Il movimento laterale è una delle fasi più decisive di un'intrusione, perché è il punto in cui un singolo appiglio si trasforma in una compromissione dell'intera rete. Un attaccante atterra raramente sulla macchina che gli interessa davvero. Entra invece da qualche parte, spesso una postazione di lavoro di scarso valore, e poi si sposta di lato tra sistemi e account finché non raggiunge i dati, i backup o i server di amministrazione che cercava. Capire il movimento laterale è essenziale sia per gli attaccanti che studiano la catena d'attacco sia per i difensori che cercano di spezzarla.
Perché è importante
La violazione iniziale non è quasi mai il premio. Un'email di phishing che cade su un laptop ha valore solo se l'intruso può pivotare da lì verso qualcosa che vale la pena rubare. Il movimento laterale è il tessuto connettivo che collega il primo appiglio all'obiettivo finale, ed è anche il punto in cui i difensori hanno la migliore possibilità di catturare un attaccante che ha già superato il perimetro.
È fondamentale ricordare che il movimento laterale è lavoro manuale successivo alla compromissione. Avviene dopo che il malware è già stato eseguito e dopo che gli avvisi che il perimetro avrebbe sollevato sono ormai scomparsi. È proprio per questo che merita un'attenzione particolare. Nell'analisi di Anthropic sugli attori delle minacce potenziati dall'IA, il movimento laterale è stato l'indicatore più forte di un attore ad alto rischio: i profili che mostravano movimento laterale avevano un punteggio di rischio medio di 56,4 contro una media generale di 46,8, come spieghiamo nel nostro approfondimento su come gli hacker usano l'IA. Quando un intruso pivota attivamente tra i sistemi, c'è una persona reale alla tastiera che insegue un obiettivo reale, e i difensori devono rilevare quel comportamento invece di affidarsi all'allarme iniziale.
Come si muovono lateralmente gli attaccanti
La maggior parte del movimento laterale si fonda su credenziali rubate ma legittime, ed è ciò che lo rende così difficile da individuare. Lo schema classico è l'estrazione di credenziali (MITRE ATT&CK T1003) per raccogliere hash di password o ticket da un host compromesso, seguita dal riutilizzo di quelle credenziali sulle macchine vicine.
Poiché queste tecniche abusano di protocolli e account legittimi, il movimento laterale spesso sembra amministrazione ordinaria. L'attaccante non sfrutta un vistoso zero-day a ogni salto; semplicemente accede.
Rilevarlo e fermarlo
Dato che il movimento laterale si appoggia a credenziali valide, gli strumenti basati su firme raramente lo intercettano da soli. Il rilevamento dipende dal comportamento: un account che all'improvviso si autentica su sistemi che non tocca mai, accessi remoti a orari strani, oppure un host che si estende attraverso la rete in modi mai visti prima.
I difensori aumentano il costo del pivotare con la segmentazione della rete, il privilegio minimo e l'autenticazione a più fattori, così che una singola credenziale rubata raggiunga meno sistemi. Oltre a questo, una caccia alle minacce proattiva e un security operations center con personale dedicato forniscono il giudizio umano necessario per riconoscere l'attività manuale che gli avvisi automatici mancano. La lezione è coerente: la violazione iniziale può essere inevitabile, ma il movimento laterale è il punto in cui un difensore può ancora vincere.
Come insegniamo Movimento laterale
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su Movimento laterale. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 10: Penetration Testing e Hacking Etico
360+ ore di formazione esperta • CompTIA Security+ incluso