Lateral movement, or lateral traffic, is a network attacker progression through the network once they have been violed. Boční pohyb je také známý jako provoz na východ-západ, což naznačuje horizontální postup skrz již narušenou síť a kontrastuje s provozem na sever-jih, nebo první vstup do sítě. Postranní pohyb je pro organizace náročný na sledování, protože jakmile útočník vstoupil do sítě, jeho provoz se jeví jako normální. Je těžké rozlišit mezi útočníkem a oprávněnými uživateli, protože již získali přístup.
Důvody pro boční pohyb
Útočníci mohou získat počáteční přístup k síti pomocí:
- Zařízení zaměstnanců, zejména v oblasti internetu věcí. Zařízení IoT mají méně bezpečnostních protokolů než chytré telefony a počítače. Pokud útočník přistupuje k zařízení IoT, které se připojuje k firemní síti, může se mu potom podařit dostat do sítě.
- O Společnosti e-mail. Sociální inženýrství silně spoléhá na podvodné e-maily, které mohou od zaměstnance požadovat jeho přihlašovací údaje nebo obsahovat malware. Jakmile útočník získá tyto informace, může pokračovat do sítě jako důvěryhodný uživatel.
- Zlomyslný software nainstalován na firemním počítači: pokud útočník přesvědčí zaměstnance, aby klikl na odkaz, malware by se mohl nainstalovat na tento počítač a poté dát útočníkovi cestu do sítě.
Tradiční zabezpečení sítě nezpracovává boční pohyb dobře, protože nemá dobré metody ochrany vnitřku privátní sítě. Každý, komu je povolen firewall na perimetru, se pak může v síti volně pohybovat. To také ztěžuje organizacím najít hrozbu, jakmile je uvnitř, zejména pokud útočník ukradl pověření zaměstnance. Řazení všech dat ručně i efektivně je pro většinu IT týmů nemožné.
Boj proti bočnímu pohybu s XDR
V tradičních řešeních zabezpečení sítě nejsou samostatný software a systémy centralizovány: jsou utišeny. Pro podnik je obtížnější spravovat zabezpečení sítě, když data analyzuje více aplikací. Centralizované řešení pro detekci a reakci na hrozby, které dokáže analyzovat všechna data a vzory oznámení, je lepší způsob, jak monitorovat síť.
Rozšířená detekce a reakce (XDR) je jednou z nejlepších možností pro velké organizace, protože odstraňuje sila mezi bezpečnostními řešeními. XDR monitoruje všechna data z aplikací a serverů. Řešení XDR zahrnuje automatizaci, což šetří čas IT a technickým týmům.
Některá řešení XDR implementují strojové učení, které studuje vzory v datech a nakonec se naučí všímat anomálií a upřednostňovat výstrahy technologickým týmům, podobně jako analýza chování uživatelů a entit (UEBA). Pokud jsou dostatečně vyškoleni, mohou stroje interpretovat slova a také jejich kontext, aby lépe porozuměly situaci. Pokud se určitý počítač, účet nebo server chová neobvykle, všimne si to dobré řešení pro detekci a odezvu sítě a přijme proaktivní opatření k nalezení příčiny. XDR nejen detekuje hrozby, ale také je sleduje a rychle je řeší.
Nulová důvěra a mikrosegmentace jsou další technologie určené k omezení přístupu v případě porušení nebo odcizení pověření.