Ruch boczny to proces wykorzystywany przez atakujących do głębszego poruszania się po zainfekowanej sieci po uzyskaniu dostępu do wrażliwych danych, luk w zabezpieczeniach lub kontroli dodatkowych systemów.
Spis treści
Lateral Movement
Zamiast natychmiast atakować wrażliwe dane lub krytyczne systemy, atakujący poświęcają czas na zbadanie sieci, zwiększenie uprawnień, identyfikację wartościowych celów i ustalenie trwałości sieci. Takie obliczane podejście jest powszechne w przypadku zaawansowanych trwałych zagrożeń (APT) i innych zaawansowanych cyberataków.
Nawet jeśli zostanie wykryte naruszenie, atakujący może utrzymać swoją obecność, aby przesunąć się w bok w sieci, aby uniknąć wykrycia. Jeśli atakujący uda im się ustanowić wytrwałość w sieci i uniknąć wykrycia, mogą wyrządzić poważne szkody organizacji poprzez ataki ransomware, eksfiltrację danych lub szpiegostwo.
Kliknij tutaj, aby dowiedzieć się, jak cyberprzestępcy uciekają przed atakami.
Etapy ruchu bocznego
Ataki na ruch boczny to nie pojedynczy etap, ale wieloetapowy proces, który atakujący starannie przeprowadzają w celu infiltracji i wykorzystania sieci. Poniżej przedstawiono typowe etapy ruchu bocznego:
Rozpoznanie
Na etapie rozpoznania atakujący rozpocznie od mapowania architektury sieci, zidentyfikowania podłączonych urządzeń i wyszukania wartościowych celów. Atakujący będą badać i mapować sieć, w tym lokalizację wrażliwych danych, poświadczeń i konfiguracji zabezpieczeń. Jest to kluczowy etap atakującego, ponieważ pomaga mu zrozumieć relacje między systemami i zaplanować kolejne kroki, unikając jednocześnie wykrywania z systemów bezpieczeństwa.
Gromadzenie danych uwierzytelniających
Po zakończeniu rozpoznania atakujący często koncentrują się na zbieraniu danych uwierzytelniających, takich jak nazwy użytkownika, hasła lub haszta z zainfekowanych systemów. Powszechnymi metodami uzyskiwania dostępu do kont o wyższych uprawnieniach są narzędzia do dumpingu poświadczeń, takie jak Mimikatz lub bezpośrednie ataki na słabe hasła. Te skradzione dane uwierzytelniające pozwalają hakerom podszywać się pod prawdziwych użytkowników, umożliwiając im przemieszczanie się w bok po sieci bez podejrzeń.
Eskalacja uprawnień
Eskalacja uprawnień polega na wykorzystaniu luk w zabezpieczeniach oprogramowania, błędnych konfiguracjach lub słabych kontrolach dostępu w celu uzyskania uprawnień wyższego poziomu. Atakujący mogą wykorzystać błędy w aplikacji, aby uzyskać uprawnienia administracyjne w celu uzyskania nieograniczonego dostępu do krytycznych systemów. Eskalacja uprawnień jest kluczowym etapem ataku ruchu bocznego, ponieważ znacznie zwiększa zdolność atakującego do głębszego wejścia do sieci.
Ruch boczny
Gdy atakujący będą mieli wystarczające poświadczenia i uprawnienia, mogą przejść do ruchu bocznego. Obejmuje to przejście z jednego systemu do drugiego w sieci, dostęp do zasobów i przygotowanie się do końcowych etapów ataku, a także wypatrywanie środków zaradczych, z których może skorzystać zespół ds. bezpieczeństwa i które mogą go powstrzymać. Atakujący mogą używać legalnych narzędzi, takich jak Remote Desktop Protocol (RDP), PowerShell lub Windows Management Instrumentation (WMI), aby połączyć się z normalnymi operacjami i uniknąć wykrycia. Atakujący mogą również zainstalować tylne drzwi lub ustanowić mechanizmy wytrwałości, aby utrzymać dostęp do sieci, nawet jeśli ich początkowy punkt wejścia zostanie wykryty i zamknięty.
Dostęp i realizacja celów
Po przejściu w bok atakujący docierają do systemów docelowych, w których mogą znajdować się wrażliwe dane, własność intelektualna lub krytyczna infrastruktura. Ataki mogą również spowodować uruchomienie złośliwego oprogramowania, takiego jak ransomware, w celu zaszyfrowania plików, wydobycia poufnych danych lub wyłączenia systemów w celu zakłócenia działania. Ten etap jest często kulminacją procesu ruchu bocznego. Im dłużej atakujący mogą utrzymać dostęp do sieci bez wykrycia, tym większe szkody mogą wyrządzić.
Jakie rodzaje ataków wykorzystują ruch boczny?
Ataki ransomware
Ruch boczny jest kluczowym elementem kampanii ransomware. Atakujący przechodzą między systemami, aby rozprzestrzeniać złośliwe oprogramowanie, maksymalizując jego wpływ przed zaszyfrowaniem plików i żądaniem płatności. Strategia ta zwiększa prawdopodobieństwo zapłacenia okupu, ponieważ cała organizacja może zostać sparaliżowana.
Eksfiltracja danych
Atakujący często polegają na ruchu bocznym w celu zlokalizowania i wyodrębnienia wrażliwych informacji. Dzięki infiltracji różnych części sieci mogą identyfikować cenne dane, takie jak własność intelektualna, dokumentacja finansowa lub dane umożliwiające identyfikację tożsamości (PII). Pomyślna eksfiltracja danych może spowodować poważne szkody dla reputacji i finansów organizacji.
Szpiegostwo i zaawansowane trwałe zagrożenia (APT)
Podmioty sponsorowane przez państwo i zaawansowane grupy hakerskie wykorzystują ruch boczny do infiltracji systemów o wysokiej wartości przez długi czas. Celem tych ataków jest utrzymanie stałej obecności w sieci, gromadzenie informacji i naruszanie krytycznej infrastruktury bez konieczności ich wykrywania.
Zakażenie botnetu
W kampaniach botnetowych ruch boczny umożliwia atakującym naruszenie bezpieczeństwa dodatkowych urządzeń w sieci. Zainfekowanie wielu punktów końcowych pozwala na rozszerzenie botnetu i zwiększenie skali ataków, co może obejmować ataki typu rozproszona odmowa usługi (DDoS) lub kampanie spamowe na dużą skalę.
Wykrywanie ruchu bocznego
Monitoruj dzienniki uwierzytelniania
Dzienniki uwierzytelniania są kluczowym źródłem informacji do wykrywania ruchu bocznego. Znaki takie jak powtarzające się nieudane logowania, udane logowanie z nietypowych lokalizacji lub nieoczekiwany dostęp w nietypowych godzinach pracy mogą wskazywać na złośliwą aktywność. Regularne przeglądanie tych dzienników pomaga identyfikować nieautoryzowane próby dostępu.
Korzystanie z systemów SIEM
Systemy Security Information and Event Management (SIEM) agregują dane dziennika z całej sieci, zapewniając scentralizowaną platformę do analizy. Systemy te wykorzystują zaawansowane analizy do wykrywania wzorców, które mogą wskazywać na ruch poprzeczny, taki jak zwiększanie uprawnień lub nieprawidłowe próby dostępu.
Korzystaj z rozwiązań EDR i XDR
Narzędzia Endpoint Detection and Response (EDR) monitorują poszczególne urządzenia pod kątem podejrzanych działań, takich jak nieautoryzowane polecenia administracyjne. Jednak same EDR mogą nie wykryć ruchu bocznego w pełni, zwłaszcza gdy atakujący stosują taktyki unikania lub wyłączają ochronę. Rozszerzone wykrywanie i reagowanie (XDR) umożliwia integrację danych z punktów końcowych, sieci, serwerów i środowisk chmurowych. Dzięki korelacji działań w tych warstwach XDR poprawia widoczność i pomaga wykrywać zagrożenia, które mogą ominąć EDR, co czyni je kluczowym rozwiązaniem do identyfikacji ruchu bocznego.
Analiza ruchu sieciowego
Narzędzia do analizy ruchu sieciowego (NTA) pomagają identyfikować nieregularne przepływy danych w sieci. Na przykład nieoczekiwane transfery plików między niepowiązanymi systemami lub nadmierne przesyłanie danych do zewnętrznych miejsc docelowych są silnymi wskaźnikami ruchu bocznego.
Ustalenie zasad zachowania
Tworząc podstawy normalnej aktywności, organizacje mogą łatwiej identyfikować anomalie. Na przykład nagły skok użycia PowerShell w systemie, który rzadko z niego korzysta, może wskazywać na obecność atakującego. Monitorowanie poziomu bazowego wymaga spójnego rejestrowania i analizy, aby zachować skuteczność.
Jak zapobiegać Movement
Wymuś segmentację sieci
Podział sieci na odizolowane segmenty ogranicza zdolność atakującego do swobodnego przemieszczania się między systemami. Na przykład oddzielenie krytycznej infrastruktury od urządzeń ogólnego przeznaczenia zapewnia, że nawet jeśli atakujący naruszy jeden segment, jego wpływ zostanie ograniczony.
Architektura Zero-Trust
Zasady Zero-Trust wymagają ścisłej weryfikacji każdego żądania, niezależnie od tego, czy pochodzi ono z sieci, czy spoza niej. Takie podejście minimalizuje zależność od ochrony obwodowej i wymusza szczegółowe kontrole dostępu.
Wdrożenie uwierzytelniania wieloskładnikowego (MFA)
MFA dodaje dodatkową warstwę zabezpieczeń do uwierzytelniania użytkowników, przez co hakerom trudniej jest wykorzystać skradzione dane uwierzytelniające. Wymagając od użytkowników weryfikacji tożsamości za pomocą wielu czynników, organizacje zmniejszają skuteczność kradzieży danych uwierzytelniających.
Regularna aktualizacja i aktualizacja systemów
Niezmienione luki w zabezpieczeniach zapewniają atakującym łatwe wprowadzanie danych. Utrzymywanie spójnego harmonogramu poprawek zapewnia ochronę systemów przed znanymi exploitami, zmniejszając ryzyko ruchu bocznego.
Limit uprawnień
Zastosowanie zasady najmniejszych uprawnień ogranicza dostęp użytkownika tylko do tego, co jest niezbędne dla jego ról. Ogranicza to zdolność atakującego do eskalowania uprawnień lub dostępu do wrażliwych danych, jeśli naraża on konto.
Przeprowadzenie szkolenia dla pracowników
Edukowanie pracowników na temat prób phishingu i taktyk socjotechnicznych pomaga zmniejszyć ryzyko wstępnego naruszenia bezpieczeństwa. Regularne sesje szkoleniowe zapewniają, że pracownicy są świadomi pojawiających się zagrożeń i rozumieją najlepsze praktyki w zakresie utrzymania bezpieczeństwa.
Zapobieganie nieuprawnionemu dostępowi za pomocą silnych haseł
Silne, unikalne hasła mają kluczowe znaczenie dla zapobiegania nieupoważnionemu dostępowi do sieci. Słabe lub ponownie używane hasła są powszechnym celem atakujących w celu zwiększenia uprawnień lub przejścia między systemami. Egzekwowanie skomplikowanych zasad haseł, wdrażanie uwierzytelniania wieloskładnikowego (MFA) i regularne rotowanie poświadczeń może zmniejszyć to ryzyko. Zachęcanie menedżerów do korzystania z haseł pomaga zapewnić bezpieczeństwo i unikalność haseł. Ponadto zastosowanie zasady najmniejszych uprawnień zapewnia użytkownikom dostęp tylko do potrzebnych zasobów, co dodatkowo ogranicza nieautoryzowany dostęp.
Jak ewoluują cyberataki w 2025 roku
Cyberataki stają się coraz bardziej złożone, rozległe i niebezpieczne. Od ransomware i phishingu po ataki na łańcuch dostaw i exploity wspomagane przez AI – cyberprzestępcy nieustannie dostosowują swoje metody, by omijać zabezpieczenia i wykorzystywać luki. Zrozumienie tych zmian jest kluczowe dla budowania odporności cyfrowej.
Raport o Ryzyku Cybernetycznym 2025
Najnowszy raport Trend Micro przedstawia dogłębną analizę zmieniającego się krajobrazu zagrożeń, wskazując nowe wektory ataków, wzorce ryzyka i strategiczne rekomendacje dla organizacji. To obowiązkowa lektura dla każdego, kto chce skutecznie przeciwdziałać cyberatakom.
Jakie rozwiązania zabezpieczające mogą pomóc w przypadku ataków typu lateral movement?
Zespoły ds. bezpieczeństwa potrzebują czegoś więcej niż tylko widoczności. Potrzebują przejrzystości, priorytetyzacji i szybkiego, skoordynowanego działania, aby chronić swoją organizację przed atakami typu lateral movement Trend Vision One™ Security Operations (SecOps) łączy w sobie nasze nagradzane rozwiązania XDR, agentowe SIEM oraz agentowe mechanizmy orkiestracji, automatyzacji i reagowania (SOAR), aby pomóc zespołom skupić się na tym, co najważniejsze.
Joe Lee
Wiceprezes ds. zarządzania produktami
Joe Lee jest wiceprezesem ds. zarządzania produktami w Trend Micro, gdzie kieruje globalną strategią i rozwojem produktów w zakresie rozwiązań bezpieczeństwa poczty elektronicznej i sieci dla przedsiębiorstw.
Często zadawane pytania (FAQ)
Czym jest ruch lateralny w cyberbezpieczeństwie?
Ruch lateralny to przemieszczanie się atakującego po sieci w celu uzyskania dostępu do wrażliwych danych.
Jakie ataki wykorzystują ruch lateralny?
Zaawansowane zagrożenia, ransomware i ataki wewnętrzne wykorzystują ruch lateralny do eskalacji uprawnień.
Przykłady ataków z ruchem lateralnym?
NotPetya i SolarWinds użyły ruchu lateralnego do rozprzestrzenienia się i kompromitacji systemów.
Jak wykrywać ruch lateralny?
Poprzez analizę zachowań, narzędzia SIEM, monitorowanie punktów końcowych i nietypowego ruchu sieciowego.
Typowe oznaki ruchu lateralnego?
Nietypowe logowania, eskalacja uprawnień, dostęp zdalny i nagły wzrost ruchu wewnętrznego.
Jaki jest wpływ ruchu lateralnego?
Umożliwia głęboką infiltrację, kradzież danych, ransomware i długotrwały dostęp bez wykrycia.