Il Lateral movement è da considerare una fase della compromissione di un sistema che, a sua volta, precede la fase del ricorso a minacce persistenti avanzate. Una sorta di breccia che consente di scavare un tunnel lungo la rete e i sistemi aziendali.

È il punto di ingresso mediante il quale gli attaccanti percorrono i perimetri dell’azienda e, benché la sua narrazione restituisca l’immagine di qualcosa di facilmente rilevabile, come vedremo con l’ausilio dell’ingegnere Pierluigi Paganini – membro ENISA e Ceo CYBHORUS – non è così.

Ci sono, tuttavia, alcuni accorgimenti per aumentare la possibilità di rilevare il Lateral movement e, parallelamente, ci sono tecniche e tecnologie utili a mitigarne gli effetti. Occorre però sviscerare l’argomento per comprenderne la totalità della portata.

La filosofia del Lateral movement

Spesso descritto come una tecnica, il Lateral movement è da considerare in realtà una tecnica in più fasi, se non persino un insieme di tecniche usate dagli hacker per entrare all’interno di una rete mediante un punto di accesso e poi percorrerla spostandosi da un sistema all’altro al fine di fare incetta della maggior quantità di informazioni possibili.

Non dimeno, prerogativa del Lateral movement, è quella di acquisire privilegi di alto livello per garantire un accesso costante e persistente ai sistemi.

Ciò è possibile sfruttando vulnerabilità zero day ma anche ricorrendo a malware.

La filosofia alla base del Lateral movement, per quanto semplice e inquietante nel medesimo tempo, non rende giustizia alle sue potenzialità.

Infatti, una volta penetrato il perimetro aziendale, il Lateral movement ricorre a ciò che viene chiamato “living off the land”, ossia fa leva sugli strumenti di amministrazione dei sistemi e delle reti per muoversi indisturbato e raccogliere informazioni.

Quindi, per fare il punto: il Lateral movement è un insieme di tattiche che sfrutta vulnerabilità per sganciare altre tecniche utili all’ottenimento di credenziali con privilegi elevati al fine di raccogliere il maggior numero di dati possibili in modo persistente, si parla così di Advancend Persistent Threat (APT).

Poiché si tratta di una tecnica di attacco architettata in più fasi, è evidente che i sistemi di difesa debbano agire su più livelli.

Come si identifica il Lateral movement

Compito tutt’altro che facile, così come spiega Pierluigi Paganini. “Iniziamo con il chiarire che con il termine movimento laterale in un attacco informatico si riferisce alla capacità di un attaccante di muoversi attraverso l’infrastruttura compromessa per accedere a altre risorse su essa ospitate. Contrariamente a quanto si possa pensare, individuare questi movimenti può essere davvero complesso quando ci si trova dinanzi attaccanti con elevate capacità tecniche.

Per individuare i movimenti laterali in caso di attacco tipicamente si implementano le seguenti azioni:

• monitoraggio delle attività anomale mediante sistemi di rilevamento delle intrusioni (IDS) e di prevenzione delle intrusioni (IPS). Questi sistemi consentono di monitorare il traffico di rete e rilevare attività sospette o eventuali anomalie (per esempio, connessioni a indirizzi sospetti)
• analisi dei log di sistema, delle applicazioni e delle soluzioni di sicurezza per identificare comportamenti anomali, come tentativi di accesso non autorizzati o ripetuti tentativi di autenticazione falliti
• analisi di indicatori di compromissione (IoC), ovvero evidenze individuate in attacchi passati da aziende di sicurezza ed agenzie governative
• analisi di tutte le modifiche nei permessi degli utenti e dei gruppi per individuare eventuali aumenti di privilegi non autorizzati
• usare applicazioni Endpoint Detection and Response (EDR) per rilevare minacce dispositivi degli utenti finali”.

Un insieme di tecniche e tecnologie di difesa che dovrebbero essere nelle corde di qualsiasi organizzazione. Il Lateral movement è insidioso ma non è impossibile da identificare e da prevenire.

La mitigazione

Il Lateral movement è una minaccia crescente ed è osservata speciale anche nei laboratori di ricerca. All’Università di Waterloo è stato sperimentato un sistema di rilevazione basato sul Machine learning che si è rivelato utile nello scovare gli host di una rete oggetto di un attacco APT il quale, per sua natura, è furtivo e capace di rimanere inattivo per lungo tempo, complicando così le attività per rilevarlo.

Le imprese, spiega l’ingegner Paganini, “Per prevenire movimenti laterali da parte di attaccanti possono:

• segmentare la reti per isolare segmenti al suo interno limitando la capacità di un attaccante di spostarsi da un sistema ad un altro
• utilizzare il “Principio del minimo privilegio” ovvero assegnare agli utenti e ai servizi solo i privilegi strettamente necessari per svolgere le rispettive attività. Tali permessi devono essere regolarmente verificati
• mantenere aggiornati tutti i sistemi e le applicazioni
• monitorare la rete.

Qualora ci si trovi tuttavia dinanzi a movimenti laterali o tentativi – continua Paganini – le principali misure di contenimento sono:

• attivare immediatamente il team di risposta agli incidenti (CSIRT) per contenere la minaccia
• isolare i sistemi compromessi
• disabilitare gli account compromessi o sospetti tali
• aggiornare le regole dei sistemi di difesa, come firewall e IDS/IPS;
• sincerarsi che tutti i sistemi presenti nella rete sia aggiornati per evitare che l’attaccante possa sfruttare vulnerabilità negli stessi durante l’attacco”.

Occorre tenere conto dello spettro probabilistico secondo il quale, anche a causa dell’impiego di Intelligenze artificiali dedite a scovare vulnerabilità, in futuro gli attacchi diventeranno sempre più sofisticati. Ciò che oggi è in grado di offrire un buono scudo difensivo può non essere sufficiente domani.