ค้นหา

ภาษา

อะไรทำให้การโจมตีด้วยการเคลื่อนไหวด้านข้างกลายเป็นจุดบอด

กุมภาพันธ์ 23rd, 2022

หน้าแรก » บล็อก » อะไรทำให้การโจมตีด้วยการเคลื่อนไหวด้านข้างกลายเป็นจุดบอด

การเคลื่อนไหวด้านข้าง การโจมตีเป็นจุดบอดในกลุ่มการรักษาความปลอดภัยในปัจจุบัน ซึ่งไม่สามารถตรวจจับและป้องกันได้แบบเรียลไทม์ จุดบอดนี้เป็นผลมาจากกระบวนทัศน์ที่มีมายาวนานซึ่งมอบหมายการปกป้องข้อมูลประจำตัวให้กับผลิตภัณฑ์รักษาความปลอดภัยปลายทาง เครือข่าย และระบบคลาวด์ แทนที่จะยอมรับตัวตนของผู้ใช้ตามสิ่งที่พวกเขาเป็นจริงๆ - แบบสแตนด์อโลน พื้นผิวการโจมตี ที่ต้องได้รับการแก้ไขและป้องกันในลักษณะเฉพาะ ในบทความนี้ เราขอแนะนำกรอบแนวคิดเพื่อวิเคราะห์และทำความเข้าใจจุดบอดนี้ได้ดีขึ้นภายในบริบทโดยรวมของการป้องกันทางไซเบอร์ เพื่อให้ผู้มีส่วนได้ส่วนเสียด้านความปลอดภัยขององค์กรต่างๆ สามารถสะท้อนถึงกลุ่มการรักษาความปลอดภัยของตน และประเมินความเสี่ยงต่อการโจมตีการเคลื่อนไหวด้านข้าง

สารบัญ

  • สรุปการเคลื่อนไหวด้านข้างโดยย่อ
  • การตรวจจับการโจมตี 101: ปัจจัยความผิดปกติ
  • การตรวจจับการโจมตี 102: ปัจจัยหลายด้าน
  • การป้องกันการโจมตี 101: ปัจจัยตามเวลาจริง
  • การโจมตีด้วยการเคลื่อนไหวด้านข้างและพื้นผิวการโจมตีด้วยตัวตน
  • สรุป – การป้องกันการเคลื่อนไหวด้านข้าง Dead End
  • พื้นที่ Silverfort วิธี: การป้องกันการเคลื่อนไหวด้านข้างตามเวลาจริงด้วย MFA

    • สรุปการเคลื่อนไหวด้านข้างโดยย่อ

    ขยายฐานจากผู้ป่วยเป็นศูนย์ไปยังเครื่องจักรเพิ่มเติม

    การเคลื่อนไหวด้านข้างเป็นคำทั่วไปที่ใช้อธิบายระยะการโจมตีที่ตามหลังการประนีประนอมครั้งแรกของเครื่องจักร (หรือที่เรียกว่า ศูนย์ผู้ป่วย) โดยการเข้าถึงและรันโค้ดบนเครื่องเพิ่มเติมในสภาพแวดล้อม การเคลื่อนไหวด้านข้างเป็นสิ่งจำเป็นหลักสำหรับผู้โจมตี เนื่องจากในกรณีส่วนใหญ่ ผู้ป่วยจะเป็นศูนย์ ในขณะที่มีความเสี่ยงมากกว่าเครื่องจักรอื่นๆ ในสภาพแวดล้อม ไม่สามารถบรรลุวัตถุประสงค์ของการโจมตีได้ด้วยตัวมันเอง ด้วยเหตุนี้จึงจำเป็นต้องเข้าถึงเครื่องจักรเพิ่มเติมและสร้างเส้นทางเพื่อบรรลุวัตถุประสงค์ของการโจมตี

    ข้อมูลรับรองผู้ใช้ที่ถูกบุกรุกเป็นตัวเปิดใช้งานหลักของการเคลื่อนไหวด้านข้าง

    แต่การเคลื่อนย้ายจากเครื่องหนึ่งไปอีกเครื่องหนึ่งเกิดขึ้นได้อย่างไร? ในสภาพแวดล้อมขององค์กร มีเพียงวิธีเดียวเท่านั้นที่จะทำเช่นนี้: เข้าสู่ระบบด้วยข้อมูลประจำตัวผู้ใช้ ดังนั้น สิ่งที่มักจะตามมาหลังการประนีประนอมโดยผู้ป่วยเป็นศูนย์คือการค้นหา บัญชีผู้ใช้ ที่ล็อกอินเข้าสู่เครื่องและข้อมูลประจำตัว (เป็นงานที่ค่อนข้างเล็กน้อยที่เครื่องมือโอเพ่นซอร์สจำนวนมากและสคริปต์ CMD หรือ PowerShell สามารถทำได้) ผู้โจมตีสามารถใช้เครื่องมือผู้ดูแลระบบต่างๆ เพื่อรับชื่อของเครื่องอื่นๆ ในสภาพแวดล้อม และพยายามเข้าสู่ระบบด้วยข้อมูลประจำตัวที่ได้รับใหม่ เมื่อสำเร็จแล้ว กระบวนการนี้จะทำซ้ำในเครื่องถัดไปและอื่นๆ หนึ่งในเธรดที่พบบ่อยในการโจมตีหลายครั้งคือความพยายามที่จะค้นหาข้อมูลประจำตัวของผู้ดูแลระบบ เนื่องจากสิ่งเหล่านี้มีสิทธิ์การเข้าถึงที่สูงกว่าและการเข้าถึงตัวควบคุมโดเมน

    ในแง่ของความเสี่ยงและความเสียหายที่อาจเกิดขึ้น สังเกตได้ง่ายว่าการเคลื่อนไหวด้านข้างเป็นองค์ประกอบสำคัญในการเปลี่ยนการโจมตีทางไซเบอร์จากเหตุการณ์ในพื้นที่ให้กลายเป็นเหตุการณ์ระดับองค์กร อย่างไรก็ตาม แม้จะมีความก้าวหน้าอย่างมากในการรักษาความปลอดภัยทางไซเบอร์ในช่วงทศวรรษที่ผ่านมา การเคลื่อนไหวด้านข้างยังคงเป็นจุดบอดในการรักษาความปลอดภัยขององค์กร ซึ่งทำให้เกิดช่องว่างด้านความปลอดภัยที่สำคัญ เรามาพิจารณาแนวคิดหลักของการตรวจจับและป้องกันความปลอดภัยในโลกไซเบอร์เพื่อทำความเข้าใจว่าทำไม

    การตรวจจับการโจมตี 101: ปัจจัยความผิดปกติ

    ในกรณีส่วนใหญ่ กิจกรรมที่เป็นอันตรายจะแตกต่างจากกิจกรรมที่ถูกต้อง ในการตรวจจับกิจกรรมที่เป็นอันตราย คำถามสำคัญคือ มันสร้างความผิดปกติอะไร

    ในบางกรณี ความผิดปกติสามารถติดตามได้ง่าย ตัวอย่างเช่น ลายเซ็นไฟล์ที่ถูกตั้งค่าสถานะว่าเป็นอันตราย หรือทราฟฟิกเครือข่ายไปยัง IP ภายนอกที่ทราบว่าเป็นอันตราย แต่ผู้ก่อภัยคุกคามปรับแต่งและปรับปรุงเครื่องมือของตนอย่างต่อเนื่อง พยายามกำจัดหรืออย่างน้อยก็ลดความผิดปกติเหล่านี้ให้ได้มากที่สุด ดังนั้นเราจึงมักเห็นการโจมตีที่ประกอบด้วยกิจกรรมปกติอย่างสมบูรณ์ในแง่มุมหนึ่ง แต่มีลักษณะผิดปกติในอีกแง่มุมหนึ่ง ตัวอย่างเช่น การใช้ประโยชน์จากช่องโหว่ในหน่วยความจำที่เสียหายใน Chrome จะไม่ทำให้เกิดความผิดปกติในไฟล์ เนื่องจากมันจะจี้กระบวนการ Chrome ที่กำลังทำงานอยู่ อย่างไรก็ตาม พฤติกรรมของกระบวนการภายในหน่วยความจำและการโต้ตอบกับระบบปฏิบัติการนั้นแตกต่างอย่างสิ้นเชิงจากโฟลว์การดำเนินการของ Chrome ปกติ

    การตรวจจับการโจมตี 102: ปัจจัยหลายด้าน

    แต่เราหมายถึงอะไรเมื่อเราพูดถึงแง่มุมต่างๆ? เราสามารถนึกถึงแง่มุมต่าง ๆ เป็นมุมมองที่แตกต่างกันของกิจกรรมเดียว มาดูสถานการณ์ทั่วไปของเพย์โหลดที่เป็นอันตรายซึ่งดำเนินการ เปิดการเชื่อมต่อขาออกกับเซิร์ฟเวอร์ระยะไกล และดาวน์โหลดไฟล์เพิ่มเติม เดอะ ด้านการป้องกันปลายทาง ค้นหาความผิดปกติในพฤติกรรมของกระบวนการและลายเซ็นไฟล์ ในขณะที่ ด้านการป้องกันเครือข่าย จะมองหาความผิดปกติในการรับส่งข้อมูลเครือข่าย สแต็กการรักษาความปลอดภัยที่ดีจะรวมแง่มุมต่าง ๆ ให้มากที่สุดเพื่อเพิ่มโอกาสในการตรวจจับกิจกรรมที่เป็นอันตราย

    การป้องกันด้านเดียวมักจะล้มเหลว เนื่องจากมีเวกเตอร์การโจมตี ซึ่งตามคำนิยามแล้ว ถูกต้องตามกฎหมายในด้านหนึ่งและเป็นอันตรายในอีกประการหนึ่ง ตัวอย่างที่ง่ายที่สุดคือการสื่อสารแบบ C2C ไม่มีความผิดปกติในไฟล์หรือกระบวนการที่เปิดการเชื่อมต่อเนื่องจากเป็นไฟล์เดียวกับที่ระบบปฏิบัติการใช้สำหรับการเชื่อมต่อที่ถูกต้องอื่นๆ ดังนั้น หากเราพึ่งพาเฉพาะด้านปลายทาง กิจกรรมนี้น่าจะตรวจไม่พบ อย่างไรก็ตาม ลักษณะเครือข่ายที่เกี่ยวข้องกับทราฟฟิกเครือข่ายสามารถระบุได้อย่างง่ายดายว่าที่อยู่ปลายทางนั้นเป็นอันตรายและบล็อกการเชื่อมต่อทั้งหมด

    การป้องกันการโจมตี 101: ปัจจัยตามเวลาจริง

    การตรวจจับกิจกรรมที่เป็นอันตรายเป็นขั้นตอนแรก อย่างไรก็ตาม ค่าความปลอดภัยที่แท้จริงจะถูกส่งโดยความสามารถในการ ป้องกัน or ปิดกั้น กิจกรรมที่เป็นอันตรายที่ตรวจพบแบบเรียลไทม์ ในลักษณะดังกล่าว Endpoint Protection Platform (EPP) ไม่เพียงแต่สามารถระบุได้ว่ากระบวนการที่กำลังทำงานอยู่นั้นมีพฤติกรรมที่เป็นอันตรายหรือไม่ แต่ยังมีอำนาจในการยุติการดำเนินการของกระบวนการนี้แบบเรียลไทม์อีกด้วย ในทำนองเดียวกัน ไฟร์วอลล์สามารถระบุได้ว่าทราฟฟิกเครือข่ายบางอย่างเป็นอันตรายและปิดกั้นโดยสิ้นเชิง

    มาดูกันว่าความผิดปกติ ลักษณะ และปัจจัยตามเวลาจริงเชื่อมโยงกันอย่างไร การป้องกันการเคลื่อนไหวด้านข้าง.

    การโจมตีด้วยการเคลื่อนไหวด้านข้างและพื้นผิวการโจมตีด้วยตัวตน

    เหตุผลที่การโจมตีด้วยการเคลื่อนไหวด้านข้างเป็นจุดบอดเนื่องจากอุปกรณ์ปลายทางและการควบคุมความปลอดภัยของเครือข่ายไม่มีคุณสมบัติที่จำเป็นในการตรวจจับความผิดปกติที่เกี่ยวข้อง และไม่มีความสามารถในการบล็อกแบบเรียลไทม์ มาเจาะลึกเพื่อทำความเข้าใจว่าทำไม

    การเคลื่อนไหวด้านข้างเป็นการโจมตีตามเอกลักษณ์

    การโจมตีด้วยการเคลื่อนไหวด้านข้างจะดำเนินการโดยการให้ข้อมูลประจำตัวผู้ใช้ที่ถูกต้อง (แต่ถูกบุกรุก) เพื่อเข้าสู่ระบบทรัพยากร (เซิร์ฟเวอร์ เวิร์กสเตชัน แอพ ฯลฯ) ในสภาพแวดล้อมเป้าหมาย นี้ นำเสนอความรุนแรง ความท้าทายในการตรวจจับ เนื่องจากการตรวจสอบความถูกต้องดำเนินการโดยผู้โจมตีที่ทำการเคลื่อนไหวด้านข้าง โดยพื้นฐานแล้วจะเหมือนกับการรับรองความถูกต้องที่ทำโดยผู้ใช้ที่ถูกต้องตามกฎหมาย ทั้งสองนำมาซึ่ง กระบวนการตรวจสอบสิทธิ์ ซึ่งประกอบด้วยการส่งข้อมูลประจำตัวไปยังผู้ให้บริการข้อมูลประจำตัว (เช่น Active Directory) ที่ตรวจสอบความถูกต้องและอนุญาตหรือปฏิเสธการเข้าถึงตามการตรวจสอบความถูกต้องนี้ ในลักษณะนั้น การโจมตีด้วยการเคลื่อนไหวด้านข้างเป็นหัวใจหลักของชุดการตรวจสอบที่ใช้โครงสร้างพื้นฐานการตรวจสอบที่ถูกต้องตามกฎหมายเพื่อวัตถุประสงค์ที่เป็นอันตราย

    ความท้าทายในการตรวจจับการเคลื่อนไหวด้านข้าง #1: ปัจจัยความผิดปกติต่ำ

    ซึ่งหมายความว่าเรากำลังจัดการกับ ปัจจัยความผิดปกติต่ำมาก เริ่มต้นกับ. ข้อแตกต่างเพียงอย่างเดียวระหว่างการรับรองความถูกต้องที่เป็นอันตรายกับการรับรองความถูกต้องที่ถูกต้องคือ ผู้โจมตีจะดำเนินการในครั้งแรก ในขณะที่ผู้ใช้ที่เป็นอันตรายจะดำเนินการในภายหลัง ซึ่งไม่เหลือขอบความผิดปกติให้ใช้งานมากนัก เนื่องจากจะไม่พบความผิดปกติในการรับรองความถูกต้อง แต่จะพบในบริบทโดยรอบ มาทำความเข้าใจว่าทำไมการเปิดเผยบริบทนี้จึงอยู่นอกเหนือขอบเขตของจุดสิ้นสุดและการป้องกันเครือข่าย

    ความท้าทายในการตรวจจับการเคลื่อนไหวด้านข้าง #2: จุดสิ้นสุดและลักษณะเครือข่ายไม่ตรงกัน

    ตามที่อธิบายไว้ก่อนหน้านี้ การเคลื่อนไหวด้านข้างเป็นชุดของการพิสูจน์ตัวตนที่เป็นอันตรายจากเครื่องที่ถูกบุกรุกไปยังอีกเครื่องหนึ่ง

    พื้นที่ ด้านการป้องกันปลายทาง ไม่มีประสิทธิภาพในการระบุว่าการรับรองความถูกต้องดังกล่าวเป็นอันตราย เนื่องจากเน้นที่ความผิดปกติในการดำเนินการไฟล์และกระบวนการ ลักษณะนี้ไม่สามารถเปิดเผยความผิดปกติใด ๆ เนื่องจากความคล้ายคลึงกันที่เราได้อธิบายไว้ ตัวอย่างเช่น หากผู้โจมตีเลือกที่จะใช้ PsExec เครื่องมือสำหรับเชื่อมต่อระยะไกลจากศูนย์ผู้ป่วยไปยังเครื่องอื่นด้วยชุดข้อมูลประจำตัวที่ถูกบุกรุก กระบวนการที่เปิดใช้งานจะเป็น PsExec.exe ซึ่งเป็นกระบวนการเดียวกับที่จะเปิดตัวหากผู้ดูแลระบบที่ถูกต้องเลือกให้ทำการเชื่อมต่อเดียวกัน

    พื้นที่ ด้านการป้องกันเครือข่าย จะตรวจจับการเคลื่อนไหวด้านข้างได้ไม่ดีนักด้วยเหตุผลเดียวกัน การรับส่งข้อมูลเครือข่ายจากศูนย์ผู้ป่วยไปยังเครื่องใหม่นั้นคล้ายกับ 100% ที่โปรแกรมช่วยเหลือที่ถูกต้องตามกฎหมายจะสร้างเมื่อแก้ไขปัญหาจุดสิ้นสุดสำหรับพนักงานจากระยะไกล

    ความท้าทายในการป้องกันการเคลื่อนไหวด้านข้าง #3: การขาดปัจจัยแบบเรียลไทม์ภายในโซลูชันปลายทางและเครือข่าย

    สมมติว่าเราสามารถเอาชนะปัญหาการตรวจจับได้บางส่วน ยังคงมีความท้าทายที่สำคัญที่ต้องแก้ไข: การขาดความสามารถในการป้องกันแบบเรียลไทม์ที่ผลิตภัณฑ์ป้องกันปลายทางและเครือข่าย แม้ว่า EPP จะสามารถระบุได้ว่ากระบวนการที่ดำเนินการนั้นบอกเป็นนัยโดยไม่ต้องสงสัยเลยว่ามีการโจมตีด้วยการเคลื่อนไหวด้านข้าง แต่ก็ไม่สามารถทำอะไรเพื่อป้องกันได้ แม้ว่าในทางทฤษฎี โซลูชันเครือข่ายอาจสามารถให้การป้องกันนี้ด้วยการแบ่งส่วนสภาพแวดล้อมอย่างแน่นหนา แต่ในทางปฏิบัติ โซลูชันจะไม่ป้องกันการเคลื่อนไหวด้านข้างภายในส่วนที่ถูกบุกรุกเอง และจะไม่บล็อกผู้ใช้ที่เป็นผู้ดูแลระบบที่ถูกบุกรุกซึ่งโดยทั่วไปจะได้รับการยกเว้นจากข้อจำกัดของการแบ่งส่วน .

    ในความเป็นจริง ส่วนประกอบเดียวในสแต็ก IT ขององค์กรที่สามารถป้องกันการเคลื่อนไหวด้านข้างแบบเรียลไทม์คือผู้ให้บริการข้อมูลประจำตัว ซึ่งในสภาพแวดล้อมภายในองค์กรส่วนใหญ่จะเป็น Active Directory.

    Active Directory ช่องว่างในการตรวจจับและป้องกัน

    AD ควบคุมกระบวนการรับรองความถูกต้องและกำหนดว่าคำขอการเข้าถึงทรัพยากรนั้นได้รับอนุญาตหรือปฏิเสธ หากต้องการพบการป้องกันการเคลื่อนไหวด้านข้างตามเวลาจริงในทุกที่ ก็จะอยู่ที่นั่น

    อย่างไรก็ตาม ปัญหาหลักสองประการขัดขวางไม่ให้ AD ทำงานการป้องกันตามเวลาจริง การตรวจสอบความปลอดภัยเพียงอย่างเดียวที่ AD สามารถทำได้คือการตรวจสอบการจับคู่ข้อมูลประจำตัวของผู้ใช้ ในกรณีของการเคลื่อนไหวด้านข้าง จะไม่มีประโยชน์เพราะมีการจับคู่อยู่ (นั่นคือจุดประสงค์ทั้งหมดของการประนีประนอมข้อมูลประจำตัวเหล่านี้ในตอนแรก) ดังนั้น ศักยภาพของการป้องกันตามเวลาจริงจึงไม่สามารถบรรลุผลได้ เนื่องจาก AD จะไม่มีทางรู้ว่าจะใช้เมื่อใด

    สรุป – การป้องกันการเคลื่อนไหวด้านข้าง Dead End

    กล่าวโดยสรุป การป้องกันอุปกรณ์ปลายทางและเครือข่ายไม่สามารถตรวจจับการโจมตีจากการเคลื่อนไหวด้านข้างได้อย่างมีประสิทธิภาพ และไม่มีความสามารถในการป้องกันการโจมตีเหล่านั้น Active Directory ขาดความสามารถในการแยกแยะระหว่างการโจมตีด้วยการเคลื่อนไหวด้านข้างและการพิสูจน์ตัวตนที่ถูกต้อง ซึ่งปล่อยให้ศักยภาพในการป้องกันอยู่เฉยๆ และไม่สามารถใช้สำหรับการป้องกันที่แท้จริงได้ นี่คือเหตุผลหลักว่าทำไมองค์กรส่วนใหญ่จึงออกแบบสแต็คการรักษาความปลอดภัยเพื่อป้องกันขั้นตอนการโจมตีที่มาก่อนการเคลื่อนไหวด้านข้าง และลดความเสียหายให้เหลือน้อยที่สุดหลังจากตรวจจับได้ แต่การเคลื่อนไหวด้านข้างนั้นไม่ได้ถูกบรรจุหรือแก้ไข

    พื้นที่ Silverfort วิธี: การป้องกันการเคลื่อนไหวด้านข้างตามเวลาจริงด้วย MFA

    พื้นที่ Silverfort แพลตฟอร์ม Unified Identity Protection เป็นโซลูชันแรกที่นำเสนอการป้องกันการโจมตีด้วยการเคลื่อนไหวด้านข้างแบบเรียลไทม์อย่างไร้รอยต่อโดยการผสานรวมกับ Active Directory เพื่อเพิ่มชั้นความปลอดภัยทั้งการวิเคราะห์ความเสี่ยงและ การรับรองความถูกต้องหลายปัจจัย (ม.ป.ป). หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับ Silverfortความสามารถของเยี่ยมชมของเรา การป้องกันการป้องกันการเคลื่อนไหวด้านข้าง หน้าหรือกำหนดการก สาธิต กับหนึ่งในผู้เชี่ยวชาญของเรา

    พร้อมสำหรับการสาธิต?
    ลงทะเบียนวันนี้

    โพสต์ล่าสุด

    พฤษภาคม 2nd ฮิต

    Silverfort เตรียมเปิดตัวการวิจัยที่ RSA 2024: การใช้ MITM เพื่อหลีกเลี่ยงวิธีการรับรองความถูกต้องสมัยใหม่ไปยัง SSO

    เมษายน 24th, 2024

    5 วิธีในการเพิ่มสุขอนามัย AD ของคุณด้วย Silverfort  

    มีนาคม 26th, 2024

    รายงาน Identity Underground: ข้อมูลเชิงลึกเกี่ยวกับช่องว่างด้านความปลอดภัยของข้อมูลประจำตัวที่สำคัญที่สุด  

    มีนาคม 2nd, 2024

    การป้องกัน MFA สำหรับเครือข่าย Air-Gapped
    ดูเพิ่มเติม

    ช่องทางการติดต่อ

    หยุดการคุกคามตัวตนเดี๋ยวนี้