O que faz com que o movimento lateral ataque um ponto cego?

Movimento lateral os ataques são efetivamente um ponto cego na pilha de segurança atual, que não consegue detectá-los e impedi-los em tempo real. Este ponto cego é o resultado de um paradigma duradouro que delega a proteção de identidade aos produtos de segurança de endpoint, rede e nuvem, em vez de reconhecer as identidades dos usuários pelo que elas realmente são – uma solução autônoma. superfície de ataque que devem ser abordados e protegidos de maneira dedicada. Neste artigo, sugerimos uma estrutura conceitual para melhor analisar e compreender esse ponto cego no contexto geral da proteção cibernética, a fim de permitir que diversas partes interessadas na segurança corporativa reflitam sobre sua pilha de segurança e avaliem sua exposição a ataques de movimento lateral.

Uma breve recapitulação do movimento lateral

Expandindo a base do paciente zero para máquinas adicionais

Movimento lateral é o termo geral para descrever o estágio de ataque que se segue a um comprometimento inicial de uma máquina (também conhecido como paciente zero) acessando e executando código em máquinas adicionais no ambiente. Realizar movimentos laterais é uma necessidade fundamental para o invasor, pois na maioria dos casos o paciente zero, embora seja mais vulnerável que outras máquinas no ambiente, não consegue por si só satisfazer os objetivos do ataque. Daí surge a necessidade de acessar máquinas adicionais e formar um caminho para cumprir os objetivos do ataque.

Credenciais de usuário comprometidas são os principais facilitadores do movimento lateral

Mas como ocorre o movimento de máquina para máquina? Em um ambiente corporativo, só há uma maneira de fazer isso: efetuar login com credenciais de usuário. Portanto, o que normalmente seguiria o compromisso do paciente zero é uma busca pelo contas de usuário que estão conectados à máquina e suas credenciais (uma tarefa relativamente trivial que muitas ferramentas de código aberto e scripts CMD ou PowerShell podem executar). O invasor pode então usar várias ferramentas administrativas para obter os nomes de outras máquinas no ambiente e tentar fazer login nelas com as credenciais recém-obtidas. Uma vez bem sucedido, este processo é repetido na próxima máquina e assim por diante. Um dos tópicos comuns a muitos ataques é a tentativa de caçar credenciais de administrador, uma vez que estas têm privilégios de acesso mais elevados e acesso ao Controlador de Domínio.

Em termos de risco e danos potenciais, é fácil perceber que o movimento lateral é o componente chave para transformar um ataque cibernético de um evento local num incidente de nível empresarial. No entanto, apesar dos avanços significativos realizados na segurança cibernética durante a última década, o movimento lateral ainda é um ponto cego na pilha de segurança empresarial, criando uma lacuna de segurança crítica. Vamos refletir sobre os principais conceitos de detecção e prevenção de segurança cibernética para entender por quê.

Detecção de ataque 101: o fator de anomalia

Na maioria dos casos, a atividade maliciosa difere de uma atividade legítima. Para detectar uma atividade maliciosa, a questão essencial é que anomalia isso gera?

Em alguns casos, a anomalia é fácil de rastrear – por exemplo, uma assinatura de arquivo que já foi sinalizada como maliciosa ou tráfego de rede para um IP externo que é sabidamente malicioso. Mas os agentes de ameaças refinam e melhoram continuamente as suas ferramentas, esforçando-se para eliminar ou pelo menos minimizar estas anomalias tanto quanto possível. Assim, muitas vezes vemos ataques que consistem numa atividade completamente normal num determinado aspecto, mas que são anómalos noutro. Por exemplo, uma exploração de corrupção de memória de uma vulnerabilidade no Chrome não desencadeia uma anomalia de arquivo, pois sequestra o processo em execução do Chrome. No entanto, o comportamento do processo na memória e sua interação com o sistema operacional difere radicalmente do fluxo normal de execução do Chrome.

Detecção de ataque 102: o fator multiaspecto

Mas o que queremos dizer quando falamos de aspectos? Podemos pensar nos aspectos como diferentes perspectivas de uma única atividade. Vejamos um cenário típico de uma carga maliciosa que é executada, abre uma conexão de saída com um servidor remoto e baixa um arquivo adicional. O aspecto de proteção de endpoint procura anomalias nos comportamentos do processo e nas assinaturas dos arquivos, enquanto o aspecto de proteção de rede procuraria anomalias no tráfego da rede. Uma pilha de segurança sólida incluiria tantos aspectos quanto possível para aumentar as chances de detecção de atividades maliciosas.

A proteção de um único aspecto está fadada ao fracasso porque existem vetores de ataque que, por definição, são legítimos num aspecto e maliciosos noutro. O exemplo mais simples é a comunicação C2C. Não há anomalia no arquivo ou processo que abre a conexão, pois é o mesmo que o sistema operacional utiliza para qualquer outra conexão legítima. Portanto, se confiarmos apenas no aspecto do endpoint, esta atividade provavelmente passaria despercebida. No entanto, o aspecto da rede relacionado ao tráfego de rede determinaria facilmente que o endereço de destino é malicioso e bloquearia completamente a conexão.

Prevenção de ataques 101: o fator em tempo real

A detecção de atividades maliciosas é o primeiro passo. No entanto, o valor real da segurança é fornecido pela capacidade de evitar or quadra a atividade maliciosa detectada em tempo real. Dessa forma, uma plataforma de proteção de endpoint (EPP) é capaz não apenas de determinar se um processo em execução apresenta comportamento malicioso, mas também tem o poder de encerrar a execução desse processo em tempo real. Da mesma forma, um firewall pode determinar se determinado tráfego de rede é malicioso e também bloqueá-lo completamente.

Vamos ver agora como a anomalia, o aspecto e os fatores em tempo real são mapeados em proteção de movimento lateral.

Ataque de Movimento Lateral e Superfície de Ataque de Identidade

A razão pela qual os ataques de movimento lateral são um ponto cego é que os controles de segurança de endpoint e de rede não possuem o aspecto necessário para detectar as anomalias implicadas e não têm a capacidade de bloqueá-los em tempo real. Vamos nos aprofundar para entender o porquê.

O movimento lateral é um ataque baseado em identidade

Os ataques de movimento lateral são realizados fornecendo credenciais de usuário válidas (mas comprometidas) para fazer login em recursos (servidores, estações de trabalho, aplicativos, etc.) no ambiente alvo. Esse introduz uma grave desafio de detecção porque a autenticação realizada por um invasor que realiza movimentação lateral é essencialmente idêntico a uma autenticação feita por um usuário legítimo. Ambos implicam uma processo de autenticação que compreende passar credenciais para um provedor de identidade (por exemplo Active Directory), que os valida e concede ou nega acesso com base nessa validação. Dessa forma, um ataque de movimento lateral é basicamente uma série de autenticações que utilizam a infraestrutura de autenticação legítima para fins maliciosos.

Desafio de detecção de movimento lateral nº 1: um fator de baixa anomalia

Isso significa que estamos lidando com um fator de anomalia muito baixo começar com. A única diferença entre uma autenticação maliciosa e uma legítima é que a primeira é realizada por um invasor, enquanto a segunda é realizada por um usuário mal-intencionado. Isso não deixa muita margem de anomalia para trabalhar, uma vez que a anomalia não seria encontrada na autenticação em si, mas sim no contexto circundante. Vamos entender por que a divulgação desse contexto está além do escopo dos aspectos de endpoint e proteção de rede.

Desafio de detecção de movimento lateral nº 2: incompatibilidade de aspectos de endpoint e rede

Conforme explicado anteriormente, o movimento lateral é uma série de autenticações maliciosas de uma máquina comprometida para outra.

A aspecto de proteção de endpoint não é eficiente em determinar que tal autenticação é maliciosa porque se concentra em anomalias na execução de arquivos e processos. Este aspecto não pode revelar nenhuma anomalia devido à semelhança que descrevemos. Se, por exemplo, um invasor optar por empregar o PsExec ferramenta para conectar remotamente do paciente zero a outra máquina com um conjunto de credenciais comprometidas, o processo iniciado será PsExec.exe – que é o mesmo processo que seria iniciado se um administrador legítimo tivesse escolhido para realizar a mesma conexão.

A aspecto de proteção de rede seria insuficiente na detecção de movimento lateral pelo mesmo motivo. O tráfego de rede do paciente zero até a nova máquina é 100% semelhante ao que um helpdesk legítimo geraria ao solucionar remotamente um problema de endpoint para um funcionário.

Desafio de prevenção de movimentos laterais nº 3: A falta do fator de tempo real em soluções de endpoint e de rede

Suponhamos que conseguimos superar parcialmente as dificuldades de detecção. Ainda há um desafio crítico a resolver: a falta de capacidades de prevenção em tempo real tanto nos produtos de proteção de terminais como de rede. Mesmo que o EPP consiga de alguma forma determinar que um processo executado implica sem qualquer dúvida que está a ocorrer um ataque de movimento lateral, não pode fazer nada para o impedir. Embora teoricamente uma solução de rede possa ser capaz de fornecer essa prevenção com segmentação rígida do ambiente, na prática ela não impedirá o movimento lateral dentro do próprio segmento comprometido, nem bloqueará usuários administradores comprometidos que normalmente estão isentos das limitações da segmentação .

Na verdade, o único componente da pilha de TI empresarial que pode impedir o movimento lateral em tempo real é o próprio Provedor de Identidade, que na maioria dos ambientes locais seria Active Directory.

Active Directory Lacunas de detecção e prevenção

O AD governa o próprio processo de autenticação e determina se uma solicitação de acesso a um recurso é concedida ou negada. Se alguma prevenção em tempo real contra movimentos laterais pudesse ser encontrada em qualquer lugar, ela estaria lá.

No entanto, dois problemas principais inibem o AD de executar a tarefa de proteção em tempo real. A única verificação de segurança que o AD pode realizar é validar a correspondência entre as credenciais do usuário – no caso de movimento lateral não adianta porque a correspondência existe (esse é o propósito de comprometer essas credenciais em primeiro lugar). Portanto, o potencial da proteção em tempo real não pode ser alcançado porque o AD nunca saberá quando aplicá-la.

Conclusão – Beco sem saída de proteção de movimento lateral

Resumindo, a proteção de endpoint e de rede não consegue detectar com eficiência ataques de movimento lateral e não tem a capacidade de evitá-los. Active Directory não tem a capacidade de discernir entre um ataque de movimento lateral e uma autenticação legítima, o que deixa seu potencial de proteção inativo e incapaz de ser usado para proteção real. Esta é a principal razão pela qual a maioria das organizações arquiteta sua pilha de segurança para evitar os estágios de ataque que antecedem o movimento lateral e minimizar reativamente seus danos após sua detecção. Mas o movimento lateral em si não é contido nem abordado.

A Silverfort Maneira: Prevenção em Tempo Real de Movimento Lateral com MFA

A Silverfort A plataforma Unified Identity Protection é a primeira solução a fornecer prevenção contínua e em tempo real de ataques de movimento lateral, integrando-se nativamente com Active Directory para adicionar uma camada de segurança de análise de risco e Autenticação multi-fator (MFA). Para aprender mais sobre Silverfortcapacidades, visite nosso Proteção de Prevenção de Movimento Lateral página ou agende um demonstração com um de nossos especialistas.