Bagikan melalui

Menyelidiki jalur gerakan lateral dengan ATA

  • Artikel

Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9

Bahkan ketika Anda melakukan yang terbaik untuk melindungi pengguna sensitif Anda, dan admin Anda memiliki kata sandi kompleks yang sering mereka ubah, komputer mereka diperkuat, dan data mereka disimpan dengan aman, penyerang masih dapat menggunakan jalur gerakan lateral untuk mengakses akun sensitif. Dalam serangan gerakan lateral, penyerang memanfaatkan instans ketika pengguna sensitif masuk ke mesin di mana pengguna yang tidak sensitif memiliki hak lokal. Penyerang kemudian dapat bergerak secara lateral, mengakses pengguna yang kurang sensitif dan kemudian bergerak di seluruh komputer untuk mendapatkan kredensial bagi pengguna sensitif.

Apa itu jalur gerakan lateral?

Gerakan lateral adalah ketika penyerang menggunakan akun yang tidak sensitif untuk mendapatkan akses ke akun sensitif. Ini dapat dilakukan menggunakan metode yang dijelaskan dalam panduan aktivitas Mencurigakan. Penyerang menggunakan gerakan lateral untuk mengidentifikasi administrator di jaringan Anda dan mempelajari mesin mana yang dapat mereka akses. Dengan informasi ini, dan langkah lebih lanjut, penyerang dapat memanfaatkan data pada pengontrol domain Anda.

ATA memungkinkan Anda mengambil tindakan preemptive di jaringan Anda untuk mencegah penyerang berhasil pada gerakan lateral.

Menemukan akun sensitif berisiko Anda

Untuk menemukan akun sensitif mana di jaringan Anda yang rentan karena koneksinya ke akun atau sumber daya yang tidak sensitif, dalam jangka waktu tertentu, ikuti langkah-langkah berikut:

  1. Di menu konsol ATA, pilih ikon reports icon.laporan .

  2. Di bawah jalur gerakan Lateral ke akun sensitif, jika tidak ada jalur gerakan lateral yang ditemukan, laporan berwarna abu-abu. Jika ada jalur gerakan lateral, maka tanggal laporan secara otomatis memilih tanggal pertama ketika ada data yang relevan.

    Screenshot showing report date selection.

  3. Pilih Unduh.

  4. File Excel yang dibuat memberi Anda detail tentang akun sensitif Anda yang berisiko. Tab Ringkasan menyediakan grafik yang merinci jumlah akun sensitif, komputer, dan rata-rata untuk sumber daya berisiko. Tab Detail menyediakan daftar akun sensitif yang harus Anda khawatirkan. Perhatikan bahwa jalur adalah jalur yang ada sebelumnya, dan mungkin tidak tersedia hari ini.

Selidiki

Sekarang setelah Anda mengetahui akun sensitif mana yang berisiko, Anda dapat mendalami ATA untuk mempelajari lebih lanjut dan mengambil langkah-langkah pencegahan.

  1. Di konsol ATA, cari lencana gerakan Lateral yang ditambahkan ke profil entitas saat entitas berada di jalur lateral icon.gerakan lateral atau path icon. Ini tersedia jika ada jalur gerakan lateral dalam dua hari terakhir.

  2. Di halaman profil pengguna yang terbuka, pilih tab Jalur gerakan lateral.

  3. Grafik yang ditampilkan menyediakan peta jalur yang mungkin untuk pengguna sensitif. Grafik menunjukkan koneksi yang telah dibuat selama dua hari terakhir.

  4. Tinjau grafik untuk melihat apa yang dapat Anda pelajari tentang paparan kredensial pengguna sensitif Anda. Misalnya, dalam peta ini, Anda dapat mengikuti Masuk dengan panah abu-abu untuk melihat di mana Samira masuk dengan kredensial istimewa mereka. Dalam hal ini, kredensial sensitif Samira disimpan di komputer REDMOND-WA-DEV. Kemudian, lihat pengguna lain mana yang masuk ke komputer mana yang menciptakan eksposur dan kerentanan terbanyak. Anda dapat melihat ini dengan melihat Administrator pada panah hitam untuk melihat siapa yang memiliki hak istimewa admin pada sumber daya. Dalam contoh ini, semua orang dalam grup Contoso All memiliki kemampuan untuk mengakses kredensial pengguna dari sumber daya tersebut.

    User profile lateral movement paths.

Praktik terbaik pencegahan

  • Cara terbaik untuk mencegah gerakan lateral adalah dengan memastikan bahwa pengguna sensitif menggunakan kredensial administrator mereka hanya ketika mereka masuk ke komputer yang diperkeras di mana tidak ada pengguna yang tidak sensitif yang memiliki hak admin di komputer yang sama. Dalam contoh, pastikan bahwa jika Samira memerlukan akses ke REDMOND-WA-DEV, mereka masuk dengan nama pengguna dan kata sandi selain info masuk admin mereka, atau menghapus grup Contoso All dari grup administrator lokal di REDMOND-WA-DEV.

  • Disarankan juga agar Anda memastikan bahwa tidak ada yang memiliki izin administratif lokal yang tidak perlu. Dalam contoh, periksa untuk melihat apakah semua orang di Contoso Semua benar-benar membutuhkan hak admin di REDMOND-WA-DEV.

  • Pastikan orang hanya memiliki akses ke sumber daya yang diperlukan. Dalam contoh, Oscar Posada secara signifikan melebarkan paparan Samira. Apakah perlu bahwa mereka termasuk dalam grup Contoso All? Apakah ada subgrup yang dapat Anda buat untuk meminimalkan paparan?

Tip

Jika aktivitas tidak terdeteksi selama dua hari terakhir, grafik tidak muncul, tetapi laporan jalur gerakan lateral masih tersedia untuk memberikan informasi tentang jalur gerakan lateral selama 60 hari terakhir.

Tip

Untuk instruksi tentang cara mengatur server Anda agar ATA dapat melakukan operasi SAM-R yang diperlukan untuk deteksi jalur gerakan lateral, konfigurasikan SAM-R.

Baca juga