Нападающие сегодня редко идут напролом. Попав внутрь ваших систем, они тихо перемещаются по сети от одной системы к другой, собирая данные, повышая привилегии и готовясь нанести максимальный ущерб, оставаясь незамеченными
Благодаря правильной видимости и контексту вы можете выявить то, что злоумышленники надеются скрыть от вас, а именно их действия внутри вашей сети, которые маскируются под обычную активность.
Почему боковое перемещение так сложно обнаружить
Боковое перемещение не запускает обычные сигналы тревоги. Злоумышленники используют те же инструменты и протоколы, что и ваши ИТ-специалисты каждый день. Такие как RDP, SMB или PowerShell. Никакого вредоносного ПО. Никаких уязвимостей. Просто легальные инструменты, используемые нелегальным образом.
Проблема заключается в видимости. Большинство средств защиты сосредоточены на трафике по периметру (север-юг), а не на движении с востока на запад, которое происходит внутри систем. Даже если внутренний мониторинг существует, он часто носит изолированный характер. Сетевые данные хранятся в одном инструменте, журналы событий систем в другом, а действия идентификационных данных – в третьем. Такая фрагментация значительно затрудняет аналитикам SOC возможность увидеть полную картину в разумные сроки, своевременно обнаружить такие тактики и пресечь их.
Без правильного контекста неудачный вход в систему здесь и необычное сетевое соединение там не выглядят связанными между собой. Но для злоумышленника они являются лишь частью более широкой стратегии кампании.
Как устранить пробелы в обнаружении
Для обнаружения латерального перемещения необходимы две важные точки зрения:
– Обнаружение и реагирование в сети (NDR) для просмотра трафика в реальном времени. Кто, где, когда и как подключился.
– Управление информацией и событиями безопасности (SIEM) для добавления контекста. Кто является пользователем, что для него является нормальным и как его поведение соответствует политике.
Когда эти два фактора соединяются, происходит нечто мощное. Представьте себе рабочую станцию, подключающуюся к серверу, с которым она никогда не общается. Само по себе это явный сигнал аномалии, но все еще не дает однозначного ответа о том, является ли это злонамеренным действием. Но в сопоставлении с данными SIEM, показывающими, что всего за несколько минут до этого пользователь, вошедший в ту же рабочую станцию, несколько раз неудачно пытался войти в систему, это становится явным признаком латерального перемещения.
В этом заключается ценность Logpoint SIEM + NDR. Объединение системных и прикладных журналов событий, активности идентификационных данных и сетевого трафика в одну четкую картину. Никаких слепых зон, никаких догадок, никаких проблем с интеграцией. Только понимание и действие.
Пример из реальной жизни: От сигнала до четкого описания
Злоумышленник получает первоначальный доступ с помощью скомпрометированных учетных данных.
Он начинает сканировать сеть и зондировать службы с помощью незаметных, легитимных действий.
Logpoint NDR уведомляет о необычном внутреннем трафике. Через несколько секунд Logpoint SIEM уведомляет о последовательных неудачных попытках входа в систему с разных серверов, а затем об успешном входе с нового хоста.
По отдельности это часто низкоуровневые предупреждения, затерянные где-то в конце длинного списка предупреждений. Вместе они рассказывают историю о том, как кто-то перемещается в боковом направлении.
Вместо того чтобы собирать информацию вручную, ваши аналитики видят все в едином окне расследования. Они могут мгновенно переключаться между журналами, сетевыми данными и контекстом пользователя, оперативно реагировать и останавливать злоумышленника до того, как он достигнет критически важных систем.
Почему важна единая видимость
С Logpoint SIEM + NDR каждая роль в SOC получает то, что ей нужно: одну платформу, одну историю, один результат, которому можно доверять.
– Расширьте охват обнаружения без увеличения сложности или численности персонала.
– Узнайте, что происходит между журналами событий и сетью, чтобы понять, что за этим стоит.
– Получите проверенный, реальный и всеобъемлющий мониторинг, который демонстрирует соответствие и контроль.
– Реконструируйте каждое действие, каждый вход в систему, каждую передачу данных, полностью доверяя своим данным.
От обнаружения до действия за считанные секунды
Обнаружение – это только начало. Используя возможности Logpoint SOAR в сочетании с возможностями Logpoint NDR, вы можете немедленно автоматизировать и скоординировать реагирование на инциденты. Изолируйте активы, введите правила FW для блокировки IOC, заблокируйте учетные записи, внедрите MFA или сбросьте пароли за считанные секунды.
В целом, речь идет о сдвиге влево в цепочке атак. Необходимо как можно раньше обнаруживать угрозы и сокращать время реагирования, стремясь предоставить организациям надлежащие инструменты и возможности для пресечения атак на ранней стадии, предотвращения их распространения и, таким образом, пресечения развития событий с низким уровнем сигнала, которые могут перерасти в полномасштабный инцидент.
Укрепите уверенность в своих возможностях по обнаружению угроз
Боковое перемещение не обязательно должно оставаться незаметным. Объединяя журналы событий и активность сетевого трафика на одной платформе, Logpoint помогает вам своевременно обнаруживать намерения злоумышленников, быстро реагировать и останавливать атаки до их распространения.
