di essere scoperto una volta ottenuti i dati che stava cercando.
• Infezione da botnet: gli autori di attacchi possono aggiungere i dispositivi di cui prendono il controllo a una botnet. Le botnet possono essere utilizzate per vari scopi dannosi; in particolare, sono comunemente utilizzate negli attacchi DDoS (Distributed Denial-of-Service). Lo spostamento laterale aiuta l'autore di un attacco ad aggiungere quanti più dispositivi possibile alla propria botnet, rendendola più potente.

Come fermare lo spostamento laterale

Queste misure preventive possono rendere lo spostamento laterale molto più difficile per gli aggressori:

I test di penetrazione possono aiutare le organizzazioni a chiudere le parti vulnerabili della rete che potrebbero consentire uno spostamento laterale. Nei test di penetrazione, un'organizzazione assume un hacker etico per sottoporre a stress test la propria sicurezza, tentando di penetrare il più in profondità possibile nella rete senza essere scoperto. L'hacker condivide poi le sue scoperte con l'organizzazione, che può utilizzare queste informazioni per correggere le falle di sicurezza da lui sfruttate.

La sicurezza Zero Trust è una filosofia di sicurezza di rete che per impostazione predefinita non si fida di nessun utente, dispositivo o connessione. Una rete Zero Trust presuppone che tutti gli utenti e i dispositivi rappresentino una minaccia e autentica nuovamente sia gli utenti che i dispositivi. Zero Trust utilizza anche un approccio con privilegi minimi per il controllo degli accessi e divide le reti in piccoli segmenti. Queste strategie rendono l'escalation dei privilegi molto più difficile per gli aggressori e rendono molto più semplice per gli amministratori della sicurezza rilevare e mettere in quarantena l'infezione iniziale.

La sicurezza degli endpoint prevede la scansione regolare dei dispositivi endpoint (computer desktop, laptop, smartphone, ecc.) con software anti-malware, tra le altre tecnologie di sicurezza.

IAM è un componente cruciale per prevenire lo spostamento laterale. I privilegi degli utenti devono essere gestiti attentamente: se gli utenti hanno più privilegi di quelli di cui hanno strettamente bisogno, le conseguenze di un'acquisizione dell'account diventano più gravi. Inoltre, l'utilizzo dell'autenticazione a due fattori (2FA) può aiutare a fermare lo spostamento laterale. In un sistema che utilizza l'autenticazione a due fattori, ottenere le credenziali dell'utente non è sufficiente per consentire a un aggressore di compromettere un account: l'aggressore deve rubare anche il token di autenticazione secondario, il che è molto più difficile.

Cloudflare One combina i servizi di rete con i servizi di sicurezza Zero Trust. Si integra con le soluzioni di gestione delle identità e di sicurezza degli endpoint per sostituire un insieme eterogeneo di prodotti di sicurezza con un'unica piattaforma che impedisce lo spostamento laterale e altri attacchi. Scopri di più su Cloudflare One e altre soluzioni di sicurezza della rete.