Горизонтальное перемещение (lateral movement) — один из этапов атаки на организацию, во время которого злоумышленник, уже сумевший проникнуть внутрь корпоративной инфраструктуры и закрепиться в ней, начинает продвигаться по сети от точки входа (например, скомпрометированного устройства или аккаунта) к другим объектам.
Если представить компьютерные сети в виде уровней, то интернет будет на одном уровне, а корпоративная сеть — на другом. Чтобы проникнуть в инфраструктуру компании, злоумышленник пытается с уровня интернета перейти на уровень корпоративной сети, то есть передвигается вертикально. Системы, подключенные к корпоративной сети, находятся на одном уровне, поэтому, перемещаясь между ними, злоумышленник двигается горизонтально.
Примером горизонтального перемещения могут служить попытки преступника получить доступ к серверам организации после взлома учетной записи одного из сотрудников. Чаще всего этот термин употребляется в контексте целевых атак, однако перемещаться по сети может и вредоносное ПО массового распространения.
Техники горизонтального перемещения
Попав внутрь сети, злоумышленник может предпринять один из нескольких вариантов действий для дальнейшего горизонтального перемещения:
- Получить доступ к целевым базам данных и сетевым ресурсам от имени пользователя скомпрометированной системы, у которого уже есть соответствующие права.
- Разослать от имени владельца взломанного компьютера фишинговые письма, нацеленные на компрометацию аккаунтов пользователей с более высокими привилегиями.
- Просканировать внутреннее сетевое окружение в поисках незащищенных объектов — открытых портов, приложений с известными уязвимостями, устройств с паролями по умолчанию — и воспользоваться ими в случае успеха.
- При помощи вредоносных программ попытаться похитить пароли и секретные ключи, хранящиеся на скомпрометированной машине.
Противодействие горизонтальному перемещению
Действуя внутри сети компании, киберпреступник получает дополнительные преимущества, так как не попадает в поле зрения средств безопасности, нацеленных на защиту от внешних угроз. Однако поведение злоумышленника в ходе горизонтального перемещения обычно не укладывается в типовые сценарии внутренних коммуникаций, что позволяет обнаружить вредоносную активность.
Противодействие атакам с горизонтальным перемещением по сети включает:
- применение списков разрешенных приложений;
- жесткий контроль над правами доступа;
- строгие политики в отношении парольной защиты и аутентификации;
- использование систем поведенческого анализа UBA и UEBA;
- использование решений класса Endpoint Detection & Response (EDR);
- анализ сетевого трафика (NTA);
- применение специализированных средств борьбы с инсайдерскими угрозами.