Con la terminologia Movimento Laterale si fa riferimento a una tecnica con la quale i criminali informatici si muovono all'interno di una rete una volte che ne hanno ottenuto l'accesso.
Infatti, l'attaccante di turno tramite malware o attacchi phishing cerca di ottenere l'accesso ad un sistema informatico, ma questo è solo l'inizio del suo lavoro. Quando riesce a entrare in possesso delle credenziali di un utente autorizzato inizia a muoversi per andare sempre più in profondità nella rete, accedendo a risorse diverse. Muovendosi così sempre connesso e mascherato da utente autorizzato, riesce ad accedere ad ulteriori privilegi viaggiando di fatto nel sistema compromesso da una risorsa all'altra tramite differenti strumenti di accesso remoto. Bisogna tenere presente che ogni rete può avere dei punti di accesso più vulnerabili di altri così, all'attaccante basta scoprirne uno perché, una volta dentro, proprio grazie al Movimento Laterale, può raggiungere anche quelle zone più inaccessibili dall'esterno.
Qualunque sia l'obiettivo, il criminale informatico sa sfruttare bene le vulnerabilità così da riuscire ad accedere davvero ovunque e rappresenta per questo una grave minaccia per i responsabili della sicurezza, che devono indirizzare i loro sforzi alla ricerca di segnali d'allerta per individuare un intruso nella rete.
Come funziona un attacco di Movimento Laterale.
Un attacco di questi tipo inizia generalmente con una sorta di ricognizione e raccolta di informazioni sull'obiettivo, che permette di conoscere la struttura della rete da attaccare e tutte le informazioni utili a muoversi al suo interno. Successivamente è necessario ottenere le credenziali: per fare questo i criminali utilizzano spesso tecniche di phishing e di social engineering finalizzate a far condividere proprio queste informazioni riservate.
Entrare in possesso di credenziali e privilegi consente poi all'attaccante di muoversi all'interno dei sistemi, spostandosi lateralmente tra dispositivi differenti, app e account, aggirando i controlli di sicurezza fino a quando non viene identificato. Di fatto grazie al Movimento Laterale un attaccante è difficile da individuare e può rimanere all'interno del sistema compromesso anche per periodi molto lunghi, anche se gli addetti alla sicurezza hanno identificato un'intrusione e il punto di accesso.
Come identificare il Movimento Laterale.
Questo tipo di attacco s rileva individuando delle azioni ovvie ma anomale svolte dai dispositivi della rete. In pratica tutto ciò che esula dalla normale attività dovrebbe destare sospetto ed essere indagato in modo approfondito. Pensiamo ad esempio ad una macchina che improvvisamente inizia a comunicare con tanti dispositivi con i quali prima non comunicava mai.
Tuttavia non è facile riuscire a identificare questo tipo di anomalie dato che i sistemi sono troppo spesso intasati di falsi avvisi di sicurezza tanto che, operatori magari anche poco addestrati, rischiano di non tenerne più conto. Si tratta per lo più di avvisi di poca rilevanza, che raramente indicano davvero un attacco in corso, e per questo alla fine sottovalutati.
Prevenzione e difesa dal Movimento Laterale.
La prevenzione si conferma l'arma migliore a disposizione per combattere gli attacchi informatici. Prevenire il Movimento Laterale è possibile attraverso tecniche collaudate come la microsegmentazione, che impedisce la diffusione della minaccia isolando applicazioni e risorse. Per minimizzare i rischi è poi sempre necessario adottare password sicure, mantenere i software aggiornati e fornire agli utenti i privilegi minimi per operare evitando che possano accedere a più di ciò che realmente serve per lo svolgimento dei compiti assegnati.
