Сьогодні зловмисники рідше йдуть напролом. Потрапивши всередину ваших систем, вони тихо переміщаються по мережі від однієї системи до іншої, збираючи дані, підвищуючи привілеї та готуючись завдати максимальної шкоди, залишаючись непоміченими
Завдяки правильній видимості та контексту ви можете виявити те, що зловмисники сподіваються приховати від вас, а саме їхні дії всередині вашої мережі, які маскуються під звичайну активність.
Чому бічне переміщення так складно виявити
Бічне переміщення не запускає звичайні сигнали тривоги. Зловмисники використовують ті ж інструменти та протоколи, що і ваші ІТ-фахівці щодня. Такі як RDP, SMB або PowerShell. Ніякого шкідливого ПЗ. Ніяких вразливостей. Просто легальні інструменти, що використовуються нелегальним чином.
Проблема полягає у видимості. Більшість засобів захисту зосереджені на трафіку по периметру (північ-південь), а не на русі зі сходу на захід, який відбувається всередині систем. Навіть якщо внутрішній моніторинг існує, він часто носить ізольований характер. Мережеві дані зберігаються в одному інструменті, журнали подій систем – в іншому, а дії ідентифікаційних даних – в третьому. Така фрагментація значно ускладнює аналітикам SOC можливість побачити повну картину в розумні терміни, своєчасно виявити такі тактики і припинити їх.
Без правильного контексту невдалий вхід в систему тут і незвичайне мережеве з’єднання там не виглядають пов’язаними між собою. Але для зловмисника вони є лише частиною більш широкої стратегії кампанії.
Як усунути прогалини у виявленні
Для виявлення латерального переміщення необхідні дві важливі точки зору:
– Виявлення та реагування в мережі (NDR) для перегляду трафіку в реальному часі. Хто, де, коли і як підключився.
– Управління інформацією та подіями безпеки (SIEM) для додавання контексту. Хто є користувачем, що для нього є нормальним і як його поведінка відповідає політиці.
Коли ці два фактори поєднуються, відбувається щось потужне. Уявіть собі робочу станцію, яка підключається до сервера, з яким вона ніколи не спілкується. Сам по собі це явний сигнал аномалії, але все ще не дає однозначної відповіді про те, чи є це зловмисною дією. Але в зіставленні з даними SIEM, які показують, що всього за кілька хвилин до цього користувач, який увійшов в ту ж робочу станцію, кілька разів невдало намагався увійти в систему, це стає явною ознакою латерального переміщення.
У цьому полягає цінність Logpoint SIEM + NDR. Об’єднання системних і прикладних журналів подій, активності ідентифікаційних даних і мережевого трафіку в одну чітку картину. Ніяких сліпих зон, ніяких припущень, ніяких проблем з інтеграцією. Тільки розуміння і дія.
Приклад з реального життя: Від сигналу до чіткого опису
Зловмисник отримує початковий доступ за допомогою скомпрометованих облікових даних.
Він починає сканувати мережу і зондувати служби за допомогою непомітних, легітимних дій.
Logpoint NDR повідомляє про незвичайний внутрішній трафік. Через кілька секунд Logpoint SIEM повідомляє про послідовні невдалі спроби входу в систему з різних серверів, а потім про успішний вхід з нового хоста.
Окремо це часто низькорівневі попередження, загублені десь в кінці довгого списку попереджень. Разом вони розповідають історію про те, як хтось переміщається в бічному напрямку.
Замість того, щоб збирати інформацію вручну, ваші аналітики бачать все в єдиному вікні розслідування. Вони можуть миттєво перемикатися між журналами, мережевими даними та контекстом користувача, оперативно реагувати та зупиняти зловмисника до того, як він досягне критично важливих систем.
Чому важлива єдина видимість
З Logpoint SIEM + NDR кожна роль в SOC отримує те, що їй потрібно: одну платформу, одну історію, один результат, якому можна довіряти.
– Розширте охоплення виявлення без збільшення складності або чисельності персоналу.
– Дізнайтеся, що відбувається між журналами подій і мережею, щоб зрозуміти, що за цим стоїть.
– Отримайте перевірений, реальний і всеосяжний моніторинг, який демонструє відповідність і контроль.
– Реконструюйте кожну дію, кожен вхід в систему, кожну передачу даних, повністю довіряючи своїм даним.
Від виявлення до дії за лічені секунди
Виявлення – це лише початок. Використовуючи можливості Logpoint SOAR у поєднанні з можливостями Logpoint NDR, ви можете негайно автоматизувати та скоординувати реагування на інциденти. Ізолюйте активи, введіть правила FW для блокування IOC, заблокуйте облікові записи, впровадьте MFA або скиньте паролі за лічені секунди.
Загалом, мова йде про зсув вліво в ланцюжку атак. Необхідно якомога раніше виявляти загрози і скорочувати час реагування, прагнучи надати організаціям належні інструменти і можливості для припинення атак на ранній стадії, запобігання їх поширенню і, таким чином, припинення розвитку подій з низьким рівнем сигналу, які можуть перерости в повномасштабний інцидент.
Зміцніть впевненість у своїх можливостях щодо виявлення загроз
Бічне переміщення не обов’язково має залишатися непомітним. Об’єднуючи журнали подій та активність мережевого трафіку на одній платформі, Logpoint допомагає вам своєчасно виявляти наміри зловмисників, швидко реагувати та зупиняти атаки до їх поширення.
