À mesure que le paysage des menaces évolue, l'équipe Vectra constate que les budgets sont utilisés pour doubler les équipes de sécurité et étendre les défenses périmétriques. Cela découle d'un effort visant à augmenter la détection des menaces et à accélérer le triage.
Malheureusement, il s'agit là d'un faux postulat.
Les praticiens l'ont reconnu, à commencer par une récente recommandation technique de Gartner. Dans un blog, Gartner souligne que "pendant des années, l'idée de la détection des menaces sur le réseau était synonyme de systèmes de détection et de prévention des intrusions (IDPS)".
"Les systèmes NTA d'aujourd'hui ont un peu d'ADN de ces premiers systèmes IDS basés sur les anomalies, mais leur objectif est très différent et ils se concentrent beaucoup moins sur la détection des intrusions initiales", peut-on lire dans le rapport.
"Les différences d'intention et les approches privilégiées ont permis d'étendre la pratique de l'utilisation des données de réseau pour la sécurité à d'autres outils modernes, tels que l'ANT".
Bien qu'il y ait plusieurs raisons à cela, la capacité de voir le trafic "est-ouest" est fondamentale. Une organisation est dans son état le plus vulnérable lorsque des mouvements latéraux se produisent - les vulnérabilités ont été exploitées, les périmètres ont été contournés.
Les attaquants font rapidement la course et se propagent latéralement vers d'autres points stratégiques du réseau, collectent des informations et finissent par exfiltrer ou détruire des données. Ce constat s'applique également lorsque ces mêmes organisations sont confrontées à la menace individu .
Bien sûr, cette approche est philosophiquement raisonnable. Mais elle soulève deux questions pratiques : Quels comportements dois-je rechercher et comment puis-je identifier ces comportements de manière efficace et précise ?
Sur Vectra, nous observons et identifions les comportements de mouvement latéral sur les réseaux des clients lorsqu'ils choisissent de partager des métadonnées avec nous. Dans notre dernier Attacker Behavior Industry Report publié lors de la 2019 RSA Conference le mois dernier, il s'agissait d'un comportement de plus en plus courant.
Nous vous encourageons à évaluer l'efficacité de vos processus et de vos outils pour identifier et répondre rapidement aux comportements de mouvement latéral que nous observons fréquemment :
1. Réplication automatisée
Unpériphérique hôte interne envoie des charges utiles similaires à plusieurs cibles internes. Cela peut être le résultat d'un hôte infecté qui envoie un ou plusieurs exploits à d'autres hôtes pour tenter d'infecter d'autres hôtes.
2. Mouvement de force
Un hôte interne fait des tentatives de connexion excessives sur un système interne. Ces comportements se produisent via différents protocoles (par exemple RDP, VNC, SSH) et pourraient indiquer une activité de grattage de mémoire.
3. Activité malveillante d'un compte Kerberos
Uncompte Kerberos est utilisé à un taux qui dépasse de loin sa ligne de base apprise et la plupart des tentatives de connexion échouent.
4. Comportements suspects de l'administrateur
Ledispositif hôte utilise des protocoles qui sont en corrélation avec l'activité administrative (par exemple RDP, SSH) d'une manière considérée comme suspecte.
5. Mouvement par force brute via SMB
Unhôte interne utilise le protocole SMB pour effectuer de nombreuses tentatives de connexion en utilisant les mêmes comptes. Ces comportements correspondent à des attaques de mot de passe par force brute.
Bien entendu, la gravité et la fréquence de ces comportements varient en fonction de votre secteur d'activité. Pour en savoir plus sur les comportements les plus courants dans votre secteur, nous vous invitons à lire notre rapport sur le comportement des attaquants.
Je suggère également de contacter un représentant de Vectra pour une discussion consultative sur l'ensemble des comportements des attaquants que nous avons codifiés dans notre plateforme Cognito détection et réponse aux incidents basée sur l'IA.
*Gartner Blog Network, "Applying Network-Centric Approaches for Threat Detection and Response " par Anton Chuvakin, 19 mars 2019