Il movimento laterale è un tipo di attività di rete informatica che comporta il trasferimento laterale o il movimento non autorizzato attraverso una rete da un sistema informatico a un altro. Si tratta di una tecnica comunemente utilizzata da un utente malintenzionato per ottenere l'accesso a ulteriori sistemi su una rete o segmenti di rete una volta che un computer è stato compromesso, consentendo agli autori malintenzionati di attraversare ulteriormente la rete. Il movimento laterale può coprire una varietà di attività, come l'autenticazione su un sistema già compromesso, l'esecuzione di exploit locali o lo sviluppo di nuovi, l'aumento dei privilegi e l'inoltro delle connessioni di rete.
Il movimento laterale viene spesso ottenuto attraverso due metodi comuni: pass-the-hash e pass-the-ticket. Pass-the-hash è un attacco in cui un utente malintenzionato acquisisce il valore hash della password di un utente (solitamente tramite un attacco di phishing) e lo utilizza per autenticarsi su altri sistemi sulla rete. Pass-the-ticket è un attacco in cui l'aggressore cattura il ticket di concessione ticket (TGT) Kerberos dell'utente e lo utilizza per autenticarsi su altri sistemi sulla rete.
I metodi comuni di movimento laterale includono anche l'esecuzione remota di codice, la manipolazione di file, la creazione di attività, la manipolazione WMI e la manipolazione di servizi. Le tecniche di movimento laterale variano a seconda del livello di sicurezza della rete di destinazione, ma tutti i tentativi di scoprire e spostarsi lateralmente attraverso una rete di destinazione richiedono un qualche tipo di ricognizione. Una volta stabilito un punto d'appoggio, è possibile entrare in sistemi sensibili e rubare dati sensibili o lanciare ulteriori attacchi. Pertanto, il movimento laterale è un obiettivo chiave del monitoraggio della sicurezza della rete ed è una fase dell’attività in cui un attacco deve essere identificato e a cui rispondere.
La difesa dai movimenti laterali richiede un approccio alla sicurezza completo, che comprenda l’autenticazione multifattore, la segmentazione degli account privilegiati, l’applicazione di patch sicure e il monitoraggio dei tentativi di movimento laterale utilizzando analisi avanzate e intelligence sulle minacce. Le aziende dovrebbero assicurarsi di controllare tutte le attività del sistema per individuare comportamenti sospetti e di cercare i vettori di attacchi dannosi comunemente utilizzati nel loro ambiente.
