Yanal Hareket Saldırılarını Kör Nokta Yapan Nedir?

Yanal hareket Saldırılar, günümüzün güvenlik yığınında, onları gerçek zamanlı olarak tespit edip önleyemeyen fiilen bir kör noktadır. Bu kör nokta, kullanıcı kimliklerini gerçekte oldukları gibi kabul etmek yerine kimlik korumasını uç noktaya, ağa ve bulut güvenliği ürünlerine devreden uzun süredir devam eden bir paradigmanın sonucudur (bağımsız bir yapı). saldırı yüzeyi bunun özel bir şekilde ele alınması ve korunması gerekir. Bu makalede, çeşitli kurumsal güvenlik paydaşlarının kendi güvenlik yığınları üzerinde düşünmelerini ve yanal hareket saldırılarına maruz kalma durumlarını değerlendirmelerini sağlamak amacıyla genel siber koruma bağlamında bu kör noktayı daha iyi analiz etmek ve anlamak için kavramsal bir çerçeve öneriyoruz.

Kısa Bir Yanal Hareket Özeti

Hasta-Sıfır'dan Ek Makinelere Genişleyen Dayanak

Yanal hareket, bir makinenin ilk uzlaşmasını izleyen saldırı aşamasını tanımlayan genel terimdir (AKA sıfır nolu hasta) ortamdaki ek makinelerde koda erişerek ve çalıştırarak. Çoğu durumda sıfır hasta ortamdaki diğer makinelerden daha savunmasız olmasına rağmen saldırının hedeflerini tek başına karşılayamadığı için yanal hareket gerçekleştirmek saldırgan için temel bir gerekliliktir. Bundan, ek makinelere erişme ve saldırının hedeflerini gerçekleştirmek için bir yol oluşturma ihtiyacı doğar.

Ele Geçirilmiş Kullanıcı Kimlik Bilgileri, Yanal Hareketin Temel Sağlayıcılarıdır

Peki makineden makineye hareket nasıl gerçekleşiyor? Kurumsal ortamda bunu yapmanın tek yolu vardır: kullanıcı kimlik bilgileriyle oturum açmak. Bu nedenle, tipik olarak hasta-sıfır uzlaşmasının ardından gelen şey, kullanıcı hesapları makinede oturum açmış olanlar ve kimlik bilgileri (birçok açık kaynaklı aracın ve CMD veya PowerShell komut dosyalarının gerçekleştirebileceği nispeten önemsiz bir görev). Saldırgan daha sonra çeşitli yönetici araçlarını kullanarak ortamdaki diğer makinelerin adlarını alabilir ve yeni elde edilen kimlik bilgileriyle bu makinelerde oturum açmayı deneyebilir. Başarılı olduktan sonra bu işlem bir sonraki makinede tekrarlanır ve bu şekilde devam eder. Birçok saldırının ortak yönlerinden biri, daha yüksek erişim ayrıcalıklarına ve Etki Alanı Denetleyicisine erişime sahip oldukları için yönetici kimlik bilgilerini avlama girişimidir.

Risk ve potansiyel hasar açısından, bir siber saldırıyı yerel bir olaydan kurumsal düzeyde bir olaya dönüştürmede yanal hareketin kilit bileşen olduğu kolayca görülebilir. Bununla birlikte, son on yılda siber güvenlikte kaydedilen önemli ilerlemelere rağmen, yanal hareket, kurumsal güvenlik yığınında hala bir kör noktadır ve kritik bir güvenlik açığı yaratmaktadır. Nedenini anlamak için siber güvenlik algılama ve önlemenin temel kavramları üzerinde düşünelim.

Saldırı Tespiti 101: Anormallik Faktörü

Çoğu durumda, kötü niyetli etkinlik meşru olandan farklıdır. Kötü amaçlı bir etkinliği tespit etmek için temel soru şudur: hangi anomaliyi oluşturur?

Bazı durumlarda, örneğin zaten kötü amaçlı olarak işaretlenmiş bir dosya imzası veya kötü amaçlı olduğu bilinen harici bir IP'ye giden ağ trafiği gibi, anomalinin izlenmesi kolaydır. Ancak tehdit aktörleri, bu anormallikleri olabildiğince ortadan kaldırmaya veya en azından en aza indirmeye çalışarak araçlarını sürekli olarak iyileştirir ve geliştirir. Bu nedenle, belirli bir açıdan tamamen normal bir aktiviteden oluşan, ancak başka bir açıdan anormal olan saldırıları sıklıkla görüyoruz. Örneğin, Chrome'daki bir güvenlik açığından yararlanan bellek bozulması, çalışan Chrome sürecini ele geçirdiği için bir dosya anormalliğini tetiklemez. Ancak, bellek içindeki işlem davranışı ve bunun işletim sistemiyle etkileşimi, normal Chrome yürütme akışından kökten farklıdır.

Saldırı Tespiti 102: Çok Yönlü Faktör

Ama yönler hakkında konuştuğumuzda ne demek istiyoruz? Yönleri, tek bir faaliyetin farklı perspektifleri olarak düşünebiliriz. Yürüten, uzak bir sunucuyla giden bir bağlantı açan ve ek bir dosya indiren kötü amaçlı bir yükün tipik bir senaryosunu ele alalım. bu uç nokta koruma yönü süreç davranışlarındaki ve dosya imzalarındaki anormallikleri arar. ağ koruma yönü ağ trafiğindeki anormallikleri arayacaktır. Sağlam bir güvenlik yığını, kötü niyetli etkinliğin tespit edilme şansını artırmak için mümkün olduğu kadar çok yönü içerecektir.

Tanım gereği bir açıdan meşru, diğer açıdan kötü niyetli saldırı vektörleri olduğu için, tek yönlü korumanın başarısız olması kaçınılmazdır. En basit örnek C2C iletişimidir. İşletim sisteminin başka herhangi bir yasal bağlantı için kullandığı işlemle aynı olduğundan, bağlantıyı açan dosya veya işlemde herhangi bir anormallik yoktur. Dolayısıyla, yalnızca son nokta yönüne güvenirsek, bu aktivite büyük olasılıkla tespit edilmeyecektir. Bununla birlikte, ağ trafiğiyle ilgili ağ yönü, hedef adresin kötü amaçlı olduğunu kolayca belirleyebilir ve bağlantıyı tamamen engelleyebilir.

Saldırı Önleme 101: Gerçek Zaman Faktörü

Kötü amaçlı etkinliğin tespiti ilk adımdır. Ancak, gerçek güvenlik değeri, önlemek or blok gerçek zamanlı olarak algılanan kötü amaçlı etkinlik. Bu şekilde, bir Uç Nokta Koruma Platformu (EPP), yalnızca çalışan bir işlemin kötü niyetli davranış içerip içermediğini belirleme yeteneğine sahip olmakla kalmaz, aynı zamanda bu işlemin yürütülmesini gerçek zamanlı olarak sonlandırma gücüne de sahiptir. Benzer şekilde, bir güvenlik duvarı hem belirli ağ trafiğinin kötü amaçlı olduğunu belirleyebilir hem de tamamen engelleyebilir.

Şimdi anomali, görünüş ve gerçek zamanlı faktörlerin nasıl eşleştiğini görelim. yanal hareket koruması.

Yanal Hareket Saldırısı ve Kimlik Saldırısı Yüzeyi

Yanal hareket saldırılarının bir kör nokta olmasının nedeni, uç nokta ve ağ güvenlik kontrollerinin içerdiği anomalileri tespit edecek yeterliliğe sahip olmaması ve gerçek zamanlı olarak bloke etme yeteneğinin olmamasıdır. Nedenini anlamak için daha derine inelim.

Yanal Hareket, Kimlik Temelli Bir Saldırıdır

Yanal hareket saldırıları, hedeflenen ortamdaki kaynaklarda (sunucular, iş istasyonları, uygulamalar vb.) oturum açmak için geçerli (henüz güvenliği ihlal edilmiş) kullanıcı kimlik bilgileri sağlanarak gerçekleştirilir. Bu şiddetli bir şekilde tanıtır algılama zorluğu kimlik doğrulamanın yanal hareket gerçekleştiren bir saldırgan tarafından gerçekleştirilmesi nedeniyle esasen meşru bir kullanıcı tarafından yapılan kimlik doğrulamayla aynıdır. Her ikisi de bir kimlik doğrulama süreci kimlik bilgilerinin bir kimlik sağlayıcıya iletilmesini içeren (örneğin Active Directory), onları doğrular ve bu doğrulamaya dayalı olarak erişim izni verir veya reddeder. Bu şekilde, bir yanal hareket saldırısı, özünde, meşru kimlik doğrulama altyapısını kötü amaçlı amaçlar için kullanan bir dizi kimlik doğrulamadır.

Yanal Hareket Algılama Zorluğu #1: Düşük Anormallik Faktörü

Bu, bir şeyle uğraştığımız anlamına gelir. çok düşük anomali faktörü başlamak için Kötü amaçlı bir kimlik doğrulama ile meşru bir kimlik doğrulama arasındaki tek fark, ilkinin bir saldırgan tarafından, ikincisinin ise kötü niyetli bir kullanıcı tarafından gerçekleştirilmesidir. Anormallik, kimlik doğrulamanın kendisinde değil, onu çevreleyen bağlamda bulunacağından, bu, çalışacak çok fazla anormallik marjı bırakmaz. Bu bağlamı ifşa etmenin neden uç nokta ve ağ koruma hususlarının kapsamı dışında olduğunu anlayalım.

Yanal Hareket Algılama Zorluğu #2: Uç Nokta ve Ağ Yönleri Uyuşmazlığı

Daha önce açıklandığı gibi, yanal hareket, güvenliği ihlal edilmiş bir makineden diğerine bir dizi kötü amaçlı kimlik doğrulamadır.

The uç nokta koruma yönü dosya ve işlem yürütmedeki anormalliklere odaklandığından, bu tür bir kimlik doğrulamanın kötü amaçlı olduğunu belirlemede etkili değildir. Bu yönü, tarif ettiğimiz benzerlikten dolayı herhangi bir anormalliği ortaya çıkaramaz. Örneğin, bir saldırgan PsExec sıfır hastadan bir dizi güvenliği ihlal edilmiş kimlik bilgileriyle başka bir makineye uzaktan bağlanmak için araç, başlatılan işlem PsExec.exe olacaktır - bu, aynı bağlantıyı gerçekleştirmek için meşru bir yönetici seçildiğinde başlatılacak olan işlemin aynısıdır.

The ağ koruma yönü aynı nedenden dolayı yanal hareketi algılamada yetersiz kalacaktır. Sıfır hastadan yeni makineye ağ trafiği, meşru bir yardım masasının bir çalışan için bir uç nokta sorununu uzaktan giderirken oluşturacağı trafiğe %100 benzer.

Yanal Hareketi Önleme Zorluğu #3: Uç Nokta ve Ağ Çözümlerinde Gerçek Zaman Faktörünün Eksikliği

Algılama zorluklarını kısmen aşmayı başardığımızı varsayalım. Hâlâ çözülmesi gereken kritik bir zorluk var: hem uç nokta hem de ağ koruma ürünlerinde gerçek zamanlı önleme özelliklerinin olmaması. EPP bir şekilde yürütülen bir işlemin herhangi bir şüpheye yer bırakmadan yanal bir hareket saldırısının gerçekleştiğini ima ettiğini belirlemeyi başarsa bile, bunu önlemek için hiçbir şey yapamaz. Teorik olarak, bir ağ çözümü ortamın sıkı bir şekilde bölümlenmesiyle bu önlemeyi sağlayabilirken, pratikte güvenliği ihlal edilmiş bölümün kendisinde yanal hareketi engellemeyecek veya genellikle bölümlemenin sınırlamalarından muaf olan güvenliği ihlal edilmiş yönetici kullanıcıları engellemeyecektir. .

Aslında, kurumsal BT yığınında gerçek zamanlı olarak yanal hareketi önleyebilen tek bileşen, çoğu şirket içi ortamda olması gereken Kimlik Sağlayıcının kendisidir. Active Directory.

Active Directory Tespit ve Önleme Boşlukları

AD, kimlik doğrulama sürecinin kendisini yönetir ve bir kaynağa erişim isteğinin verilip verilmediğini belirler. Herhangi bir yerde yanal harekete karşı herhangi bir gerçek zamanlı önleme bulunacaksa, orada olacaktır.

Ancak, iki büyük sorun, AD'nin gerçek zamanlı koruma görevini gerçekleştirmesini engeller. AD'nin gerçekleştirebileceği tek güvenlik kontrolü, kullanıcı kimlik bilgileri eşleşmesini doğrulamaktır - yanal hareket durumunda, eşleşme mevcut olduğu için bunun bir faydası yoktur (ilk etapta bu kimlik bilgilerini tehlikeye atmanın tüm amacı budur). Bu nedenle, gerçek zamanlı koruma potansiyeli yerine getirilemez çünkü AD onu ne zaman uygulayacağını asla bilemez.

Sonuç – Yanal Hareket Koruması Çıkmazı

Özetlemek gerekirse, uç nokta ve ağ koruması, yanal hareket saldırılarını etkin bir şekilde algılayamaz ve bunları önleme yeteneğine sahip değildir. Active Directory yanal bir hareket saldırısı ile meşru bir kimlik doğrulama arasında ayrım yapma yeteneğinden yoksundur, bu da koruma potansiyelini uykuda bırakır ve gerçek koruma için kullanılamaz. Çoğu kuruluşun güvenlik yığınlarını yanal hareketten önce gelen saldırı aşamalarını önlemek ve tespit edildikten sonra tepkisel olarak zararlarını en aza indirmek için tasarlamasının ana nedeni budur. Ancak yanal hareketin kendisi kontrol altına alınmaz veya ele alınmaz.

The Silverfort Yol: MFA ile Yanal Hareketi Gerçek Zamanlı Önleme

The Silverfort Unified Identity Protection platformu, yerel olarak entegre olarak yanal hareket saldırılarına karşı kesintisiz gerçek zamanlı önleme sağlayan ilk çözümdür. Active Directory hem risk analizi hem de güvenlik katmanı eklemek için Çok Faktörlü Kimlik Doğrulama (MFA). Hakkında daha fazla öğrenmek için Silverfort'nin yetenekleri, sayfamızı ziyaret edin Yanal Hareket Önleme Koruması sayfa veya zamanlama gösteri uzmanlarımızdan biriyle.