Al fine di rilevare un movimento laterale, le aziende devono individuare le attività di rete anomale, mappare i percorsi dei movimenti laterali, analizzare il comportamento degli utenti e verificare i dispositivi sconosciuti. Se passa inosservato, un movimento laterale può spesso portare violazioni e perdite di dati altamente sensibili. Le aziende possono prevenire i movimenti laterali all’interno della loro rete applicando l’accesso con privilegi minimi, implementando il modello zero-trust, segmentando le reti e investendo in una soluzione PAM.
Che cos’è un movimento laterale e come funziona?
Un movimento laterale è una tecnica utilizzata dai cybercriminali per muoversi più in profondità all’interno di una rete una volta ottenuto l’accesso iniziale. I cybercriminali utilizzano i movimenti laterali per infettare più dispositivi e account, mantenere l’accesso continuo su tutta la rete e ottenere ulteriori privilegi per accedere ai dati sensibili. Sfruttano le organizzazioni con una scarsa gestione degli accessi privilegiati (PAM), in cui i privilegi vengono tracciati o assegnati in modo improprio.
I cybercriminali prima accedono rubando le credenziali o sfruttando le vulnerabilità nella sicurezza. Una volta che i cybercriminali hanno ottenuto l’accesso alla rete di un’azienda senza essere stati rilevati, cercano di ottenere maggiori privilegi infettando altri dispositivi all’interno della rete, rubando le credenziali di accesso degli utenti con privilegi e aggirando l’autorizzazione grazie ad account con privilegi. I cybercriminali si muovono lateralmente sulla rete fino a quando non ottengono privilegi di amministratore al fine di controllare l’intera rete e accedere ad asset di valore.
Come rilevare un movimento laterale
I cybercriminali cercano di rimanere nascosti quando accedono e si muovono lateralmente su una rete. Tuttavia, le organizzazioni possono rilevare i movimenti laterali mediante il monitoraggio in tempo reale del comportamento degli utenti e della rete. Ecco i modi in cui le organizzazioni possono implementare il monitoraggio in tempo reale per rilevare i movimenti laterali all’interno della loro rete.
Individuare attività di rete anomale
Il modo più comune in cui i cybercriminali cercano di passare inosservati è disattivando le impostazioni di sicurezza e i software antivirus. Per individuare i movimenti laterali, le organizzazioni devono cercare eventuali attività di rete anomale, come modifiche delle impostazioni di sicurezza, connessioni a porte esterne, utilizzo di protocolli anomali e attività di traffico inusuali sulla rete. Se un’azienda nota una di queste attività di rete anomale, è molto probabile che un cybercriminale abbia compromesso un account con privilegi di amministratore.
Mappare i percorsi dei movimenti laterali
Le organizzazioni devono mappare i percorsi dei movimenti laterali per individuare facilmente la presenza di un movimento laterale nella rete e capire se gli account con privilegi sono stati compromessi. Devono esaminare la propria infrastruttura di dati ed elencare gli account potenzialmente presi di mira, come ad esempio gli account di accesso con privilegi, con un’autenticazione scarsa e con privilegi gestiti in modo errato. Inoltre, le organizzazioni devono cercare altre vulnerabilità che potrebbero risultare in movimenti laterali.
Analizzare il comportamento degli utenti
Le organizzazioni devono analizzare il comportamento degli utenti al fine di rilevare i movimenti laterali. Devono prestare attenzione a eventuali comportamenti anomali degli utenti, come ad esempio:
- Tentativi di accesso multipli di account con privilegi
- Tempi di accesso, posizioni e dispositivi anomali
- Accesso non autorizzato a dati altamente sensibili
- Condivisione di file non autorizzata
Verificare i dispositivi sconosciuti
Alcune organizzazioni richiedono ai loro dipendenti di utilizzare i propri dispositivi per svolgere il loro lavoro. Ciò può causare numerosi dispositivi sconosciuti che si connettono alla rete di sistemi e risorse di un’azienda. Tuttavia, le aziende non devono fidarsi implicitamente di ogni dispositivo che si connette alla loro rete. Devono verificare ogni dispositivo sconosciuto per assicurarsi che nessuno dei dispositivi sia utilizzato da un cybercriminale. Devono verificare il proprietario del dispositivo e monitorarne l’attività per confermare che si tratta di un dipendente, non di un cybercriminale.
6 modi per prevenire i movimenti laterali
Sebbene le organizzazioni siano in grado di rilevare i movimenti laterali all’interno della loro rete, rimuovere gli utenti non autorizzati in base al numero di dispositivi attaccati potrebbe essere difficile. Le aziende devono impedire ai cybercriminali di accedere alla loro rete e di muoversi lateralmente attraverso di essa. Ecco sei modi in cui si possono prevenire i movimenti laterali.
Applicare l’accesso con privilegi minimi
Il principio dei privilegi minimi è un concetto di sicurezza informatica che concede agli utenti solo l’accesso alla rete sufficiente per usufruire delle informazioni e dei sistemi di cui hanno bisogno per svolgere il proprio lavoro. Implementando l’accesso con privilegi minimi, le organizzazioni possono limitare l’accesso ai dati sensibili e proteggerli dall’uso improprio. L’accesso con privilegi minimi riduce i potenziali percorsi per una violazione della sicurezza e impedisce i movimenti laterali. Se l’account di un utente viene compromesso, il cybercriminale si limiterà ai privilegi di tale utente e non potrà accedere più in profondità nella rete dell’azienda.
Implementare il modello zero-trust
Il modello zero-trust è un framework di sicurezza che richiede a tutti gli utenti e dispositivi di verificare continuamente la loro identità e di limitare il loro accesso ai sistemi e ai dati di rete. Elimina la fiducia implicita e suppone che ogni dispositivo sia stato compromesso. Lo zero-trust si basa su tre principi:
- Supporre una violazione: lo zero-trust implica che ogni utente che cerca di entrare nella rete di un’azienda, sia esso umano o macchina, potrebbe essere stato compromesso e causare una violazione della sicurezza.
- Verificare esplicitamente: in base al modello zero-trust, tutti devono dimostrare di essere chi dicono di essere prima di poter accedere alla rete e ai sistemi di un’azienda.
- Garantire i privilegi minimi: una volta che un utente viene autorizzato ad accedere alla rete di un’azienda, gli verrà fornito l’accesso sufficiente per svolgere il suo lavoro, né di più né di meno.
Seguendo un framework zero-trust, le organizzazioni possono ridurre la loro superficie di attacco e impedire ai cybercriminali l’accesso iniziale alla rete. Inoltre, lo zero-trust rende più difficile per i cybercriminali muoversi lateralmente senza essere rilevati.
Richiedere l’MFA
L’autenticazione a più fattori (MFA) è un protocollo di sicurezza che richiede più di un fattore di autenticazione per accedere alla rete di un’azienda. Un fattore di autenticazione può essere qualcosa che un utente sa, qualcosa che ha o qualcosa che è. Abilitando l’MFA, gli utenti generalmente devono fornire le proprie credenziali di accesso insieme a un’ulteriore forma di identificazione, come un codice singolo.
Le organizzazioni devono richiedere l’MFA per l’accesso agli account con privilegi al fine di fornire un ulteriore livello di sicurezza e assicurarsi che solo gli utenti autorizzati possano accedere a questi account sensibili. L’MFA è in grado di proteggere le organizzazioni dai movimenti laterali poiché i cybercriminali non possono fornire l’autenticazione aggiuntiva necessaria per accedere agli account con privilegi.
Segmentare le reti
La segmentazione della rete divide e isola le parti della rete al fine di controllare chi può accedere alle informazioni sensibili. Questi segmenti sono personalizzati in base alle esigenze dei diversi utenti e possono comunicare tra loro solo per le funzioni aziendali. La segmentazione delle reti limita l’accesso all’intera rete e impedisce ai cybercriminali di muoversi all’interno di essa. Le aziende possono anche creare micro-segmentazioni, ovvero delle parti isolate della rete all’interno di una rete segmentata.
Mantenere il software aggiornato
I cybercriminali cercheranno di ottenere l’accesso iniziale a un’organizzazione sfruttando le vulnerabilità nella sicurezza presenti all’interno della sua infrastruttura di sicurezza. Spesso, cercano le vulnerabilità presenti nei software obsoleti. Le aziende devono mantenere i software aggiornati per correggere le falle nella sicurezza e aggiungere funzionalità di sicurezza che proteggono meglio i loro dispositivi. In questo modo, è possibile ridurre le opportunità di movimento laterale.
Investire in una soluzione PAM
Una soluzione PAM è uno strumento che gestisce e protegge gli account con il permesso di accedere a dati e sistemi altamente sensibili. Grazie a una soluzione PAM, le organizzazioni possono avere una visibilità completa sull’intera infrastruttura dei dati, oltre che controllare il numero di accessi ai dati sensibili da concedere a ciascun utente. Una soluzione PAM può anche fornire alle organizzazioni una panoramica delle pratiche in materia di password di un dipendente. Le aziende possono accertarsi che i dipendenti utilizzino password forti per proteggere i loro account e che condividano le password solo con gli utenti autorizzati.
Previeni i movimenti laterali con Keeper®
I movimenti laterali possono essere difficili da affrontare se un’azienda dispone di una scarsa gestione degli accessi privilegiati. Se riescono a passare inosservati, i cybercriminali possono ottenere l’accesso privilegiato ai dati altamente sensibili e rubare gli asset più preziosi di un’organizzazione. Al fine di prevenire i movimenti laterali, le aziende devono investire in una soluzione PAM per implementare l’accesso con privilegi minimi e la sicurezza zero-trust.
Con una soluzione PAM, le organizzazioni possono gestire i loro account con privilegi, monitorare chi accede ai dati sensibili e implementare misure di sicurezza al fine di proteggere i dati sensibili. KeeperPAM™ è una soluzione di gestione degli accessi privilegiati zero-trust e zero-knowledge che combina Keeper Enterprise Password Manager, Keeper Secrets Manager® e Keeper Connection Manager®. Aiuta le organizzazioni a ridurre la loro superficie di attacco e a proteggere i loro dati sensibili dai danni causati dai movimenti laterali.
Fonte: Keeper Security