Muitas organizações ainda não investiram em uma solução de PAM porque podem ser caras e complexas. Embora isso seja verdade para algumas soluções de PAM legadas,
Para detectar o movimento lateral, as organizações precisam identificar atividades de rede anormais, mapear caminhos de movimento lateral, analisar o comportamento do usuário e verificar dispositivos desconhecidos. Se não for notado, o movimento lateral pode levar a violações de dados e à perda de dados altamente confidenciais. As organizações podem evitar o movimento lateral em sua rede aplicando o acesso de menor privilégio, implementando a confiança zero, segmentando redes e investindo em uma solução de PAM.
Continue lendo para saber mais sobre o movimento lateral, como ele funciona, como detectá-lo e como evitar o movimento lateral em uma rede.
O que é movimento lateral e como ele funciona?
O movimento lateral é uma técnica que cibercriminosos utilizam para se aprofundar em uma rede após obter acesso inicial. Cibercriminosos utilizam o movimento lateral para infectar vários dispositivos e contas, manter o acesso contínuo em toda a rede e obter privilégios maiores para acessar dados confidenciais. Eles dependem de uma organização que tenha o gerenciamento de acesso privilegiado (PAM) inadequado, no qual os privilégios são rastreados ou assinados inadequadamente.
Cibercriminosos obtêm acesso primeiro roubando credenciais de login ou explorando vulnerabilidades de segurança. Quando os cibercriminosos obtêm acesso à rede de uma organização sem serem detectados, eles tentam aumentar seus privilégios infectando outros dispositivos na rede, roubando credenciais de login de usuários privilegiados e passando por autorização com contas privilegiadas. Cibercriminosos se movem lateralmente pela rede até obter privilégios de nível administrativo para controlar toda a rede e obter acesso a ativos valiosos.
Como detectar o movimento lateral
Cibercriminosos tentam permanecer ocultos ao acessar e se mover lateralmente em uma rede. No entanto, as organizações podem detectar o movimento lateral utilizando o monitoramento em tempo real do comportamento do usuário e da rede. Aqui estão as maneiras como as organizações podem implementar o monitoramento em tempo real para detectar o movimento lateral em sua rede.
Identifique atividades de rede anormais
A principal maneira como cibercriminosos tentam permanecer não detectados é desativando as configurações de segurança e o software antivírus. Para identificar o movimento lateral, as organizações devem buscar atividades de rede anormais, como alterar as configurações de segurança, conexões com portas externas, uso de protocolos anormais e atividade de tráfego incomum na rede. Se uma organização notar qualquer dessas atividades de rede anormais, um cibercriminoso provavelmente comprometeu uma conta privilegiada com privilégios administrativos.
Mapeie caminhos de movimento lateral
As organizações precisam mapear caminhos de movimento lateral para identificar facilmente se qualquer movimento lateral está presente em sua rede e entender se contas privilegiadas foram comprometidas. Eles precisam analisar sua infraestrutura de dados e listar contas potencialmente direcionadas, como contas com acesso privilegiado, autenticação inadequada e privilégios gerenciados incorretamente. As organizações também devem buscar outras vulnerabilidades que podem levar ao movimento lateral.
Analise o comportamento do usuário
As organizações devem analisar o comportamento do usuário para detectar o movimento lateral. Eles precisam observar qualquer comportamento anormal do usuário, como:
- Várias tentativas de login de contas privilegiadas
- Horários, localizações e dispositivos de login anormais
- Acesso não autorizado a dados altamente confidenciais
- Compartilhamento de arquivos não autorizado
Verifique dispositivos desconhecidos
Algumas organizações exigem que seus funcionários utilizem seus próprios dispositivos para fazer seu trabalho. Isso pode resultar em muitos dispositivos desconhecidos se conectando à rede de sistemas e recursos de uma organização. No entanto, as organizações não devem confiar implicitamente em cada dispositivo que se conecta à sua rede. Eles precisam verificar cada dispositivo desconhecido que se conecta à sua rede para garantir que nenhum dos dispositivos seja utilizado por um cibercriminoso. Eles devem verificar o proprietário do dispositivo e monitorar sua atividade para confirmar que é de um funcionário, não um cibercriminoso.
6 maneiras de evitar o movimento lateral
Embora as organizações possam detectar o movimento lateral em sua rede, pode ser difícil remover usuários não autorizados, dependendo de quantos dispositivos foram controlados por cibercriminosos. As organizações precisam evitar que cibercriminosos obtenham acesso à sua rede e se movam lateralmente por ela. Aqui estão seis maneiras como as organizações podem evitar o movimento lateral.
Imponha o acesso de menor privilégio
O princípio do menor privilégio é um conceito de segurança cibernética que fornece aos usuários o acesso de rede necessário para as informações e sistemas que precisam para realizar suas funções, e não mais do que isso. Ao implementar o acesso de menor privilégio, as organizações limitam o acesso a dados confidenciais e os protegem contra uso indevido. O acesso de menor privilégio reduz os possíveis caminhos para uma violação de segurança e impede o movimento lateral. Se a conta de um usuário for comprometida, o cibercriminoso é limitado aos privilégios desse usuário e não pode obter acesso adicional à rede da organização.
Implemente a confiança zero
A confiança zero é uma estrutura de segurança que exige que todos os usuários e dispositivos verifiquem continuamente sua identidade e restringe seu acesso a sistemas de rede e dados. Ele elimina a confiança implícita e assume que cada dispositivo foi comprometido. A confiança zero é baseada em três princípios:
- Presuma a violação: a confiança zero presume que cada usuário que tenta entrar na rede de uma organização — humana ou máquina — pode ser comprometido e levar a uma violação de segurança.
- Verifique explicitamente: sob a confiança zero, todos os seres humanos e máquinas devem provar quem dizem ser antes de acessar a rede e os sistemas de uma organização.
- Garanta o menor privilégio: quando um usuário recebe acesso à rede de uma organização, ele recebe acesso apenas o suficiente para fazer seu trabalho, nem mais nem menos.
Ao seguir uma estrutura de confiança zero, as organizações podem reduzir sua superfície de ataque e evitar que cibercriminosos obtenham acesso inicial à sua rede. A confiança zero também torna mais difícil para cibercriminosos se moverem lateralmente sem serem detectados.
Exija a MFA
A autenticação multifator (MFA) é um protocolo de segurança que exige mais de um fator de autenticação para acessar a rede de uma organização. Um fator de autenticação pode ser algo que um usuário sabe, algo que ele tem ou algo que ele é. Quando a MFA está habilitada, os usuários geralmente fornecem suas credenciais de login juntamente com uma forma adicional de identificação, como um código de uso único.
As organizações devem exigir a MFA para acesso privilegiado à conta para fornecer um nível adicional de segurança e garantir que apenas usuários autorizados tenham permissão para acessar essas contas confidenciais. A exigência da MFA protege as organizações contra o movimento lateral, pois cibercriminosos não podem fornecer a autenticação adicional necessária para acessar contas privilegiadas.
Segmente redes
A segmentação de rede divide e isola partes da rede para controlar quem tem acesso a informações confidenciais. Esses segmentos são adaptados às necessidades dos diferentes usuários e podem se comunicar apenas entre si para funções empresariais. A segmentação de redes limita o acesso a toda a rede e impede que cibercriminosos se movam pela rede. As organizações também podem criar microsegmentações que são partes isoladas da rede em uma rede segmentada.
Mantenha softwares atualizados
Cibercriminosos tentam obter acesso inicial a uma organização explorando vulnerabilidades de segurança encontradas na infraestrutura de segurança da organização. Muitas vezes, eles buscam vulnerabilidades encontradas em softwares desatualizados. As organizações devem manter seus softwares atualizados para corrigir falhas de segurança e adicionar recursos de segurança que protegem melhor seus dispositivos. Isso reduzirá a oportunidade de movimento lateral.
Invista em uma solução de PAM
Uma solução de PAM é uma ferramenta que gerencia e protege contas com permissão para acessar dados e sistemas altamente confidenciais. Com uma solução de PAM, as organizações têm visibilidade total de toda a sua infraestrutura de dados e podem controlar a quantidade de acesso que cada usuário tem a dados confidenciais. Uma solução de PAM também pode dar às organizações informações sobre as práticas de senhas de um funcionário. As organizações podem garantir que os funcionários estejam utilizando senhas fortes para proteger suas contas e compartilhar apenas senhas com usuários autorizados.
Evite o movimento lateral com o Keeper®
O movimento lateral pode ser difícil de lidar se uma organização tiver um gerenciamento de acesso privilegiado inadequado. Se não forem atendidos, cibercriminosos podem obter acesso privilegiado a dados altamente confidenciais e roubar os ativos mais valiosos de uma organização. Para evitar o movimento lateral, as organizações precisam investir em uma solução de PAM para implementar o acesso de menor privilégio e a segurança de confiança zero.
Com uma solução de PAM, as organizações podem gerenciar suas contas privilegiadas, monitorar quem está acessando dados confidenciais e implementar medidas de segurança para proteger dados confidenciais. O KeeperPAM™ é uma solução de gerenciamento de acesso privilegiado de confiança zero e conhecimento zero que combina o Gerenciador de senhas empresarial Keeper, o Keeper Secrets Manager® e o Keeper Connection Manager®. Ele ajuda as organizações a reduzir sua superfície de ataque e proteger seus dados confidenciais contra os danos causados pelo movimento lateral.
Solicite uma demonstração do KeeperPAM para evitar que cibercriminosos utilizem o movimento lateral para roubar seus dados confidenciais.