Ефективне виявлення технік Lateral Movement є критично важливим для забезпечення кібербезпеки в організаціях державного сектору та критичної інфраструктури. Зловмисники, після початкового компрометування, прагнуть розширити свій доступ у мережі, переміщуючись між системами для досягнення цілей, таких як викрадення даних, підвищення привілеїв або розгортання шкідливого програмного забезпечення. Системи Security Information and Event Management (SIEM) відіграють ключову роль у агрегації та кореляції логів, дозволяючи ідентифікувати аномальну поведінку, що вказує на внутрішнє переміщення.
Компанія Intecracy Group, розробник захищеної платформи UnityBaseDefense, акцентує на необхідності інтеграції передових механізмів виявлення загроз у архітектуру інформаційних систем. Платформа UnityBaseDefense розроблена з урахуванням вимог НД ТЗІ 2.5-004/005/010, ДСТУ 4145, та інших регуляторних стандартів, забезпечуючи надійний фундамент для побудови захищених рішень. Складність сучасних атак вимагає не лише реактивного, але й проактивного підходу до безпеки.
“Виявлення Lateral Movement на ранніх етапах є вирішальним фактором у мінімізації наслідків атаки. Це вимагає не просто збору логів, а інтелектуальної кореляції подій з різних джерел для виявлення прихованих зв’язків та аномалій.” CISO міжнародного банку
Це підкреслює важливість розробки та впровадження ефективних SIEM-патернів.
Загроза Lateral Movement є постійною.
“З огляду на зростаючу кількість цільових атак на критичну інфраструктуру України, здатність SIEM-систем виявляти внутрішнє переміщення зловмисників стає одним із пріоритетних завдань для забезпечення національної кібербезпеки. Це не тільки про технології, але й про процеси та людські ресурси.” Представник Держспецзв'язку
Патерни виявлення аномальної автентифікації
Одним із основних індикаторів Lateral Movement є аномальна активність автентифікації. Це включає використання облікових записів у незвичайний час, з незвичайних джерел або для доступу до нетипових ресурсів. SIEM-системи повинні корелювати події автентифікації (Event ID 4624/4625 у Windows Security Log, SSH login logs у Linux) з інформацією про географічне розташування, часові пояси та попередні шаблони поведінки користувача. Патерни можуть включати:
- Автентифікація з невідомого джерела: Спроби входу з IP-адрес, які ніколи раніше не використовувалися для доступу до даного ресурсу або не належать до внутрішньої мережі.
- Використання облікового запису після тривалого неактивного періоду: Активація облікового запису, що був неактивний протягом тривалого часу (наприклад, 90+ днів), особливо якщо це привілейований обліковий запис.
- Одночасні входи з різних географічних локацій: Хоча це може бути false positive для мобільних користувачів з VPN, для стаціонарних систем це є чітким індикатором компрометації.
- Failure-to-Success Ratio: Висока кількість невдалих спроб входу, за якими слідує успішна спроба з того ж джерела або на той самий цільовий ресурс.
Виявлення використання інструментів Lateral Movement
Зловмисники часто використовують легітимні системні інструменти для Lateral Movement, що ускладнює їх виявлення. До таких інструментів відносяться PsExec, PowerShell Remoting, Windows Management Instrumentation (WMI), RDP та SSH. SIEM-патерни повинні фокусуватися на аномальному використанні цих інструментів:
- PsExec/WMI: Моніторинг подій створення сервісів (Event ID 7045), подій виконання процесів (Event ID 4688) та мережевих з’єднань, що ініціюються цими інструментами. Особливу увагу слід приділяти виконанню PsExec з нетипових джерел або на нетипових цільових системах.
- PowerShell Remoting: Відстеження командлетів
Invoke-Command,Enter-PSSessionтаNew-PSSession. Аномалії включають використання цих командлетів неадміністративними обліковими записами, або виконання їх на великій кількості систем. - RDP/SSH: Моніторинг RDP-сесій (Event ID 4624 з Logon Type 10) та SSH-з’єднань, що ініціюються нетиповими користувачами або до нетипових хостів. Індикатором може бути велика кількість RDP-з’єднань від одного джерела до різних цільових систем за короткий проміжок часу.
Кореляція мережевих аномалій та активності на хостах
Ефективне виявлення Lateral Movement вимагає кореляції даних з мережевих сенсорів (NetFlow, IPFIX, firewall logs) та логів кінцевих точок. Патерни можуть включати:
- Нетипові мережеві з’єднання: Встановлення з’єднань між хостами, які раніше ніколи не взаємодіяли, або використання нетипових портів/протоколів для внутрішньої комунікації. Наприклад, з’єднання між сервером баз даних та робочою станцією, яке раніше не спостерігалося.
- Високий обсяг трафіку між нетиповими хостами: Збільшення обсягу мережевого трафіку між двома внутрішніми хостами, особливо якщо це з’єднання не є типовим для їх функціоналу.
- DNS-запити до підозрілих доменів: Кореляція внутрішніх DNS-запитів з базами даних відомих C2-серверів або доменів, що використовуються в атаках.
- Спроби сканування мережі: Виявлення внутрішніх сканувань портів (наприклад, за допомогою Nmap), що може вказувати на розвідку мережі зловмисником.
Виявлення підвищення привілеїв та створення нових облікових записів
Після отримання початкового доступу, зловмисники часто намагаються підвищити свої привілеї або створити нові облікові записи для збереження стійкості. SIEM-системи повинні моніторити:
- Створення нових привілейованих облікових записів: Event ID 4720 (User Account Created) та 4728 (A member was added to a security-enabled global group) у Windows. Особливо важливо відстежувати додавання до груп Administrators, Domain Admins, Enterprise Admins.
- Модифікація існуючих облікових записів: Event ID 4738 (User Account Changed) для виявлення змін у привілеях або паролях.
- Використання інструментів для підвищення привілеїв: Моніторинг виконання відомих інструментів для експлуатації вразливостей або інструментів, що використовуються для крадіжки облікових даних (наприклад, Mimikatz).
Ефективне впровадження SIEM-патернів для виявлення Lateral Movement вимагає постійного аналізу загроз, адаптації правил кореляції та інтеграції з актуальними даними про індикатори компрометації (IoC). Для архітекторів безпеки у держсекторі та критичній інфраструктурі, це означає необхідність не тільки розгортання SIEM-рішень, але й інвестування у кваліфікований персонал, здатний розробляти та підтримувати складні кореляційні правила, що відповідають специфіці їхніх інформаційних систем. Такий підхід, у поєднанні з архітектурними рішеннями, що відповідають вимогам Zero Trust, дозволить значно підвищити стійкість до сучасних кіберзагроз.