Netwrix 1Secure offre visibilità unificata su dati e identità — gratuito per 14 giorni con accesso completo.Inizia una prova gratuita

Acquista oraContattaciSupportoComunità
EnglishEspañolItalianoFrançaisDeutschPortuguês
Sicurezza dei Dati
Al GovernanceData Security Posture ManagementGovernance dell'accesso ai datiPrevenzione della Perdita di DatiScoperta e Classificazione dei Dati
Sicurezza di Identity
Identity Threat Detection & ResponseGovernance e Amministrazione di IdentityGestione della postura di sicurezza di IdentityPrivileged Access ManagementSicurezza di Directory

Best practice di Data Security Posture Management

Scopri dove risiedono i tuoi dati sensibili e chi può accedervi

Ottieni la guida
Prodotti in Evidenza
Netwrix 1SecureNetwrix Endpoint ProtectorNetwrix PingCastleNetwrix Access AnalyzerNetwrix Identity ManagerNetwrix Privilege Secure
Prodotti
Netwrix AuditorNetwrix 1Secure for MSPsNetwrix Data ClassificationNetwrix Change TrackerNetwrix Directory ManagerNetwrix Identity RecoveryNetwrix Password Policy EnforcerNetwrix Password SecureNetwrix Platform GovernanceNetwrix PolicyPakNetwrix Threat ManagerNetwrix Threat Prevention

Visibilità unificata su dati e identità. Gratis per 14 giorni con accesso completo

Netwrix 1Secure

Inizia una prova gratuita
Casi d'uso in evidenza Vedi tutti i casi d'uso
Sicurezza di Active DirectoryRilevamento e analisi del rischio di IdentityProntezza per M365 CopilotDifesa dell'Identità Non UmanaConformità RegolamentareSicurezza AI Ombra
Casi d'uso aggiuntivi Vedi tutti i casi d'uso
Revisioni degli accessi e conformitàSicurezza di AD Certificate ServicesGestione delle autorizzazioniRilevamento delle minacce di IdentityFornitori di Servizi GestitiFusioni, Acquisizioni e CessioniSicurezza di Microsoft 365Distribuzione on-premiseScoperta e pulizia dei privilegiGestione e pulizia dei dati ROTGestione delle Password per la Forza LavoroZero Trust

Cassa self-service disponibile per organizzazioni fino a 150 dipendenti

Inizia in pochi minuti

Acquista ora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi di sicurezza di Active Directory Conformità Acquista ora Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie di ClientiQuadri di CybersecurityGlossario di CybersecurityEventiSoftware gratuitoGuidePortale delle IdeeNotiziePodcastPubblicazioniAnnunci di ProdottiRicercaCalcolatore ROIValutazione della Maturità della SicurezzaWebinar

Quanto è matura la tua sicurezza?

Valuta la tua organizzazione e scopri la tua posizione

Fai la valutazione
Partner
Programma PartnerDiventa un partnerMSPsLocalizzatore partnerWebinarAlleanza Microsoft
Asset not found

Storia del cliente in primo piano

AppRiver migliora il controllo su Active Directory riducendo significativamente il tempo di audit
Asset not found

Storia cliente in evidenza

L'MSP aiuta il cliente a recuperare da un ransomware in 6 ore
Perché Netwrix
Chi SiamoLeadershipNetwrix AIStorie dei ClientiRiconoscimentoNotizieCarriere
Asset not found

Storia del cliente in primo piano

Horizon Leisure Centres accelera la Data Classification per conformarsi al GDPR e risparmia £80.000 all'anno
Asset not found

Storia del cliente in evidenza

Il Samsung R&D Institute protegge i dati con utilizzo multipiattaforma e rapido deployment su macOS utilizzando Netwrix Endpoint Protector
Centro risorseBlog
Movimento Laterale: Tecniche degli Attaccanti e Migliori Pratiche per Difendere la Tua Organizzazione

Movimento Laterale: Tecniche degli Attaccanti e Migliori Pratiche per Difendere la Tua Organizzazione

Dec 20, 2023

Unknown block type "undefined", specify a component for it in the `components.types` option

Introduzione

Anche se hai implementato un paradigma di sicurezza Zero Trust per la rete e la sicurezza dell'infrastruttura, devi pianificare l'inevitabile — prima o poi, un attaccante entrerà nella tua rete con l'intento di distribuire ransomware o causare altri danni

Un attacco tipico si svolge più o meno così:

  1. Un attore di minaccia comprometterà un account utente tramite una campagna di phishing, attacco di indovinamento della password o altra tecnica, ottenendo così un punto d'appoggio su un endpoint, dispositivo IoT o altro sistema.
  2. Si sposteranno lateralmente attraverso l'ambiente ed eleveranno i loro privilegi fino a quando non otterranno l'accesso a risorse IT vitali. Questa fase può durare settimane o addirittura mesi mentre l'attaccante si muove studiando la tua rete.
  3. L'attaccante esfiltrerà dati sensibili, distribuirà ransomware o altro malware e/o danneggerà i sistemi per causare inattività.

C'è un malinteso secondo cui le minacce di movimento laterale sono limitate alle reti on-prem. Ma il movimento laterale può verificarsi negli ambienti cloud, e gli aggressori possono muoversi lateralmente tra sistemi on-prem e cloud.

Spetta al personale di cybersecurity rilevare le minacce, contenere gli attacchi per prevenire ulteriori diffusione e pulire tutti i sistemi infetti. Per difendere la tua organizzazione, devi comprendere le tecniche che gli attori delle minacce utilizzano.

Scarica l'eBook:

Cosa sono il movimento laterale e l'escalation dei privilegi?

Gli attori delle minacce di solito ottengono un punto d'appoggio in una rete compromettendo un account che ha privilegi di utente standard. Per raggiungere il loro obiettivo, l'attaccante deve ottenere livelli più elevati di accesso e controllo. Di conseguenza, quando un attaccante entra nel tuo ambiente, inizia a fare ricognizione per capire a quali risorse ha accesso e quali account potrebbe essere in grado di compromettere successivamente. Potrebbero utilizzare strumenti di scansione di rete per identificare host attivi, porte aperte o servizi in esecuzione all'interno di una piattaforma di sistema mirata. È durante questa calma prima della tempesta che la rilevazione e la risposta tempestiva sono così importanti.

Quali tecniche specifiche utilizzano gli aggressori?

Ecco alcune delle tecniche più comuni che gli aggressori utilizzano per muoversi lateralmente ed elevare i loro privilegi:

  • Ricognizione LDAP — Gli attori delle minacce possono interrogare un servizio di directory LDAP per raccogliere informazioni sugli oggetti e sugli attributi al fine di identificare account con privilegi elevati e risorse critiche che desiderano controllare.
  • Attacco Pass-the-Hash — Questa tecnica comporta il furto di una password di un utente con privilegi elevati intercettando il traffico di rete o utilizzando malware per estrarre l'hash della password.
  • Kerberoasting — Gli avversari possono abusare del protocollo di autenticazione Kerberos per rubare le credenziali degli utenti di Active Directory che dispongono di servicePrincipleNames. Molto spesso, questi account sono account di servizio, quindi hanno livelli di privilegio superiori rispetto agli account utente standard.
  • Sfruttare le vulnerabilità — Gli hacker spesso sfruttano vulnerabilità note nei sistemi o nelle applicazioni per elevare i loro privilegi o ottenere accesso a sistemi aggiuntivi. Questo tipo di attacco approfitta di software non aggiornato o privo di patch.
  • Abusare di configurazioni deboli — Configurazioni deboli su server, endpoint e altri sistemi permettono agli avversari di avanzare nei loro attacchi.
  • Sfruttando RDP — Strumenti di amministrazione remota come il Remote Desktop Protocol (RDP) nei sistemi Windows sono spesso presi di mira dai criminali informatici per muoversi lateralmente all'interno di una rete.

Gli hacker utilizzano spesso strumenti specializzati progettati per il movimento laterale, come Bloodhound, PowerSploit o Empire. Questi vengono usati per mappare la rete e identificare potenziali bersagli per l'exploit.

Esempi dal mondo reale

Un esempio molto pubblicizzato di un attacco che ha comportato movimenti laterali è stato l'attacco alla catena di fornitura di SolarWinds del 2020. Gli attori delle minacce hanno ottenuto l'accesso al software di SolarWinds e inserito un backdoor in un aggiornamento del software. Quando i clienti hanno installato quell'aggiornamento, gli aggressori hanno ottenuto Privileged Access alle loro reti.

Un altro esempio dello stesso anno è stato un attacco ransomware Ryuk ai servizi sanitari universali. Qui i perpetratori hanno utilizzato un'email di phishing per consegnare un'applicazione trojan, che poi ha scaricato il ransomware. I cybercriminali hanno poi utilizzato Mimikatz per rubare le credenziali dell'amministratore al fine di muoversi lateralmente attraverso la rete.

Come possono le organizzazioni difendersi?

Per aiutare a prevenire che gli avversari si muovano lateralmente nel vostro ambiente IT, considerate l'implementazione delle seguenti migliori pratiche.

Limitare l'accesso dell'amministratore locale.

I giorni in cui potevi assegnare diritti di amministratore locale agli utenti standard sono finiti. Quando un account viene compromesso, gli attaccanti ereditano automaticamente i diritti di quell'account. Senza diritti di amministratore locale, gli attaccanti non saranno in grado di installare codice maligno.

Applica il principio del privilegio minimo necessario.

Il principle of least privilege (POLP) afferma che ogni utente e processo dovrebbe avere accesso solo alle risorse di rete necessarie per svolgere le proprie funzioni lavorative assegnate e nient'altro. La comprensione iniziale del POLP si è evoluta per includere un elemento temporale — il privilegio dovrebbe esistere solo per il tempo necessario per un determinato compito.

Blocca gli attacchi di ingegneria sociale.

I criminali informatici spesso ottengono accesso a un ambiente IT bersaglio attraverso un attacco di ingegneria sociale in cui manipolano un utente legittimo per ottenere le sue credenziali. Qui è dove la formazione sulla consapevolezza della sicurezza può portare grandi benefici perché gli utenti sono spesso l'anello debole nella catena della vostra sicurezza. Esistono anche soluzioni di filtraggio email e web disponibili per mitigare questi tipi di attacchi.

Proteggi le tue password.

Le password deboli rendono facile per gli aggressori rubare le credenziali utilizzando tecniche come gli attacchi di password spraying. Esistono strumenti che possono garantire che gli standard di complessità delle migliori pratiche siano richiesti per tutte le password. Dovresti supportare queste politiche con un adeguato addestramento all'igiene informatica per tutti gli utenti. Inoltre, l'MFA dovrebbe essere applicata a tutti gli account ad alto privilegio.

Sostituisci gli account privilegiati permanenti con accesso just-in-time e monitora l'attività,

I diritti amministrativi sono la chiave del regno per un hacker. Implementare una solida strategia di Privileged Access Management (PAM) è essenziale per proteggere gli account privilegiati dal rischio di compromissione. Un esempio è la Netwrix Privileged Access Management Solution, che ti consente di identificare gli account privilegiati in tutto il tuo ambiente IT e ridurre la superficie di attacco sostituendoli con accessi giusti in tempo (JIT) per completare compiti specifici. Inoltre, la soluzione offre visibilità su ciò che gli utenti privilegiati stanno facendo in tutto l'ambiente IT e ti allerta in caso di comportamenti sospetti.

Conclusione

Il movimento laterale è una tecnica comune degli attaccanti. Assicurati di interromperli e contenerli con le strategie, tecniche e strumenti corretti.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Dirk Schrader

VP della Ricerca sulla Sicurezza

Dirk Schrader è un Resident CISO (EMEA) e VP of Security Research presso Netwrix. Con 25 anni di esperienza nella sicurezza informatica e certificazioni come CISSP (ISC²) e CISM (ISACA), lavora per promuovere la cyber resilience come approccio moderno per affrontare le minacce informatiche. Dirk ha lavorato a progetti di cybersecurity in tutto il mondo, iniziando con ruoli tecnici e di supporto all'inizio della sua carriera per poi passare a posizioni di vendita, marketing e gestione prodotti sia in grandi multinazionali che in piccole startup. Ha pubblicato numerosi articoli sull'esigenza di affrontare la gestione dei cambiamenti e delle vulnerabilità per raggiungere la cyber resilience.

Scopri di più su questo argomento

UEBA (User and Entity Behavior Analytics): guida completa a rilevamento, casi d'uso e implementazione

NIST CSF 2.0: Novità nel Cybersecurity Framework

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

Creare utenti AD in massa e inviare le loro credenziali tramite PowerShell

Ultimi blog

Il problema del jailbreak dell'IA non sta scomparendo e i framework di conformità devono adeguarsi

7 alternative a Delinea per team di mercato medio nel 2026

7 alternative a Purple Knight per AD e sicurezza dell'identità

I 7 migliori strumenti di scoperta e classificazione dei dati nel 2026

I migliori strumenti di audit di sicurezza nel 2026

8 strumenti di governance dei dati per i team di sicurezza del mercato medio nel 2026

I migliori strumenti SIEM per ambienti ibridi nel 2026

Quando l'attore scompare: Controlli CIS in un mondo di società non umane

Best practice di automazione ITDR per i team di sicurezza

Le 7 migliori alternative a Rubrik per la sicurezza dei dati e DSPM nel 2026

I nostri articoli principali

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Tipi comuni di dispositivi di rete e le loro funzioni

Scarica e installa PowerShell 7

Come eseguire uno script PowerShell da Task Scheduler

Variabili d'ambiente PowerShell

Come eseguire uno script PowerShell

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Cos'è SPN e qual è il suo ruolo in Active Directory e nella sicurezza

Linee guida sulle password del NIST: SP 800-63B Rev. 4 spiegate