Redução de ransomware 101: movimento lateral entre terminais
No pior momento possível, o ransomware é uma ameaça maior do que nunca, reduzindo as operações de TI à caneta e ao papel e derrubando empresas quando menos podemos pagar. Em meio a uma pandemia, vimos o aumento contínuo de ransomware de saúde. Aqueles de nós com crianças aprendendo remotamente têm ransomware como o novo dia da neve.
Por que ainda existem tantos ataques bem-sucedidos de ransomware?
O que é movimento lateral?
O movimento lateral ocorre quando um intruso ou ataque rompe seu perímetro e, em seguida, se move lateralmente através de um ambiente para outras máquinas, resultando em uma máquina muito maior e mais cara violação de dados. Isso pode começar em um endpoint ou até mesmo em uma carga de trabalho de data center comprometida, derrubando dezenas de milhares de computadores de usuários finais ou até mesmo visando estrategicamente seus ativos de data center mais valiosos.
Estrutura ATT&CK da MITRE coloca isso de forma clara: “o adversário está tentando se mover pelo seu ambiente”. Isso significa que não devemos apenas nos concentrar em impedir que as ameaças se estabeleçam, mas também em impedir esse atacante. movimento lateral. Agora, isso é tão fundamental para o trabalho de um defensor, que o MITRE ATT&CK considera o movimento lateral uma técnica fundamental contra a qual se defender.
Por que o malware é tão bem-sucedido em se propagar usando o movimento lateral entre os terminais? Para entender por que isso acontece, primeiro temos que examinar o quão tradicional segurança de aplicativos trabalha na proteção do data center, mas nem sempre do endpoint.
Movimento lateral no data center
A segurança do data center se concentra nas comunicações cliente-servidor dos endpoints para o servidor. Na maioria dos aplicativos comerciais atuais baseados em navegador, quando um usuário insere a URL do aplicativo na janela do navegador, o navegador abre uma conexão com um servidor web em execução em um data center ou em uma nuvem pública. As máquinas do usuário final se comunicam com esses servidores front-end por meio de portas padrão, como 80 e 443. Os servidores Web por trás do perímetro corporativo são protegidos por firewalls, IPS, detecção e resposta e outras tecnologias de segurança de data center. Os servidores front-end estão conectados à lógica comercial, ao banco de dados e a outros tipos de servidores, tudo dentro dos limites do data center ou do ambiente de nuvem.
É aqui que o movimento lateral pode causar danos. Se um servidor externo ou uma carga de trabalho forem comprometidos por meio de uma vulnerabilidade, um invasor poderá passar lateralmente da carga de trabalho comprometida para onde residem dados valiosos, como em servidores de banco de dados. Em uma rede plana sem microssegmentação, isso não é nada difícil.
Com efetivo segmentação instalados, todos esses servidores “internos” estão protegidos contra ameaças externas. A microssegmentação impede que invasores ou ameaças se espalhem ou movendo-se lateralmente, ou “leste-oeste”, em data centers, nuvens ou redes de campus. Uma ameaça será contida no segmento de rede ou no segmento de host que foi implementado, para que os invasores não possam se mover para outras partes de um ambiente. Isso protege melhor as organizações contra violações ao limitar seu tamanho e impacto.
Movimento lateral do ponto final ao ponto final
Por que isso não é suficiente para impedir o ransomware? A resposta é que o ransomware não precisa se comunicar com o servidor para se propagar. Ele pode se espalhar de um ponto a outro para dezenas de milhares de máquinas em segundos.
Ransomware normalmente inicia a partir do endpoint e se espalha diretamente para outros endpoints via RDP, SMB, SIP, Skype etc. Os aplicativos peer-to-peer (P2P) entre endpoints criam esse movimento lateral, ou conexão leste-oeste, que não envolve comunicação entre endpoints e servidores. Embora a maioria dos aplicativos corporativos modernos dependa exclusivamente de conexões de saída — conexões de inicialização de terminais com o servidor — as tecnologias P2P aproveitam as conexões de entrada de terminais vizinhos. Esses endpoints se comunicam sem restringir o tráfego por meio de um servidor ou data center, o que significa que eles dependem da segurança existente no próprio endpoint.
Evitando o movimento lateral entre os pontos finais
Quais são os desafios para garantir o movimento lateral entre os terminais?
Visibilidade — as conexões laterais entre endpoints na mesma sub-rede, por exemplo, ficarão invisíveis para firewalls e gateways, tornando esses dispositivos de segurança totalmente ineficazes na detecção e prevenção das ameaças associadas. Isso também significa uma total falta de visibilidade do que está acontecendo em casa para os funcionários que trabalham remotamente.
E sobre segurança de terminais? Embora possam detectar e responder, as ferramentas de EDR e EPP em execução no endpoint são reativas às ameaças. Em outras palavras, funciona apenas depois uma violação acontece, em vez de impedir sua propagação desde o início.
Zero Trust para o endpoint
A melhor prática para evitar a propagação de violações é adotar um Segurança Zero Trust política. Isso significa a listagem obrigatória de serviços aprovados para execução entre endpoints, com permissões concedidas somente para acesso para fins comerciais legítimos.
Se você já tentou baixar e instalar um aplicativo P2P, como o Skype, da internet em seu laptop em um novo emprego e recebeu um nastygram da TI, você entende como isso funciona. Os usuários só devem acessar recursos aprovados pela empresa, para a proteção de todos.
À medida que as ameaças à segurança evoluem e os hackers patrocinados pelo estado se tornam cada vez mais sofisticados, as soluções de segurança devem se manter atualizadas para permanecerem relevantes. As soluções Zero Trust podem proteger vários sistemas de forma proativa, oferecendo cobertura de segurança baseada nos primeiros diretores e uma baixa taxa de falsos positivos. Ferramentas de software como o Illumio Edge lideram o gerenciamento escalável de firewall baseado em host e oferecem proteções de segurança sem precedentes e defesa contra movimentos laterais maliciosos.
Saiba mais sobre o Illumio Edge em nosso site ou inscreva-se no nosso 21 de dezembrost webinar hoje.