Nella strategia di segmentazione della rete per la protezione del network aziendale, la priorità è contrastare i cosiddetti movimenti laterali dei threat actor (attaccanti). Oggi gli attaccanti non sferrano infatti direttamente l’attacco a dispositivi e risorse mirate, ma fanno il loro ingresso nella rete dell’azienda sfruttando ad esempio credenziali rubate per poi procedere a una serie di attività preliminari volte allo studio della rete stessa. Il tutto al fine di implementare la persistenza nella rete e individuare le macchine e i punti dove sarà poi possibile arrecare maggior danno con l’attacco vero e proprio.
Vediamo pertanto innanzitutto come avvengono i movimenti laterali. Il threath actor si posiziona su un host interno all’organizzazione e da qui avvia una serie di attività che includono scansioni, verifica di vulnerabilità delle macchine vicine piuttosto che escalation di privilegi. In questo modo l’attaccante prende il possesso della rete dell’azienda e instaura la persistenza all’interno di un’infrastruttura. Da lì parte a innescare l’attacco. E’ quindi possibile individuare tre fasi di un movimento laterale: l’infiltrazione, la ricognizione, e l’accesso.
L’infiltrazione: usando credenziali di accesso spesso ottenute tramite attacchi di phishing o mediante altre tipologie di social engineering o sfruttamento di vulnerabilità, l’aggressore utilizza tecniche di credential dumping ed escalation dei privilegi per ottenere accesso a diverse parti del sistema. Avviene quindi l’infiltrazione, in cui sfruttando appunto quello che è stato trovato, l’attaccante entra nella macchina ospite/vittima e comincia a studiare la situazione.
Una volta infiltratosi nel sistema, l’attaccante inizia la fase di ricognizione: fase esplorativa del movimento laterale, alquanto facilitata nel caso di una rete piatta e non segmentata. In una rete piatta, dove tutti gli host si trovano sullo stesso piano, basta chiaramente fare una semplice panoramica e nel raggio di pochi minuti l’aggressore ha collezionato tutti gli host presenti e raggiungibili, con anche le porte che sono in ascolto e le versioni dei sistemi operativi e dei servizi esposti. Il tutto agevola ulteriormente la sua attività di discovery.
Una volta studiata la situazione del sistema in cui si è ritrovato e le modalità in base alle quali arrecare il maggior danno per l’azienda o il suo massimo profitto, l’attaccante procede all’accesso, ovvero avvia l’attacco vero e proprio. In base ai suoi obiettivi questo può voler dire infettare attraverso un malware, bloccare attraverso un ransomware, esfiltrare o distruggere i dati, effettuare azioni in nome e per conto degli utenti, o altro. L’accesso è quindi la fase finale del lateral movement: la vittima si trova ad avere una rete in cui c’è un attaccante che ha il controllo parziale o totale del network dell’organizzazione.
Come si può quindi prevenire il movimento laterale?
Oggi è possibile proteggere l’azienda in tempo reale da questo tipo di attacchi, intervenendo prima che si verifichino. Un ruolo fondamentale lo gioca la segmentazione della rete, che consente di suddividere l’infrastruttura in porzioni più piccole, rendendo più semplice il loro controllo e la loro difesa. Un altro strumento efficace è l’adozione di soluzioni EDR/XDR/NDR (tecnologie di Detection and Response). Questi servizi, sempre più diffusi, permettono di avere una visibilità completa su ciò che accade nei dispositivi, grazie a una sorta di telemetria di sicurezza. In questo modo è possibile individuare anomalie in tempo reale e, se necessario, isolare immediatamente il dispositivo compromesso, riducendo l’impatto dell’attacco.
Un altro strumento per prevenire i movimenti laterali consiste nel proteggere i sistemi di autenticazione con sistemi multifattore (MFA), che di fatto irrobustiscono l’accesso e quindi rendono molto più difficile la violazione di utenze, specialmente quelle amministrative. Proteggendo in tal modo obiettivi di alto valore e account con privilegi amministrativi adottando alti livelli di sicurezza (MFA – Multi Factor Authentication)). E’ poi possibile fare un passo ulteriore implementando sistemi di micro-segmentazione, creando zone sicure che permettono di isolare le macchine (workload) e di proteggerle puntualmente. La micro-segmentazione consente in particolare di estendere il concetto di monitoraggio nord-sud, ovvero dentro e fuori dalla rete, a quello est-ovest, ossia attraverso il data center o la rete cloud: da server a server, da applicazione a server, e così via. Infine, un valido metodo per la prevenzione dei movimenti laterali consiste nel mantenere un approccio zero trust, ovvero non fidarsi mai e verificare sempre l’identità dell’utente che richiede l’accesso a determinate risorse. Si tratta nella fattispecie dell’unico vero approccio che oggi garantisce la massima sicurezza.
Infine, qualora gli aggressori riuscissero a eludere il controllo di sicurezza e ad entrare nella rete, è fondamentale bloccare sul nascere i movimenti laterali. Il rilevamento dei movimenti laterali è possibile essenzialmente grazie alla combinazione virtuosa di attività SIEM (Security Information and Event Management) e attività MDR (Managed Detection and Response), che insieme permettono di evidenziare la presenza di flussi anomali nel traffico di rete che potrebbero indicare l’inizio di un attacco informatico. A tal fine è indispensabile l’utilizzo di strumenti che usano il deep learning, che abilitano quella che viene definita analisi comportamentale, senza la quale è molto difficile scoprire un lateral movement. Ancora una volta, poter riunire e confrontare correttamente i log di macchine che sono all’interno di sistemi piatti è molto difficile. Mentre in presenza di una micro-segmentazione, che provvede a isolare porzioni della rete, anche l’analisi e quindi il deep learning sono molto più efficienti, permettendo di individuare in maniera più sicura e deterministica quello che sta succedendo. In ultimo, è possibile adottare anche tecnologie di deception, che consistono nel distribuire risorse fittizie e reali sulla rete che fungono da esche per criminali informatici, che interagendovi fanno scattare un allarme silenzioso.