Con l'evolversi del panorama delle minacce, il team di Vectra prevede che i budget saranno utilizzati per raddoppiare le dimensioni dei team di sicurezza e ampliare le difese perimetrali. Ciò deriva dal tentativo di aumentare il rilevamento delle minacce e accelerare il triage.
Purtroppo, questa è una premessa errata.
Gli esperti del settore lo hanno riconosciuto, a partire da una recente raccomandazione tecnica di Gartner. In un blog, Gartner sottolinea che "per anni, l'idea di rilevamento delle minacce di rete era sinonimo di sistemi di rilevamento e prevenzione delle intrusioni (IDPS)".
"I sistemi NTA odierni conservano in parte il 'DNA' dei primi sistemi IDS basati sulle anomalie, ma sono sostanzialmente diversi in termini di finalità e si concentrano molto meno sul rilevamento delle intrusioni iniziali", afferma il rapporto.
"Le differenze nelle intenzioni e negli approcci preferiti hanno esteso la pratica dell'utilizzo dei dati di rete per la sicurezza ad altri strumenti moderni, come l'NTA."
Sebbene siano diversi i motivi alla base di questa logica, la capacità di vedere il traffico "est-ovest" è fondamentale. Un'organizzazione si trova nella sua condizione più vulnerabile quando si verifica un movimento laterale: le vulnerabilità sono state sfruttate, i perimetri sono stati elusi.
Gli aggressori si muovono rapidamente e si diffondono lateralmente verso altri punti strategici della rete, raccolgono informazioni e infine sottraggono o distruggono i dati. Ciò è rilevante anche quando le stesse organizzazioni si trovano ad affrontare attività di minaccia interna.
Naturalmente, l'approccio è filosoficamente ragionevole. Ma solleva due questioni pratiche: quali comportamenti dovrei cercare e come posso identificarli in modo efficiente e accurato?
In Vectra osserviamo e identifichiamo i comportamenti di movimento laterale nelle reti dei clienti quando questi ultimi accettano di condividere con noi i metadati. Nel nostro ultimo rapporto sul comportamento degli aggressori nel settore, pubblicato il mese scorso in occasione della RSA Conference 2019, questo comportamento è risultato sempre più comune.
Nel valutare come dotare i vostri team di sicurezza degli strumenti necessari per identificare i comportamenti di movimento laterale, vi invitiamo a valutare l'efficacia dei vostri processi e strumenti per identificare e rispondere rapidamente ai seguenti comportamenti di movimento laterale che osserviamo comunemente:
1. Replica automatizzata
Undispositivo host interno invia payload simili a diversi target interni. Ciò potrebbe essere il risultato di un host infetto che invia uno o più exploit ad altri host nel tentativo di infettare ulteriori host.
2. Movimento di forza bruta
Un host interno effettua tentativi di accesso eccessivi su un sistema interno. Questi comportamenti si verificano tramite diversi protocolli (ad esempio RDP, VNC, SSH) e potrebbero indicare attività di scraping della memoria.
3. Attività dannosa dell'account Kerberos
Unaccount Kerberos viene utilizzato a una frequenza che supera di gran lunga la sua baseline appresa e la maggior parte dei tentativi di accesso fallisce.
4. Comportamenti sospetti da parte degli amministratori
Ildispositivo host utilizza protocolli correlati alle attività amministrative (ad esempio RDP, SSH) in modi considerati sospetti.
5. Movimento con forza bruta tramite SMB
Unhost interno utilizza il protocollo SMB per effettuare numerosi tentativi di accesso utilizzando gli stessi account. Questi comportamenti sono coerenti con gli attacchi di forza bruta alle password.
Naturalmente, la gravità e la frequenza variano a seconda del settore e dell'attività svolta. Per ulteriori informazioni sui comportamenti più comuni nel vostro settore, vi invitiamo a leggere il nostro rapporto sui comportamenti degli aggressori nel settore.
Consiglio inoltre di contattare un rappresentante Vectra per una consulenza completa sui comportamenti degli hacker che abbiamo codificato nella nostra piattaforma Cognito di rilevamento e risposta di rete basata sull'intelligenza artificiale.
*Gartner Blog Network, "Applicazione di approcci incentrati sulla rete per il rilevamento e la risposta alle minacce" di Anton Chuvakin, 19 marzo 2019