Por vezes, quando um criminoso cibernético invade uma rede ou sistema, ele não se contenta em ficar naquele local. A intenção desses cibercriminosos é sempre conseguir o maior número de dados possíveis. Por isso, usam diversas técnicas para conseguir essas informações, sendo o movimento lateral uma delas.
Sendo assim, o local em que o criminoso “aterrissou” em seu ataque é muitas vezes visto apenas como uma porta de entrada. Acontece de alguns ataques se estenderem por dias, semanas ou até mesmo meses. Isso é possível por conta da movimentação que o invasor faz dentro do sistema.
Conhecer essa técnica e os ataques que utilizam dela para atingirem suas vítimas é fundamental para saber como proteger a rede e sistemas das empresas. Pensando nisso, preparamos esse conteúdo para alertar e educar nossos clientes.
Então, continue com a leitura até o final para não restar dúvidas e não perder nenhuma informação importante.
O que é movimento lateral?
Movimento lateral é o nome dado para o conjunto de técnicas que pessoas má intencionadas e criminosos cibernéticos usam para expandirem sua invasão nas redes e sistemas de uma empresa.
Como citado anteriormente, os invasores focam em um local para servir de ponto de partida. Quando conseguem se infiltrar na rede da empresa, passam a trabalhar com a movimentação lateral com o objetivo de penetrar mais profundamente nos sistemas e conseguir acessar informações confidenciais.
Os invasores se movimentam de forma lateral porque assim conseguem infectar mais dispositivos. Dessa forma, mesmo que a invasão seja descoberta, ou alguma atividade maliciosa seja detectada, o invasor consegue se manter na rede.
Ataques de movimento lateral facilitam a entrada dos invasores em diversos “locais” de uma rede, como por exemplo, servidores, endpoints, acesso ao aplicativo, entre outros. Assim, conter a invasão é mais difícil.
Normalmente, a movimentação lateral é feita de forma manual pelos invasores. Com isso, eles conseguem ajustar os métodos usados por eles, para que sejam responsivos a cada tipo de rede. Com isso, eles também conseguem responder rapidamente a contramedidas de segurança aplicadas quando sua presença é detectada.
Como funcionam os ataques de movimento lateral?
Como já deve ter ficado claro, o ataque de movimento lateral começa com ponto de entrada na rede. Não existe um padrão para esse ponto de entrada. Ele pode ser feito através de credenciais de usuário roubadas, exploração de vulnerabilidade na segurança, uma máquina infectada por um malware, entre outros.
Após conseguir entrar na rede, o invasor cria uma conexão entre a rede invadida e seu servidor de comando e controle. Esse servidor envia sinais para o malware instalado na rede com o objetivo de armazenar os dados coletados de dispositivos infectados.
Os invasores também estão sempre em alerta quanto às contramedidas da equipe de segurança cibernética da rede invadida.
Se o cibercriminoso percebe que sua presença foi identificada em um servidor e a empresa o desligou até que ele seja recuperado, o invasor irá esperar um tempo para agir novamente em outro dispositivo da rede. Dessa forma ele não levanta suspeitas de que mais máquinas estão infectadas.
Técnicas da movimentação lateral
Existem algumas técnicas que os invasores usam para conseguirem se movimentar lateralmente. Neste tópico vamos mostrar três das mais usadas por esses cibercriminosos.
A primeira delas é a LDAP Reconnaissance. Essa técnica é usada para que os invasores consigam entender o que tem na rede que pode ser do interesse deles. Para isso, eles usam o AD para descobrir usuários, grupos e computadores no ambiente invadido. Assim, eles conseguem elaborar um plano de como e quais locais invadir.
A segunda técnica mais usada é a Pass-the-hash. Como mencionado no início deste conteúdo, a intenção do invasor é sempre ter acesso a mais informações e mais dispositivos e locais.
Para isso, após conseguir o primeiro acesso, o invasor tentará comprometer outras contas para expandir seus direitos no sistema. É através do pass-the-hash que o invasor consegue acessar outras contas e expandir seus acessos.
E, por último, Kerberoasting. Essa técnica também é utilizada para a escalabilidade de privilégios dos invasores. Utilizando Kerberoasting, os invasores conseguem roubar credenciais dos usuários do AD.
Como se proteger dos ataques de movimento lateral
Agora que já ficou claro o que é e como funciona o movimento lateral, é preciso saber também como se proteger dessas ameaças. Existem algumas práticas que ajudam nesse quesito. Como, por exemplo, realizar testes de penetração.
Com o teste de penetração, a empresa fica ciente de todas as brechas na segurança da rede. Assim, é possível agir para corrigi-las e impedir que criminosos cibernéticos a usem como porta de entrada.
Use a segurança zero trust para aumentar a segurança e o controle de acesso. Isso é possível com o zero trust pois ela parte do princípio de que nenhum usuário, dispositivo ou conexão é confiável e usa uma abordagem de privilégios mínimos.
Usar a autenticação multifator também é uma boa forma de elevar a segurança da rede. Ela irá interromper a movimentação lateral, visto que saber apenas as informações de login do usuário não é o suficiente para que o invasor tenha acesso aos dados.
Manter os dispositivos e ferramentas atualizados, com patches recentes, também é recomendado. Máquinas desatualizadas tendem a ter mais falhas na segurança e por isso ficam mais vulneráveis a essas invasões.
Para aumentar ainda mais a segurança da rede da sua empresa, confira as soluções que a Setrix oferece e saiba como podemos ajudar!
Comments