Movimentos laterais: melhores práticas para proteger a sua rede

O movimento lateral e o roubo de credenciais estão presentes em quase todas as tentativas de ataques desde os últimos 10 anos; é fundamental que as organizações priorizem a resposta e o alerta precoce face a este tipo de técnicas.

O que é o movimento lateral?

Os movimentos laterais são técnicas de ataques de hackers informáticos que são utilizadas para se propagarem através de uma rede, procurando ativos e informações importantes. Para aumentar as probabilidades de encontrar a localização ou os dados importantes, um hacker quase sempre recorrerá a estas técnicas de movimento lateral.

A maioria destas técnicas baseia-se no uso de credenciais privilegiadas e técnicas que imitam o que fazem os administradores de domínio do Windows todos os dias; isto é precisamente o que faz com que a deteção seja tão difícil para a maioria das organizações, supondo que as ferramentas antimalware não consigam detetar o conjunto de ferramentas maliciosas.

Ações a realizar para a sua mitigação

1. Aplicar o princípio do privilégio mínimo.

Limitar a distribuição de contas privilegiadas e monitorizar o uso de credenciais privilegiadas em tempo real é fundamental para começar a detetar movimentos laterais dentro da rede. Os utilizadores da rede devem ter contas e acessos escalonados segundo os critérios e as políticas marcadas pelo administrador.

2. Implementar uma lista branca para as aplicações.

Que só permita que as aplicações legítimas se executem na rede e se registrem todas as tentativas de início de outras aplicações. As listas brancas de aplicações não são uma solução infalível para a mitigação do adversário, mas podem dificultar a atuação dos exploits e fazer com que os hackers façam mais ruído, o que aumenta as possibilidades de deteção.

3. Utilize o duplo fator de autenticação (2FA)

É preocupante a quantidade de sistemas que hoje em dia ainda usam autenticação de fator único para administrar o acesso à conta e à rede. A habilitação de 2FA nos sistemas que o admitem e especialmente em qualquer aplicação web com ligação à Internet pode ajudar a melhorar as suas possibilidades de evitar o escalonamento de privilégios que permitem o movimento lateral.

4. Criar palavras-passe seguras automatizadas e aumentar a proteção da conta.

Além do 2FA, a sua empresa pode beneficiar da camada adicional de segurança que podem proporcionar os protocolos de palavra-passe automatizados e as ferramentas de administração de chaves SSH. As palavras-passe únicas que utilizam estas ferramentas eliminam uma parte considerável dos ataques de força bruta.

5. Utilizar tecnologias tipo IDS para detetar uma possível brecha de intrusão.

Uma vulnerabilidade considerável para os Hackers informáticos é aproveitar o rastreio de portas para determinar a sua localização. Um sistema de deteção de intrusos (IDS) ligado à rede detetará sinais do rastreio de portas para que nos envie um alerta antes que seja demasiado tarde.

6. Utilizar serviços geridos e deteção de alerta precoce.

Utilizar serviços geridos para responder perante ameaças, que incluam novos sistemas de busca, deteção e resposta face a ameaças que combinem tecnologia de machine learning com análise de consultores especializados para neutralizar ataques complexos por diferentes vetores