Prije samo nekoliko godina, lateralno kretanje je bila taktika ograničena samo na vrhunske APT organizacije za kibernetički kriminal i operatere nacionalnih država. Danas je, međutim, postao redovan alat, u okviru vještina bilo kojeg ransomware hakera. Ovo čini otkrivanje i sprečavanje lateralnih kretanja u realnom vremenu neophodnim za organizacije svih veličina i u svim industrijama. Ali uznemirujuća istina je da zapravo ne postoji alat u trenutnom sigurnosnom paketu koji može pružiti ovu zaštitu u realnom vremenu, stvarajući ono što je vjerovatno najkritičnija sigurnosna slabost u sigurnosnoj arhitekturi organizacije.
U ovom članku ćemo proći kroz najosnovnija pitanja u vezi sa izazovom zaštite od lateralnog kretanja, razumiti zašto su višefaktorska autentikacija (MFA) i zaštita uslužnog računa nedostaci koji to čine mogućim i naučit ćemo kako Silverfort-ova platforma okreće stvari protiv napadača i čini zaštitu od lateralnog kretanja konačno na dohvat ruke.
Zašto je lateralno kretanje kritičan rizik za organizaciju?
Lateralno kretanje je faza u kojoj kompromis jedne krajnje tačke postaje kompromis dodatnih radnih stanica i servera u ciljanom okruženju. To je razlika između jedne šifrovane mašine i mogućeg operativnog gašenja. Lateralno kretanje se koristi u preko 80% ransomware napada, što ga čini rizikom za svaku organizaciju na svijetu koja je spremna da plati da bi svoje podatke otkupila od napadača.
Kako zapravo funkcioniše lateralno kretanje?
Zapravo je prilično jednostavno. Za razliku od malicioznog softvera, koji dolazi u mnogo različitih oblika, proces lateralnog kretanja je jednostavan. U organizacionom okruženju, svaki korisnik koji je prijavljen na radnu stanicu ili server može pristupiti dodatnim mašinama unutar tog okruženja otvaranjem prompt-a komandne linije i upisivanjem komande za povezivanje, zajedno sa svojim korisničkim imenom i lozinkom. To znači da sve što protivnik treba da uradi da bi se pomerio je da se dočepa važećeg korisničkog imena i lozinke. Kada se jednom dobije, napadač može koristiti ove kompromitovane kredencijale za pristup resursima baš kao da su legitimni korisnik.
Zašto ga je teško spriječiti?
Koliko god iznenađujuće zvučalo, zapravo ne postoji alat u steku identiteta ili sigurnosti koji može otkriti i spriječiti lateralno kretanje u realnom vremenu. To je zato što je potrebna mogućnost presretanja same autentifikacije, gdje napadač daje ugrožene kredencijale za Active Directory (AD). Nažalost, AD, kao u suštini naslijeđeni dio softvera, može izvršiti samo jednu sigurnosnu provjeru, da li se korisničko ime i lozinka podudaraju. Ako to urade, pristup se odobrava, ako ne, pristup je odbijen. AD nema mogućnost da razlikuje legitimnu autentifikaciju od maliciozne, već samo mogućnost da potvrdi date kredencijale.
Zar MFA ne bi trebalo da bude u stanju da reši ovo?
U teoriji. Ali evo problema. Sjećate li se prethodno spomenutog prozora komandne linije o tome kako se izvršava lateralno kretanje? Pristup komandnom linijom zasniva se na dva protokola za autentifikaciju (NTLM i Kerberos) koji zapravo ne podržavaju MFA. Ovi protokoli su napisani mnogo prije nego što je MFA uopće postojao. A pod “ne podržavaju”, ono što zapravo mislimo je da ne možete dodati u proces autentifikacije dodatnu fazu koja kaže “ovi kredencijali su važeći, ali sačekajmo dok korisnik ne potvrdi svoj identitet.” Upravo ovaj nedostatak MFA zaštite u AD okruženju, ključna slijepa tačka, omogućava da se napadi lateralnog kretanja i dalje dešavaju.
U ovom trenutku, možda ćete se zapitati zašto u 2023. godini i dalje koristimo tehnologiju od prije više od 20 godina koja ne podržava osnovnu sigurnosnu mjeru kao što je MFA. Ali u ovom trenutku je važnija činjenica da je to realnost u skoro 100% okruženja, uključujući i Vaše. Zato je ključno razumjeti ove sigurnosne implikacije.
Ne zaboravimo uslužne račune, nevidljive, visoko privilegovane i gotovo nemoguće za zaštititi
Da biste dodali još jednu dimenziju izazovu zaštite od lateralnog kretanja, imajte na umu da nisu svi računi kreirani jednaki. Neki od njih su materijalno podložniji napadima od drugih. Servisni nalozi, koji se koriste za pristup od mašine do mašine, su odličan primer. Ovi nalozi nisu povezani ni sa jednim ljudskim korisnikom, pa su kao rezultat toga manje praćeni, a ponekad čak i zaboravljeni od strane IT tima. Ali obično imaju visoke privilegije pristupa i mogu pristupiti većini mašina u okruženju. To ih čini privlačnom kompromisnom metom za hakere, koji ih koriste kad god mogu. Ovaj nedostatak vidljivosti i zaštite uslužnih računa je druga slijepa tačka na koju se oslanjaju hakeri.
Silverfort omogućava zaštitu u realnom vremenu od lateralnih kretanja
Silverfort je pionir prve platforme Unified Identity Protection koja može proširiti MFA na bilo koji resurs, bez obzira da li izvorno podržava MFA ili ne. Koristeći tehnologiju bez agenta i proxy-a, Silverfort se integriše direktno sa AD. Sa ovom integracijom, kad god AD dobije zahtjev za pristup, prosleđuje ga Silverfort-u. Silverfort zatim analizira zahtjev za pristup i ako je potrebno, izaziva korisnika sa MFA. Na osnovu odgovora korisnika, Silverfort odlučuje da li da veruje korisniku ili ne, i prosleđuje presudu AD-u koji zatim odobrava ili odbija pristup prema potrebi.
Proširivanje MFA na pristup komandnoj liniji
Silverfort može primijeniti MFA zaštitu na bilo koji alat za pristup komandnoj liniji, PsExec, Remote PowerShell, WMI i bilo koji drugi. Sa omogućenom MFA politikom, ako napadač pokuša da izvrši lateralno kretanje preko komandne linije, Silverfort će gurnuti MFA prompt stvarnom korisniku, tražeći od njega da provjeri da li je pokrenuo taj pokušaj pristupa. Kada korisnik to odbije, pristup bi bio blokiran, ostavljajući napadača zbunjenim zašto je metoda koja je u prošlosti radila besprekorno sada udarila u zid od cigle.
Automatska vidljivost i zaštita uslužnih naloga
Iako uslužni računi ne mogu biti podvrgnuti MFA zaštiti, kako korisnici koji nisu ljudi, ne mogu potvrditi svoj identitet obavještenjem na mobilnom telefonu, ipak mogu biti zaštićeni. To je zato što uslužni računi, za razliku od ljudskih korisnika, pokazuju ponavljajuće i predvidljivo ponašanje. Silverfort ovo koristi automatizacijom kreiranja politika za svaki račun usluge. Kada se aktiviraju, mogu poslati upozorenje ili u potpunosti blokirati pristup računu usluge kad god se otkrije aktivnost odstupanja. Maliciozno korištenje kompromitovanog naloga usluge neizbježno stvara odstupanje jer čak i ako napadač ima kredencijale servisnog računa, ne bi znao standardnu upotrebu računa. Rezultat bi bio da bi svaki pokušaj korištenja kompromitovanog računa usluge za lateralno kretanje bio zaustavljen hladno.
Izvor: The Hacker News