A 23andMe é uma empresa de genômica pessoal e biotecnologia sediada em Sunnyvale, Califórnia, conhecida por seus kits de teste genético direcionados ao consumidor. Conforme um post em seu blog em 6 de outubro de 2023, a empresa admitiu ser vítima de um ataque de preenchimento de credenciais em seu site. Esse ciberataque envolveu o uso de credenciais de login roubadas para permitir acesso não autorizado às informações pessoalmente identificáveis de inúmeros usuários sem comprometer diretamente o banco de dados da 23andMe. Um aspecto notável desse incidente foi a exploração de uma funcionalidade que permitia aos usuários compartilhar suas informações genéticas com parentes, possibilitando que os invasores se movessem lateralmente por contas conectadas nas árvores genealógicas genéticas dos usuários, amplificando consideravelmente o impacto da violação.

O que é um Ataque de Movimento Lateral

Embora não seja um exemplo real de um ataque de movimento lateral, o exemplo da 23andMe demonstra como os invasores podem se mover lateral ou horizontalmente de um sistema comprometido para outro. O movimento lateral depende do tráfego ‘leste/oeste’, geralmente considerado rotineiro dentro de uma rede. Os usuários podem realizar tarefas como verificar e-mails, acessar aplicativos baseados em nuvem e navegar por ativos internamente. Isso difere do tráfego ‘norte/sul’, que viaja para dentro e para fora da rede e está sujeito a firewalls e ferramentas de detecção de endpoint.
As técnicas de movimento lateral podem variar, mas geralmente envolvem a exploração de vulnerabilidades ou falhas na configuração de rede, sistema ou aplicativo para obter acesso não autorizado a recursos adicionais. Os atores de ameaças podem usar credenciais comprometidas, empregar malware como worms, ferramentas de acesso remoto ou aproveitar-se de configurações inadequadas para se moverem silenciosamente pela rede, tornando mais desafiador para os defensores detectar e mitigar suas atividades. Esse movimento lateral permite que um invasor realize reconhecimento e busque privilégios de nível mais alto ou acesso a dados sensíveis. Invasores são conhecidos por se moverem lateralmente pela rede da vítima por dias, semanas ou até meses.

Por que os Ataques de Movimento Lateral são Difíceis de Detectar

Detectar movimentos laterais em um ataque é uma tarefa formidável, pois muitas vezes espelha ações legítimas quando os invasores possuem credenciais válidas. Essa tática conhecida como “viver da terra” permite que os invasores simplesmente se comportem como usuários reais. Essa situação pode ser comparada a um invasor ganhando controle de uma conta de mídia social e navegando facilmente por perfis, grupos e conteúdos conectados. Como o provedor de mídia social pode discernir se as ações são legítimas? Mesmo com registros e monitoramento em vigor, esses comportamentos suspeitos podem se perder na avalanche de alertas gerados pelos diversos sistemas de uma rede moderna.

A Detecção Precoce é a Chave

A triste realidade de que movimentos laterais não autorizados são difíceis de detectar é o que os torna uma tática preferida entre os atores de ameaças. Estima-se que aproximadamente 60% dos ataques envolvem movimentos laterais, destacando a necessidade de desenvolver métodos eficazes de identificação. Por serem tão difíceis de discernir, a detecção precoce é a chave. A detecção precoce permite que as organizações intervenham proativamente e mitiguem uma ameaça antes que ela progrida, reduzindo assim o potencial de danos e interrupções causados por ataques avançados que empregam técnicas de movimento lateral.
Ferramentas Básicas para Impedir ou Reduzir Movimentos Laterais
Você não precisa se preocupar com algo que nunca acontece. Uma maneira de fazer isso é empregar medidas de segurança adicionais, como Autenticação Multi-Fator (MFA), para fortalecer o acesso do usuário. Os invasores precisam de credenciais válidas antes de poderem se mover lateralmente por sua infraestrutura de TI. O MFA exige múltiplas formas de autenticação, o que impede ataques simples de preenchimento de credenciais. Ao implementar o MFA, as organizações podem evitar o acesso não autorizado e mitigar o risco de movimentos laterais desde o início.
Você também pode bloquear movimentos laterais dividindo sua rede em partições separadas com microssegmentação. Essa segmentação da rede é feita usando controles de acesso rigorosos que permitem apenas comunicação autorizada entre segmentos ou cargas de trabalho específicos. Esse design ajuda a conter uma violação ou surto de malware e evita movimentos laterais adicionais entre sistemas.

Monitoramento e Análise Avançados em Tempo Real

Enquanto as soluções de monitoramento tradicionais simplesmente encaminham vastos números de alertas e eventos de registro para uma equipe centralizada, as soluções de monitoramento avançadas de hoje utilizam ferramentas e algoritmos sofisticados para detectar anomalias, como um usuário acessando um aplicativo incomum ou alterações nas regras de aplicativos. Elas podem incorporar análise comportamental e aprendizado de máquina para estabelecer uma linha de base de comportamento normal. Qualquer desvio dessas linhas aciona alertas para equipes de segurança investigarem mais a fundo. Ao analisar padrões e anomalias, essas soluções podem identificar atividades suspeitas, como acesso não autorizado, escalonamento de privilégios ou transferências de dados incomuns que podem indicar movimento lateral.
Enquanto muitas pequenas e médias empresas podem não ter recursos para adquirir soluções avançadas de cibersegurança e talentos, estão cada vez mais dependendo de Centros de Operações de Segurança (SOCs). SOCs como CYREBRO podem não apenas incorporar essas ferramentas avançadas, mas também empregar pessoal dedicado com a expertise para interpretar e responder efetivamente aos alertas de segurança. Analistas da CYREBRO utilizam ferramentas de monitoramento inteligente para proteger a continuidade dos negócios 24/7.

Usando o Framework MITRE ATT&CK

O framework MITRE ATT&CK fornece um catálogo abrangente de técnicas e táticas conhecidas de adversários, oferecendo às organizações uma maneira de se manterem informadas sobre os métodos de ataque mais recentes e estratégias de movimento lateral empregadas por atores de ameaças, permitindo identificá-los. O framework pode ser incorporado em avaliações de risco para avaliar a postura de segurança contra táticas de movimento lateral e em planos de resposta a incidentes para acelerar os esforços de mitigação. Alinhar seus controles e medidas de segurança com táticas e técnicas documentadas do ATT&CK permite que seu negócio digital se prepare proativamente para desafios inevitáveis, uma abordagem estratégica adotada pela CYREBRO.

Conclusão
Detectar movimentos laterais apresenta um desafio significativo para empresas que buscam fortalecer suas defesas digitais, mas, devido ao fato de que os atores de ameaças persistentemente empregam essa tática, lidar com ela é inevitável. No final das contas, não importa se um ataque é horizontal ou vertical, o objetivo é proteger sistemas e dados contra atores de ameaças e códigos maliciosos. Confiar sua cibersegurança a um MDR experiente alivia a preocupação com a direção de um ataque. Assim como a detecção precoce de câncer, a identificação oportuna é crucial, e por meio do monitoramento contínuo e da integração de frameworks como o MITRE ATT&CK, esse objetivo pode ser alcançado.