Lateral movement (yatay hareket), saldırganların ele geçirilmiş bir ağda daha derine ilerlemek, ek sistemleri kontrol altına almak veya hassas verilere ve açık noktalara erişmek için kullandıkları yöntemlerdir.
İçindekiler
Saldırganlar, hassas verilere veya kritik sistemlere doğrudan yönelmek yerine, genellikle ağı keşfetmek, ayrıcalıklarını yükseltmek, yüksek değerli hedefleri belirlemek ve uzun süreli erişim sağlamak için kalıcılık oluşturmak üzere zamanlarını kullanırlar. Bu planlı ve sistematik yaklaşım, gelişmiş sürekli tehditler (APT’ler) ve diğer sofistike siber saldırılar için oldukça yaygındır.
İhlal tespit edilse bile saldırgan, tespit edilmesini önlemek için ağ içinde yanal olarak hareket etmek üzere varlığını koruyabilir. Saldırganlar, ağda kalıcılık sağlamayı başarıp tespit edilmeden hareket ederse, fidye yazılımı saldırıları, veri sızdırma veya siber casusluk yoluyla kuruma ciddi zararlar verebilirler.
Yanal hareketin aşamaları
Yanal hareket saldırıları tek aşamalı bir süreç değildir, ağlara sızmak ve ağlardan yararlanmak için çok aşamalı bir süreçle dikkatlice yürütülür. Aşağıda, yanal hareketin tipik aşamaları özetlenmektedir:
Keşif
Keşif aşamasında saldırganlar, ağın yapısını haritalandırarak bağlı cihazları tespit eder ve değerli hedefleri aramaya başlar. Saldırganlar, hassas verilerin konumu, kimlik bilgileri ve güvenlik yapılandırmaları dahil olmak üzere ağı keşfedecek ve haritalandıracak. Bu, saldırganın sistemler arasındaki ilişkileri anlamasına ve sonraki adımlarını planlamasına yardımcı olurken güvenlik tehditlerinden tespit edilmelerini önlediği için kritik bir aşamadır.
Kimlik bilgisi toplama
Keşif tamamlandıktan sonra, saldırganlar genellikle kullanıcı adları, parolalar veya parola karmaları gibi kimlik bilgilerini tehlikeye giren sistemlerden toplamaya odaklanacaktır. Mimikatz gibi kimlik bilgisi toplama araçları ya da zayıf şifrelere yönelik kaba kuvvet (brute force) saldırıları, yüksek ayrıcalıklı hesaplara erişim sağlamak için yaygın olarak kullanılan yöntemlerdir. Bu çalınan kimlik bilgileri, saldırganların meşru kullanıcıları taklit etmesine olanak tanıyarak şüphe uyandırmadan ağda yanal olarak hareket etmelerini sağlar.
Ayrıcalık eskalasyonu
Ayrıcalık eskalasyonu, daha yüksek düzeyli izinler almak için yazılım güvenlik açıklarından, yanlış yapılandırmalardan veya kötü erişim kontrollerinden yararlanmayı içerir. Saldırganlar, kritik sistemlere sınırsız erişim elde etmek için idari ayrıcalıklar elde etmek amacıyla bir uygulamadaki kusurları kötüye kullanabilir. Ayrıcalık eskalasyonu, bir yanal hareket saldırısında çok önemli bir aşamadır, çünkü saldırganın ağa daha derine inme yeteneğini önemli ölçüde artırır.
Yatay hareket
Saldırganlar yeterli kimlik bilgilerine ve ayrıcalıklara sahip olduktan sonra yanal harekete geçebilirler. Bu, ağ içinde bir sistemden diğerine gitmeyi, kaynaklara erişmeyi ve saldırılarının son aşamalarına hazırlanmayı ve ayrıca bir güvenlik ekibinin saldırıyı durdurabilecek kullanabileceği karşı önlemleri almayı içerir. Saldırganlar, normal operasyonlarla uyum sağlamak ve tespitten kaçınmak için Uzak Masaüstü Protokolü (RDP), PowerShell veya Windows Yönetim Araçları (WMI) gibi meşru araçları kullanabilir. Saldırganlar ayrıca, ilk giriş noktaları keşfedilse ve kapatılsa bile ağa erişimi sürdürmek için arka kapıları kurabilir veya kalıcılık mekanizmaları oluşturabilir.
Hedefe erişim ve uygulama
Saldırganlar yanal olarak ilerledikten sonra hedef sistemlerine ulaşır ve bu sistemler hassas verileri, fikri mülkiyeti veya kritik altyapıyı barındırabilir. Saldırılar ayrıca dosyaları şifrelemek, hassas verileri sızdırmak veya operasyonel kesintiye neden olmak için sistemleri devre dışı bırakmak için fidye yazılımı gibi kötü amaçlı yazılımları da çalıştırabilir. Bu aşama genellikle yanal hareket sürecinin doruk noktasıdır. Saldırganlar ağa ne kadar uzun süre tespit edilmeden erişim sağlayabilirlerse, o kadar kapsamlı hasar verebilirler.
Ne tür saldırılar yanal hareket kullanır?
Fidye yazılımı saldırıları
Yanal hareket, fidye yazılımı kampanyalarının önemli bir bileşenidir. Saldırganlar, kötü amaçlı yazılımları yaymak için sistemler arasında geçiş yaparak dosyaları şifrelemeden ve ödeme talep etmeden önce etkisini en üst düzeye çıkarır. Bu strateji, tüm kuruluşların felç olmasına yol açabileceği için fidye ödemelerinin yapılma olasılığını artırır.
Veri sızması
Saldırganlar, hassas bilgileri bulmak ve çıkarmak için genellikle yanal harekete güvenir. Ağın farklı bölümlerine sızarak, fikri mülkiyet, finansal kayıtlar veya kişisel olarak tanımlanabilir bilgiler (PII) gibi değerli verileri tanımlayabilirler. Başarılı veri sızması, kuruluşlar için ciddi itibar ve finansal zarara neden olabilir.
Casusluk ve gelişmiş kalıcı tehditler (APT'ler)
Devlet sponsorluğundaki aktörler ve sofistike bilgisayar korsanlığı grupları, uzun süreler boyunca yüksek değerli sistemlere sızmak için yanal hareketi kullanır. Bu saldırganlar, ağ içinde sürekli bir varlığı sürdürmeyi, istihbarat toplamayı ve kritik altyapıyı tespit etmeden tehlikeye atmayı amaçlar.
Botnet Enfeksiyonu
Botnet saldırılarında, yatay hareket saldırganların ağdaki daha fazla cihazı ele geçirmesini sağlar. Saldırganlar, birden fazla uç noktaya bulaşarak botnetlerini genişletebilir ve saldırılarının ölçeğini artırabilir. Bu, dağıtık hizmet engelleme (DDoS) saldırıları başlatmayı veya geniş çaplı spam kampanyaları yürütmeyi içerebilir.
Yanal hareket nasıl tespit edilir
Kimlik doğrulama günlüklerini izleyin
Kimlik doğrulama günlükleri, yanal hareketi tespit etmek için hayati bir bilgi kaynağıdır. Tekrarlanan başarısız oturum açma, olağandışı konumlardan başarılı oturum açma veya tuhaf saatlerde beklenmedik erişim gibi işaretler kötü amaçlı bir aktiviteye işaret edebilir. Bu günlüklerin düzenli olarak gözden geçirilmesi, yetkisiz erişim girişimlerini belirlemeye yardımcı olur.
EDR ve XDR çözümlerini kullanın
Uç nokta tespit ve müdahale (EDR) araçları, yetkisiz idari komutlar gibi şüpheli faaliyetler için bireysel cihazları izler. Ancak, özellikle saldırganlar kaçınma taktikleri kullandığında veya korumayı devre dışı bıraktığında, EDR tek başına yanal hareketi tam olarak tespit edemeyebilir. Genişletilmiş tespit ve müdahale (XDR), verileri uç noktalar, ağ, sunucu ve bulut ortamlarına entegre ederek bunu ele alır. XDR, bu katmanlar arasındaki etkinlikleri ilişkilendirerek görünürlüğü artırır ve EDR'yi atlayabilecek tehditlerin tespit edilmesine yardımcı olarak yanal hareketi belirlemek için önemli bir çözüm haline getirir.
Ağ trafiğini analiz edin
Ağ trafiği analizi (NTA) araçları, ağ içindeki düzensiz veri akışlarının belirlenmesine yardımcı olur. Örneğin, ilgisiz sistemler arasındaki beklenmedik dosya aktarımları veya harici hedeflere aşırı veri yüklemeleri, yanal hareketin güçlü göstergeleridir.
Davranış için temelleri belirleyin
Kuruluşlar, normal aktivite için temeller oluşturarak anormallikleri daha kolay belirleyebilir. Örneğin, nadiren kullanan bir sistemde PowerShell kullanımında ani bir artış, saldırganın varlığını gösterebilir. Temel izleme, etkin kalabilmek için tutarlı kayıt ve analiz gerektirir.
Yanal hareket nasıl önlenir
Ağ segmentasyonu uygulama
Ağları izole segmentlere ayırmak, saldırganların sistemler arasında serbestçe hareket etme yeteneğini sınırlar. Örneğin, kritik altyapıyı genel amaçlı cihazlardan ayırmak, bir saldırgan bir segmenti tehlikeye atsa bile etkilerinin kontrol altına alınmasını sağlar.
Sıfır güven mimarisini benimseyin
Sıfır güven ilkeleri, ağ içinde veya dışında kaynaklanıp kaynaklanmadığına bakılmaksızın her talep için kesin doğrulama gerektirir. Bu yaklaşım, çevre savunmalarına olan bağımlılığı en aza indirir ve granüler erişim kontrollerini uygular.
Çok faktörlü kimlik doğrulama (MFA) uygulayın
MFA, kullanıcı kimlik doğrulamasına ekstra bir güvenlik katmanı ekleyerek saldırganların çalınan kimlik bilgilerini kötüye kullanmasını zorlaştırır. Kuruluşlar, kullanıcıların kimliklerini birden fazla faktör aracılığıyla doğrulamalarını zorunlu kılarak kimlik bilgileri hırsızlığının etkinliğini azaltır.
Sistemleri düzenli olarak güncelleyin ve yamalayın
Yamalanmamış güvenlik açıkları, saldırganlar için kolay giriş noktaları sağlar. Tutarlı bir yama programının sürdürülmesi, sistemlerin bilinen istismarlara karşı korunmasını sağlayarak yanal hareket riskini azaltır.
Ayrıcalıkları sınırla
En az ayrıcalık ilkesinin uygulanması, kullanıcı erişimini yalnızca rolleri için gerekli olanlarla sınırlar. Bu, saldırganların bir hesabı tehlikeye attıkları takdirde ayrıcalıkları eskale etme veya hassas verilere erişme yeteneğini sınırlar.
Çalışan eğitimini yürütün
Çalışanlara yönelik kimlik avı (phishing) saldırıları ve sosyal mühendislik teknikleri konusunda eğitmek, ilk güvenlik ihlali riskini azaltmada önemli bir rol oynar. Düzenli eğitim oturumları, personelin ortaya çıkan tehditlerin farkında olmasını ve güvenliğin sürdürülmesine yönelik en iyi uygulamaları anlamasını sağlar.
Güçlü parolalarla yetkisiz erişimi önleme
Güçlü, benzersiz parolalar, bir ağ içinde yetkisiz erişimi önlemede çok önemlidir. Zayıf veya yeniden kullanılan parolalar, saldırganların ayrıcalıkları eskale etmeleri veya sistemler arasında hareket etmeleri için ortak hedeflerdir. Karmaşık parola politikalarını uygulamak, çok faktörlü kimlik doğrulama (MFA) uygulamak ve kimlik bilgilerini düzenli olarak döndürmek bu riski azaltabilir. Parola yöneticilerinin kullanımını teşvik etmek, parolaların güvenli ve benzersiz olmasını sağlamaya yardımcı olur. Ayrıca, en az ayrıcalık ilkesinin uygulanması, kullanıcıların yalnızca ihtiyaç duydukları kaynaklara erişmesini sağlayarak yetkisiz erişimi daha da sınırlandırır.
Hangi güvenlik çözümleri yanal hareket saldırılarında yardımcı olabilir?
Güvenlik ekipleri, görünürlükten daha fazlasına ihtiyaç duyar. Organizasyonlarını yanal hareket saldırılarından korumak için netliğe, önceliklendirmeye ve hızlı, koordineli eyleme ihtiyaç duyarlar. Trend Vision OneExpert Security Operations (SecOps), ödüllü XDR, agentic SIEM ve gelişmiş güvenlik orkestrasyonu, otomasyonu ve yanıt (SOAR) çözümlerimizi bir araya getirerek ekiplerin en önemli konulara odaklanmasına yardımcı olur.
Joe Lee
Ürün Yönetimi Başkan Yardımcısı
Joe Lee, Trend Micro’da Ürün Yönetimi Başkan Yardımcısıdır ve burada kurumsal e-posta ve ağ güvenliği çözümleri için küresel strateji ve ürün geliştirmeden sorumludur.