Imagem predominantemente azul. À esquerda temos o título "o que é movimentação lateral e como prevenir?" e à direita uma imagem de 6 computadores em formato de pirâmide com um homem de capuz ao fundo.

No mundo do cibercrime, existem diversos tipos de ataques que os criminosos utilizam para atingir o seu objetivo final: conseguir informações privilegiadas de uma organização.

Para estes ataques acontecerem, há algumas táticas que podem ser usadas. Hoje, entenderemos a movimentação lateral e como ela funciona em ciberataques.

Movimentação lateral: o que é? 

A movimentação lateral acontece uma vez que o criminoso já conseguiu acesso a rede. Esse acesso primário pode ter sido através de um malware ou uma credencial vazada. Uma vez dentro do sistema, agora ele precisa se movimentar para conseguir informações que julga necessárias, sejam mais dados ou mais portas de entradas.

Assim, a movimentação lateral é uma técnica em que os agentes de ameaças navegam pela rede ou sistema comprometido, movendo-se furtivamente de um usuário para outro, expandindo o seu domínio.

Para isso, o hacker começará a explorar vulnerabilidades pela rede, indo em busca de outros dispositivos. Usando a credencial que possui no momento, o criminoso irá se movimentar de forma lateral (também chamado de movimentação horizontal).

Para conseguir fazer essa movimentação, os invasores usam contas comprometidas, credenciais roubadas ou vulnerabilidades encontradas.

Por que a movimentação lateral é utilizada? 

A movimentação lateral é usada geralmente como uma porta de entrada para ataques maiores. Entre seus objetivos, estão:

Escalação de privilégio 

A escalação de privilégio é um tipo de ataque cibernético em que os atacantes usam o movimento lateral para conseguir aumentar os privilégios dentro da organização até conseguir acesso de administrador, podendo assim ter o controle dos sistemas e acessar todos os tipos de informações e dados sensíveis que quiser.

Exfiltração de dados 

Ao mover-se pela rede, o cibercriminoso consegue ter acesso a diversos tipos de dados e propriedades intelectual da empresa, descobrindo quem tem acesso e como conseguir essas informações. Esse tipo de movimentação acontece de forma gradual, passando despercebido, o que aumenta as chances de conseguir acesso a repositórios confidenciais.

Difícil detecção 

Antes mesmo de se mover, o criminoso irá entender como é o tráfego usual da rede. Assim, quando começa a movimentação horizontal, consegue se camuflar nela, parecendo ser parte do fluxo legítimo.

Outro fator que ajuda na demora de sua detecção é que alguns monitoramentos focam somente em alguns pontos de entrada, sem levar em conta a rede como um todo. Algumas organizações ainda mantém a mentalidade antiga de cibersegurança, de acreditar que tudo que está interno na rede, é de confiança, e devem se atentar somente ao externo. Este é um grande erro, pois nisso, os cibercriminosos expandem rapidamente o seu domínio na rede.

Ataques de ransomware 

O ransomware é um tipo de ataque em que há o sequestro de dados para depois fazer um pedido de resgate para a empresa. Com a movimentação lateral, os atacantes conseguem essas informações que utilizarão mais tarde para extorquir a organização, o que pode gerar grandes perdas de lucro e em alguns casos, alto tempo de inatividade.

Criação de botnets 

Nem sempre o que o cibercriminoso quer é alguma informação que está em seu dispositivo, mas o que ele precisa é do seu dispositivo em si. Para grandes ataques, cibercriminosos fazem o uso de botnets, que são uma rede de dispositivos sendo controlados por um hacker central. Muitos desses dispositivos são de vítimas que foram infectadas e são controladas pelo atacante sem saberem, mas fazem parte de um ciberataque.

Estágios da movimentação lateral 

A movimentação lateral possui os seguintes estágios principais:

  • Comprometimento: a movimentação lateral começa com o comprometimento do sistema, quando o invasor consegue entrar na rede.

  • Reconhecimento: dentro da rede, é o momento de entender como ela funciona, pontos de vulnerabilidades, alvos e localização de ativos.

  • Roubo de credenciais: com o roubo de credenciais, os atacantes conseguem se locomover pela rede e conseguir acessos. Em alguns casos, usam credenciais para escalonar privilégios.

  • Exploração e sucesso: com as credenciais, é possível começar a movimentação lateral e expandir o controle. Assim, conseguem alcançar seus objetivos, explorando os recursos.

Como prevenir a movimentação lateral 

Cibercriminosos usam diversas táticas para entrar nos sistemas de empresas e conseguir algum benefício. A segurança cibernética está avançando rapidamente, disponibilizando cada vez mais recursos para proteger sua infraestrutura dos ataques iminentes desses criminosos.

Estas são algumas medidas que podem ser tomadas para prevenir a movimentação lateral:

Gestão de  identidade e acesso

O uso de credenciais comprometidas é o principal recurso que o cibercriminoso usa para se locomover lateralmente na rede. Por isso, é necessário fazer o gerenciamento de identidade e acesso (IAM) de forma completa para não ocorrer nenhum vazamento, e caso ocorra, seja possível mitigar o incidente rapidamente.

Um dos recursos que o IAM oferece é o MFA, o multifator de autenticação, que adiciona uma camada de proteção a sua credencial. Assim, mesmo com uma conta comprometida, o acesso se torna mais difícil.

Aplique o Zero Trust 

Já houve a mentalidade que tudo o que estava interno na rede, era confiável e só havia preocupação com as ameaças externas. Com o tempo e evolução dos ataques, mostrou-se que isso não era verdade. Foi então que surgiu o conceito do Zero Trust: nunca confie, sempre verifique.

Este modelo traz políticas rigorosas de verificação de usuários dentro e fora do perímetro, como microssegmentação, acesso com privilégio mínimo, MFA e monitoramento contínuo.

Verificação de endpoints 

A verificação de endpoints é importante para detectar vulnerabilidades que podem ser brechas, manter patches atualizados e antimalwares para evitar que atacantes usem estes pontos como porta de entrada para a rede.

Monitoramento do usuário 

Usar uma solução com UEBA garante o entendimento padrão do comportamento do usuário. Assim, no caso de credenciais comprometidas, ações que saiam desse padrão serão consideradas anomalias e sinalizarão sinais de alerta.

Análise de tráfego 

A análise de tráfego ajuda a entender o que caminhou por sua rede, monitora os logs para saber os acessos (inclusive quem conseguiu e quem não obteve acesso), registros de firewall e de aplicações que podem mostrar anomalias.

É possível prevenir a movimentação lateral? 

A movimentação lateral pode ser uma das melhores táticas para cibercriminosos, se empregadas de forma cautelosa, e principalmente para fazer a escalonação de privilégios.

A ManageEngine possui diversas soluções que podem ajudar as empresas a tornar a cibersegurança mais eficaz contra essa técnica.

O AD360 é uma solução IAM que possui os mais completos recursos para a gestão de identidade e acesso, como gerenciamento automatizado do ciclo de vida da identidade, SSO, MFA adaptável, fluxos de trabalho baseados em aprovação, proteção contra ameaças à identidade orientada por UBA e relatórios históricos de auditoria, incluindo políticas para estabelecer o Zero Trust.

O Endpoint Central é a solução adequada para o monitoramento e gerenciamento de endpoints, incluindo implementação automatizada de patches, detecção e correção de ameaças, proteção contra ransomwares e gerenciamento de privilégios.

Para completar, o Log360 é nossa ferramenta SIEM que identifica ataques por meio de análise UEBA e faz correlação de eventos em tempo real, além da gestão de logs.

Saiba mais sobre nossas soluções e como elas podem te ajudar em nosso site!

 

Escrito por Mavi Tartaglia