Netwrix 1Secure oferece visibilidade unificada de dados e identidade — gratuito por 14 dias com acesso completo.Comece um teste gratuito

Comprar agoraContate-nosSuporteComunidade
EnglishEspañolItalianoFrançaisDeutschPortuguês
Segurança de Dados
Al GovernanceData Security Posture ManagementGovernança de Acesso a DadosPrevenção de Perda de DadosDescoberta e Classificação de Dados
Segurança de Identity
Identity Threat Detection & ResponseGovernança e Administração de IdentityGestão da postura de segurança de IdentityPrivileged Access ManagementSegurança de Directory

Melhores práticas de Data Security Posture Management

Saiba onde seus dados sensíveis estão — e quem pode acessá-los

Obtenha o guia
Produtos em Destaque
Netwrix 1SecureNetwrix Endpoint ProtectorNetwrix PingCastleNetwrix Access AnalyzerNetwrix Identity ManagerNetwrix Privilege Secure
Produtos
Netwrix AuditorNetwrix 1Secure for MSPsNetwrix Data ClassificationNetwrix Change TrackerNetwrix Directory ManagerNetwrix Identity RecoveryNetwrix Password Policy EnforcerNetwrix Password SecureNetwrix Platform GovernanceNetwrix PolicyPakNetwrix Threat ManagerNetwrix Threat Prevention

Visibilidade unificada em dados e identidade. Grátis por 14 dias com acesso total

Netwrix 1Secure

Inicie um teste gratuito
Casos de uso em destaque Ver todos os casos de uso
Segurança do Active DirectoryDetecção e análise de riscos de IdentityPreparação para M365 CopilotDefesa de Identidade Não HumanaConformidade RegulamentarSegurança de IA Sombria
Casos de uso adicionais Ver todos os casos de uso
Revisões de acesso e conformidadeSegurança do AD Certificate ServicesGerenciamento de direitosDetecção de ameaças de IdentityProvedores de Serviços GerenciadosFusões, Aquisições e DesinvestimentosSegurança do Microsoft 365Implantação localDescoberta e limpeza de privilégiosGerenciamento e limpeza de dados ROTGerenciamento de Senhas da Força de TrabalhoZero Trust

Checkout self-service disponível para organizações com até 150 funcionários

Comece em minutos

Compre agora
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Comprar agora Preços
Centro de Recursos Ver tudo
BlogCatálogo de AtaquesConformidadeHistórias de ClientesEstruturas de CibersegurançaGlossário de CibersegurançaEventosSoftware gratuitoGuiasPortal de IdeiasNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaCalculadora de ROIAvaliação da Maturidade de SegurançaWebinars

Quão madura é a sua segurança?

Avalie sua organização e veja onde você está

Faça a avaliação
Parceiros
Programa de ParceirosTorne-se um parceiroMSPsLocalizador de parceirosWebinarsAliança Microsoft
Asset not found

História de cliente em destaque

AppRiver aprimora o controle sobre Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História de cliente em destaque

MSP ajuda cliente a se recuperar de ransomware em 6 horas
Por que Netwrix
Sobre NósLiderançaNetwrix AIHistórias de ClientesReconhecimentoNotíciasCarreiras
Asset not found

História de cliente em destaque

Horizon Leisure Centres acelera a Data Classification para cumprir o GDPR e economiza £80.000 anualmente
Asset not found

História de cliente em destaque

O Instituto de P&D da Samsung protege dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
Movimento Lateral: Técnicas dos Atacantes e Melhores Práticas para Defender Sua Organização

Movimento Lateral: Técnicas dos Atacantes e Melhores Práticas para Defender Sua Organização

Dec 20, 2023

Unknown block type "undefined", specify a component for it in the `components.types` option

Introdução

Mesmo que você tenha implementado um paradigma de segurança Zero Trust para a segurança de rede e infraestrutura, você precisa planejar o inevitável — em algum momento, um atacante conseguirá invadir sua rede com a intenção de implantar ransomware ou causar outros danos

Um ataque típico acontece mais ou menos assim:

  1. Um ator de ameaças comprometerá uma conta de usuário por meio de uma campanha de phishing, ataque de adivinhação de senha ou outra técnica, obtendo assim um ponto de apoio em um endpoint, dispositivo IoT ou outro sistema.
  2. Eles se moverão lateralmente pelo ambiente e escalarão seus privilégios até conseguirem acesso a recursos de TI vitais. Esta fase pode durar semanas ou até meses enquanto o atacante se desloca estudando sua rede.
  3. O atacante irá exfiltrar dados sensíveis, implantar ransomware ou outro malware e/ou danificar sistemas para causar inatividade.

Há um equívoco de que as ameaças de movimento lateral são limitadas a redes locais. Mas o movimento lateral pode ocorrer em ambientes de nuvem, e os atacantes podem se mover lateralmente entre sistemas locais e em nuvem.

Cabe ao pessoal de cibersegurança detectar ameaças, conter ataques para prevenir a propagação e limpar todos os sistemas infectados. Para defender sua organização, você precisa entender as técnicas que os atores de ameaças utilizam.

Baixe o eBook:

O que são movimento lateral e escalonamento de privilégios?

Os atores de ameaças normalmente obtêm um ponto de apoio em uma rede comprometendo uma conta que possui privilégios de usuário padrão. Para alcançar seu objetivo, o atacante deve obter níveis mais altos de acesso e controle. Assim, quando um atacante entra no seu ambiente, ele começa a fazer reconhecimento para entender a quais recursos tem acesso e quais contas poderá comprometer em seguida. Eles podem usar ferramentas de varredura de rede para identificar hosts ativos, portas abertas ou serviços em execução dentro de uma plataforma de sistema alvo. É durante essa calmaria antes da tempestade que a detecção e a resposta rápida são tão importantes.

Quais técnicas específicas os atacantes utilizam?

Aqui estão algumas das técnicas mais comuns que os atacantes usam para se mover lateralmente e escalar seus privilégios:

  • Reconhecimento LDAP — Atores de ameaças podem consultar um serviço de diretório LDAP para coletar informações sobre objetos e atributos a fim de identificar contas de alto privilégio e recursos críticos que desejam controlar.
  • Ataque Pass-the-Hash — Esta técnica envolve o roubo de uma senha de um usuário com privilégios elevados interceptando o tráfego de rede ou utilizando malware para extrair o hash da senha.
  • Kerberoasting — Adversários podem abusar do protocolo de autenticação Kerberos para roubar as credenciais de usuários do Active Directory que possuem servicePrincipleNames. Na maioria das vezes, essas contas são contas de serviço, portanto, têm níveis de privilégio mais altos do que contas de usuários regulares.
  • Explorando vulnerabilidades — Hackers frequentemente exploram vulnerabilidades conhecidas em sistemas ou aplicações para elevar seus privilégios ou ganhar acesso a sistemas adicionais. Esse tipo de ataque se aproveita de softwares não atualizados ou sem patches.
  • Abusando de configurações fracas — Configurações fracas em servidores, endpoints e outros sistemas permitem que adversários avancem seus ataques.
  • Tirando proveito do RDP — Ferramentas de administração remota como o Remote Desktop Protocol (RDP) em sistemas Windows são frequentemente alvo de criminosos cibernéticos para se movimentarem lateralmente dentro de uma rede.

Hackers frequentemente utilizam ferramentas especializadas projetadas para movimento lateral, como Bloodhound, PowerSploit ou Empire. Elas são usadas para mapear a rede e identificar alvos potenciais para exploração.

Exemplos do Mundo Real

Um exemplo muito divulgado de um ataque com movimento lateral foi o ataque à cadeia de suprimentos da SolarWinds em 2020. Os atores de ameaças obtiveram acesso ao software da SolarWinds e inseriram uma porta dos fundos em uma atualização de software. Quando os clientes instalaram essa atualização, os atacantes obtiveram acesso privilegiado às suas redes.

Outro exemplo naquele mesmo ano foi um ataque de ransomware Ryuk aos Serviços de Saúde Universal. Aqui, os perpetradores usaram um e-mail de phishing para entregar uma aplicação trojan, que depois baixou o ransomware. Os cibercriminosos então usaram Mimikatz para roubar credenciais de administrador a fim de se moverem lateralmente pela rede.

Como as organizações podem se defender?

Para ajudar a prevenir que adversários se movimentem lateralmente no seu ambiente de TI, considere implementar as seguintes melhores práticas.

Restrinja o acesso do administrador local.

Os dias em que você podia atribuir direitos de administrador local a usuários padrão acabaram. Quando uma conta é comprometida, os atacantes herdam automaticamente os direitos dessa conta. Sem direitos de administrador local, os atacantes não serão capazes de instalar códigos maliciosos.

Aplique o princípio do menor privilégio.

O princípio do menor privilégio (POLP) afirma que cada usuário e processo deve ter acesso apenas aos recursos da rede de que precisam para desempenhar suas funções de trabalho designadas e nada mais. A compreensão inicial do POLP evoluiu para incluir um elemento temporal — o privilégio deve existir apenas enquanto for necessário para uma determinada tarefa.

Bloqueie ataques de engenharia social.

Criminosos cibernéticos frequentemente ganham acesso a um ambiente de TI alvo por meio de um ataque de engenharia social no qual manipulam um usuário legítimo a fornecer suas credenciais. É aqui que o treinamento de conscientização de segurança pode render grandes dividendos, pois os usuários são frequentemente os elos mais fracos na sua cadeia de segurança. Existem também soluções de filtragem de e-mails e web disponíveis para mitigar esses tipos de ataques.

Proteja suas senhas.

Senhas fracas facilitam para que atacantes roubem credenciais usando técnicas como password spraying ataques. Existem ferramentas que podem ajudar a garantir que padrões de complexidade de melhores práticas sejam exigidos para todas as senhas. Você deve apoiar essas políticas com treinamento adequado de higiene cibernética para todos os usuários. Além disso, MFA deve ser aplicado a todas as contas de alto privilégio.

Substitua contas privilegiadas permanentes por acesso just-in-time e monitore a atividade,

Os direitos administrativos são as chaves do reino para um hacker. Implementar uma sólida estratégia de Privileged Access Management (PAM) é essencial para proteger contas privilegiadas de serem comprometidas. Um exemplo é a Netwrix Privileged Access Management Solution, que permite identificar contas privilegiadas em todo o seu ambiente de TI e reduzir sua superfície de ataque substituindo-as por acesso pontual (JIT) para a realização de tarefas específicas. Além disso, a solução oferece visibilidade sobre o que os usuários privilegiados estão fazendo em todo o seu ambiente de TI e alerta você para comportamentos suspeitos.

Conclusão

O movimento lateral é uma técnica comum de atacantes. Certifique-se de cortar o caminho deles e contê-los com as estratégias, técnicas e ferramentas corretas.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Dirk Schrader

VP de Pesquisa de Segurança

Dirk Schrader é um Resident CISO (EMEA) e VP de Pesquisa de Segurança na Netwrix. Com 25 anos de experiência em segurança de TI e certificações como CISSP (ISC²) e CISM (ISACA), ele trabalha para promover a ciberresiliência como uma abordagem moderna para enfrentar ameaças cibernéticas. Dirk trabalhou em projetos de cibersegurança ao redor do mundo, começando em funções técnicas e de suporte no início de sua carreira e, em seguida, passando para posições de vendas, marketing e gestão de produtos em grandes corporações multinacionais e pequenas startups. Ele publicou numerosos artigos sobre a necessidade de abordar a gestão de mudanças e vulnerabilidades para alcançar a ciberresiliência.

Saiba mais sobre este assunto

UEBA (User and Entity Behavior Analytics): guia completo para detecção, casos de uso e implementação

NIST CSF 2.0: Novidades no Cybersecurity Framework

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Criar usuários do AD em massa e enviar suas credenciais por e-mail usando PowerShell

Últimos blogs

O problema do jailbreak de IA não vai desaparecer, e os frameworks de conformidade precisam se atualizar

7 alternativas ao Delinea para equipes de mercado médio em 2026

7 alternativas ao Purple Knight para AD e segurança de identidade

As 7 melhores ferramentas de descoberta e classificação de dados em 2026

Melhores ferramentas de auditoria de segurança em 2026

8 ferramentas de governança de dados para equipes de segurança de mercado médio em 2026

Principais ferramentas SIEM para ambientes híbridos em 2026

Quando o ator desaparece: Controles CIS em um mundo de corporações não humanas

Melhores práticas de automação ITDR para equipes de segurança

As 7 melhores alternativas ao Rubrik para segurança de dados e DSPM em 2026

Nossos principais artigos

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Tipos Comuns de Dispositivos de Rede e Suas Funções

Baixe e instale o PowerShell 7

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Variáveis de Ambiente do PowerShell

Como executar um script PowerShell

Como instalar e usar o Active Directory Users and Computers (ADUC)?

O que é SPN e qual é o seu papel no Active Directory e na Segurança

Diretrizes de senha do NIST: SP 800-63B Rev. 4 explicadas