Movimento lateral, ou tráfego lateral, é a progressão de um atacante de rede através da rede depois de violá-la. O movimento lateral também é conhecido como tráfego leste-oeste, indicando progressão horizontal através de uma rede já violada e contrasta com o tráfego norte-sul, ou a primeira entrada na rede. O movimento lateral é um desafio para as organizações rastrearem porque, assim que um invasor entra na rede, seu tráfego parece normal. É difícil distinguir entre um invasor e usuários autorizados porque eles já obtiveram acesso.
Razões para movimento lateral
Os invasores podem obter acesso inicial a uma rede usando:
- Dispositivos de funcionários, especialmente na Internet das Coisas. Os dispositivos IoT têm menos protocolos de segurança do que smartphones e computadores. Se um invasor acessar um dispositivo IoT que se conecta à rede da empresa, ele pode então conseguir entrar na rede.
- Empresa email. A engenharia social depende muito de e-mails fraudulentos, que podem solicitar a um funcionário suas credenciais ou incluir malware. Assim que o invasor tiver essas informações, ele poderá entrar na rede como um usuário confiável.
- Malicioso Programas instalado em um computador da empresa: se um invasor convencer um funcionário a clicar em um link, o malware pode ser instalado nesse computador e fornecer ao invasor um caminho para a rede.
A segurança de rede tradicional não lida bem com o movimento lateral porque não possui bons métodos de proteção do interior da rede privada. Todos que têm permissão para passar pelo firewall no perímetro podem, então, vagar pela rede em seu lazer. Isso também torna mais difícil para as organizações encontrar uma ameaça uma vez que ela esteja dentro, especialmente se o invasor tiver roubado as credenciais de um funcionário. Classificar todos os dados de forma manual e eficiente é impossível para a maioria das equipes de TI.
Combatendo o movimento lateral com XDR
Em soluções de segurança de rede tradicionais, softwares e sistemas separados não são centralizados: eles são isolados. É mais difícil para uma empresa gerenciar sua segurança de rede quando vários aplicativos estão analisando dados. Uma solução centralizada de detecção e resposta a ameaças que pode analisar todos os dados e padrões de notificação é a melhor maneira de monitorar uma rede.
A detecção e resposta estendidas (XDR) é uma das melhores opções para grandes organizações porque remove os silos entre as soluções de segurança. O XDR monitora todos os dados de aplicativos e servidores. Uma solução XDR inclui automação, o que economiza tempo das equipes de TI e engenharia.
Algumas soluções XDR implementam aprendizado de máquina, que estuda padrões em dados e, eventualmente, aprende a perceber anomalias e priorizar alertas para equipes de tecnologia, semelhante à análise de comportamento de usuário e entidade (UEBA). Se treinadas o suficiente, as máquinas podem interpretar palavras e também seu contexto para entender melhor uma situação. Se um determinado computador, conta ou servidor se comportar de maneira incomum, uma boa solução de detecção e resposta de rede notará isso e tomará medidas proativas para encontrar a causa. O XDR não apenas detecta ameaças, mas também as rastreia e as aborda rapidamente.
Confiança zero e microssegmentação são outras tecnologias projetadas para limitar o acesso em caso de violação ou roubo de credenciais.