Con l'evolversi del panorama delle minacce, il team di Vectra vede i budget utilizzati per raddoppiare i team di sicurezza e ampliare le difese perimetrali. Ciò deriva dallo sforzo di aumentare i rilevamenti delle minacce e accelerare il triage.
Purtroppo questa è una falsa premessa.
Gli addetti ai lavori lo hanno riconosciuto, a partire da una recente raccomandazione tecnica di Gartner. In un blog, Gartner sottolinea che "per anni l'idea di rilevamento delle minacce di rete è stata sinonimo di sistemi di rilevamento e prevenzione delle intrusioni (IDPS)".
"I sistemi NTA di oggi hanno un po' di DNA di quei primi sistemi IDS basati sulle anomalie, ma il loro scopo è sostanzialmente diverso e si concentrano molto meno sul rilevamento delle intrusioni iniziali", si legge nel rapporto.
"Le differenze di intenti e gli approcci preferiti hanno esteso la pratica di utilizzare i dati di rete per la sicurezza ad altri strumenti moderni, come l'NTA".
Sebbene siano diverse le ragioni che spingono a questa logica, la capacità di vedere il traffico "est-ovest" è fondamentale. Un'organizzazione è nel suo stato più vulnerabile quando si verifica un movimento laterale: le vulnerabilità sono state sfruttate, i perimetri sono stati elusi.
Gli aggressori corrono rapidamente e si diffondono lateralmente verso altri punti strategici della rete, raccolgono informazioni e infine esfiltrano o distruggono i dati. Ciò è rilevante anche quando le stesse organizzazioni si imbattono in attività di insider threat.
Naturalmente, questo approccio è filosoficamente ragionevole. Ma pone due domande pratiche: Quali comportamenti devo cercare e come posso identificare questi comportamenti in modo efficiente e accurato?
Noi di Vectra osserviamo e identifichiamo i comportamenti di movimento laterale nelle reti dei clienti quando questi optano per la condivisione dei metadati con noi. Nel nostro più recente Attacker Behavior Industry Report, pubblicato il mese scorso in occasione della conferenza RSA 2019, si tratta di un comportamento sempre più comune.
Nel considerare come attrezzare i team di sicurezza per identificare i comportamenti di movimento laterale, vi invitiamo a valutare l'efficacia dei vostri processi e strumenti per identificare e rispondere rapidamente ai seguenti comportamenti di movimento laterale che osserviamo comunemente:
1. Replica automatica
Undispositivo host interno invia payload simili a diversi obiettivi interni. Questo potrebbe essere il risultato di un host infetto che invia uno o più exploit ad altri host nel tentativo di infettare altri host.
2. Movimento di forza bruta
Un host interno effettua tentativi di accesso eccessivi a un sistema interno. Questi comportamenti si verificano attraverso diversi protocolli (ad esempio RDP, VNC, SSH) e potrebbero indicare un'attività di memory-scraping.
3. Attività dannosa dell'account Kerberos
Unaccount Kerberos viene utilizzato a una velocità che supera di gran lunga la sua linea di base appresa e la maggior parte dei tentativi di accesso fallisce.
4. Comportamenti sospetti dell'amministratore
Ildispositivo host utilizza protocolli correlati all'attività amministrativa (ad esempio RDP, SSH) in modi considerati sospetti.
5. Movimento di forza bruta tramite SMB
Unhost interno utilizza il protocollo SMB per effettuare numerosi tentativi di accesso utilizzando gli stessi account. Questi comportamenti sono coerenti con gli attacchi di password brute-force.
Naturalmente, la gravità e la frequenza variano a seconda del vostro settore e della vostra linea di business. Per saperne di più sui comportamenti più comuni nel vostro settore, vi invitiamo a leggere il nostro Rapporto di settore sul comportamento degli aggressori.
Suggerisco inoltre di contattare un rappresentante di Vectra per una discussione consultiva sull'intero spettro di comportamenti degli aggressori che abbiamo codificato nella nostra piattaforma di rilevamento e risposta alla rete Cognito, basata sull'intelligenza artificiale.
*Gartner Blog Network, "Applying Network-Centric Approaches for Threat Detection and Response " di Anton Chuvakin, 19 marzo 2019.