Che cos'è il movimento laterale?

Il movimento laterale è una tecnica che gli attaccanti utilizzano per muoversi attraverso una rete dopo aver ottenuto l'accesso iniziale a un sistema. Invece di rimanere su un singolo dispositivo compromesso, gli attaccanti si spostano su altri computer, server o risorse cloud per espandere l'accesso, aumentare i privilegi e accedere a dati sensibili o infrastrutture critiche. Questa tecnica è comunemente osservata negli attacchi informatici avanzati, inclusi gli incidenti di ransomware e le violazioni di dati, perché consente agli attaccanti di aumentare la portata e l'impatto di un'intrusione.

Perché i criminali informatici usano il movimento laterale?

I criminali informatici raramente si fermano al primo sistema che compromettono. Al contrario, usano quella base iniziale per esplorare l'intero ambiente e identificare obiettivi più preziosi all'interno della rete. Attraverso questa esplorazione, gli aggressori possono capire meglio come sono connessi i sistemi e dove sono archiviati i dati sensibili.

Accesso a sistemi di maggior valore

L'accesso iniziale viene spesso ottenuto tramite endpoint di minor valore, come le postazioni di lavoro dei dipendenti. Da lì, gli aggressori si spostano lateralmente per raggiungere i sistemi che archiviano dati sensibili, come database, server di file o sistemi finanziari. Questi sistemi spesso contengono informazioni che possono essere rubate, alterate o utilizzate per interrompere le attività aziendali. Espandendosi oltre il punto di ingresso iniziale, gli aggressori aumentano il potenziale impatto di una violazione e ottengono l'accesso a risorse più critiche. Raggiungere sistemi di maggior valore consente inoltre agli attaccanti di mantenere la persistenza all'interno della rete ed eseguire azioni malevole senza essere immediatamente rilevati.

Elevazione dei privilegi

Molti sistemi limitano ciò a cui un account utente standard può accedere. Per superare queste limitazioni, gli attaccanti cercano di ottenere livelli più elevati di permessi mentre si muovono nella rete. Questo processo può includere metodi come lo sfruttamento di vulnerabilità software o il furto di credenziali. L'elevazione dei privilegi consente agli aggressori di assumere il controllo di sistemi aggiuntivi, accedere a dati riservati e operare con meno limiti. Con privilegi elevati, gli attaccanti possono aggirare le misure di sicurezza, creare nuovi account o modificare i sistemi per rafforzare la loro posizione all'interno dell'ambiente.

Raggiungere i controller di dominio o le infrastrutture critiche

Negli ambienti aziendali, i controller di dominio e i sistemi di amministrazione svolgono un ruolo fondamentale nella gestione degli accessi e dell'autenticazione. Gli attaccanti spesso prendono di mira questi sistemi per ottenere un ampio controllo sulla rete. Poiché questi sistemi gestiscono identità e permessi degli utenti, comprometterli può permettere agli aggressori di impersonare utenti legittimi e muoversi più liberamente nell'ambiente. A questo livello di accesso, gli attaccanti potrebbero essere in grado di interrompere i servizi o mantenere un controllo a lungo termine sui sistemi.

Distribuzione di ransomware o esfiltrazione di dati

Quando gli attaccanti riescono a muoversi lateralmente all'interno di una rete, spesso si avvicinano alla fase finale del loro attacco. Dopo aver individuato le risorse di valore, gli hacker potrebbero diffondere ransomware su più sistemi o sottrarre dati sensibili. Distribuire ransomware su più sistemi contemporaneamente può rendere il recupero più difficile e aumentare la pressione sulle organizzazioni affinché paghino un riscatto. Muovendosi prima lateralmente, gli attaccanti possono massimizzare l'impatto e aumentare l'efficacia del loro attacco.

Fasi comuni del movimento laterale

Il movimento laterale tipicamente segue una progressione strutturata mentre gli attaccanti espandono il loro accesso all'interno di una rete.

Compromissione iniziale

L'attacco inizia quando un sistema viene compromesso per la prima volta, il che può avvenire tramite phishing, lo sfruttamento di vulnerabilità o l'uso di credenziali rubate. Questa base iniziale fornisce agli attaccanti un punto di partenza da cui penetrare all'interno della rete.

Ricognizione interna

Una volta all'interno, gli aggressori raccolgono informazioni sull'ambiente. Ciò include la mappatura della rete, l'identificazione di sistemi ad alto valore e la scoperta di account utente e relazioni di fiducia. Le informazioni raccolte durante questo passaggio aiutano gli aggressori a determinare dove spostarsi successivamente e quali sistemi sono più preziosi.

Accesso alle credenziali

Gli attaccanti cercano di ottenere credenziali valide che permettano loro di autenticarsi su altri sistemi. Questo può includere il credential dumping, il recupero di password o il furto di token di autenticazione. L'uso di credenziali legittime aiuta gli attaccanti a integrarsi nel normale traffico di rete ed evitare di attivare avvisi di sicurezza.

Elevazione dei privilegi

Dopo aver ottenuto l'accesso ad altri account, gli aggressori tentano di aumentare il loro livello di accesso sfruttando configurazioni errate o abusando degli account di servizio. Privilegi più elevati consentono agli aggressori di controllare un maggior numero di sistemi, accedere a risorse sensibili ed eseguire azioni che normalmente sarebbero limitate.

Pivoting laterale

Con accesso elevato, gli attaccanti si spostano tra i sistemi all'interno della rete. Questo può includere l'accesso ai file server, l'ingresso negli ambienti Active Directory o il raggiungimento di controller di dominio. In alcuni casi, gli attaccanti possono anche passare a ambienti cloud connessi o ibridi, estendendo così la portata dell'attacco.

Esecuzione dell'obiettivo

Una volta che gli attaccanti raggiungono il bersaglio, portano a termine il loro obiettivo. Questo può includere l'esfiltrazione dei dati, la distribuzione di ransomware o l'instaurazione della persistenza per un accesso continuo.

Tecniche comuni utilizzate nel movimento laterale

Gli attaccanti utilizzano una varietà di tecniche per muoversi tra i sistemi riducendo al minimo il rischio di essere rilevati:

  • Pass-the-hash: gli attaccanti riutilizzano hash delle password rubate per autenticarsi su altri sistemi senza bisogno della password originale. Questa tecnica è specifica degli ambienti che utilizzano l'autenticazione NTLM e ha un'efficacia limitata dove Kerberos è rigorosamente applicato.
  • Pass-the-ticket: i ticket Kerberos vengono utilizzati per impersonare utenti legittimi e accedere alle risorse di rete.
  • Remote Desktop Protocol (RDP): gli attaccanti utilizzano credenziali valide per accedere remotamente ai sistemi tramite RDP, un protocollo legittimo di accesso remoto spesso preso di mira perché ampiamente abilitato negli ambienti aziendali.
  • Windows Management Instrumentation (WMI): gli hacker usano questo strumento integrato in Windows per eseguire comandi da remoto su diversi sistemi.
  • PowerShell remoting: questa tecnica consente di eseguire comandi e script su macchine remote.
  • Sfruttamento SMB: gli aggressori sfruttano i protocolli di condivisione file per spostarsi tra i sistemi.
  • Furto di chiavi SSH e dirottamento della sessione: negli ambienti Linux, gli hacker potrebbero rubare le chiavi private SSH per autenticarsi su altri sistemi, oppure sfruttare l'inoltro dell'agente SSH per dirottare le sessioni attive. Queste sono tecniche distinte che entrambe sfruttano le relazioni di fiducia SSH.
  • Living-off-the-Land Binaries (LOLBins): strumenti di sistema legittimi vengono utilizzati per svolgere attività dannose mimetizzandosi tra le normali operazioni.

Perché il movimento laterale è difficile da rilevare

I movimenti laterali possono essere difficili da individuare perché gli hacker spesso si avvalgono di credenziali legittime e strumenti amministrativi integrati, piuttosto che ricorrere ad attività dannose evidenti.

Di conseguenza, le loro azioni possono assomigliare a quelle degli utenti regolari, come l'accesso ai sistemi o l'utilizzo di risorse interne. Questo permette agli attaccanti di mimetizzarsi nel normale traffico di rete ed evitare di attivare gli avvisi di sicurezza.

Sebbene sia importante comprendere come funziona il movimento laterale, le organizzazioni devono anche essere in grado di rilevarlo prima che gli aggressori raggiungano i sistemi critici.

Come prevenire il movimento laterale

Le organizzazioni possono prevenire i movimenti laterali limitando la facilità con cui gli aggressori si spostano tra i sistemi dopo una compromissione iniziale. La prevenzione efficace dei movimenti laterali si concentra sulla riduzione degli accessi non necessari, sul controllo della comunicazione di rete e sul monitoraggio di attività sospette.

Applicare l'accesso con privilegi minimi

Applicare l'accesso con privilegi minimi è uno dei modi più efficaci per prevenire il movimento laterale. Ogni utente e account di servizio dovrebbe disporre solo delle autorizzazioni necessarie per il proprio ruolo specifico. Ciò garantisce che, qualora un singolo account venga compromesso, gli aggressori non possano utilizzarlo per accedere a sistemi e risorse al di fuori dell'ambito di tale account. Le organizzazioni dovrebbero rivedere e modificare regolarmente queste autorizzazioni per evitare che l'accesso si estenda gradualmente nel tempo.

Segmentare la rete

La segmentazione della rete limita il movimento laterale dividendo la rete in zone isolate, garantendo che una violazione in un'area non conceda automaticamente l'accesso ad altre. La microsegmentazione rafforza questo approccio limitando il traffico tra singoli sistemi solo alle connessioni esplicitamente richieste. Questo costringe gli attaccanti a superare ulteriori ostacoli in ogni fase, dando ai team di sicurezza più tempo per individuare e contrastare i tentativi di movimento laterale.

Rafforzare i controlli di autenticazione

Controlli di autenticazione rigorosi riducono il rischio di movimento laterale rendendo meno efficaci le credenziali rubate. L'autenticazione a più fattori (MFA) aggiunge un ulteriore livello di verifica che impedisce agli attaccanti di accedere agli account utilizzando solo password compromesse. Le organizzazioni dovrebbero anche eliminare le credenziali condivise o predefinite, che sono bersagli comuni per gli attaccanti. Per gli account con privilegi elevati, una soluzione di gestione degli accessi privilegiati (PAM) offre una protezione aggiuntiva controllando quando e come tali account vengono utilizzati e garantendo la revoca dell'accesso quando non è più necessario.

Monitorare eventuali comportamenti anomali

Anche in presenza di forti controlli preventivi, le organizzazioni hanno bisogno di visibilità sull'attività che avviene all'interno dei propri sistemi. La revisione dei log di accesso e l'utilizzo di analisi comportamentali possono aiutare a identificare schemi anomali, come un account che si connette a sistemi a cui non ha mai acceduto in precedenza oppure che effettua login in orari insoliti. Rilevare tempestivamente questi indicatori consente alle organizzazioni di contenere il movimento laterale prima che gli attaccanti raggiungano sistemi critici.

Controllo e pulizia degli account

Gli account inattivi, soprattutto quelli legati a ex dipendenti o a servizi dismessi, sono spesso presi di mira dagli hacker perché di solito non vengono monitorati. Effettuare verifiche periodiche per identificare e disabilitare gli account inutilizzati elimina questi punti di accesso. Le organizzazioni dovrebbero inoltre rivedere periodicamente le autorizzazioni degli account attivi per assicurarsi che non abbiano accumulato un livello di accesso superiore a quello necessario per il loro ruolo.

Nega il consenso sui cookieLa tua privacy è importante

Utilizziamo i cookie sul nostro sito per offrirti la migliore esperienza di navigazione, pubblicare annunci personalizzati sui nostri prodotti e contenuti e analizzare il traffico del sito web. Per ulteriori informazioni, consulta la nostra Informativa sulla privacy.

Registratevi per una prova gratuita

Acquista ora