Principes fondamentaux de la cybersécurité

Mouvement latéral

Aperçu de la situation

Plus de 70 % des brèches réussies impliquent l'utilisation de techniques de déplacement latéral, ce qui souligne leur prévalence dans les cyberattaques. (Source : CrowdStrike 2020 Global Threat Report)
Les organisations qui recherchent activement les menaces, y compris les mouvements latéraux, peuvent réduire jusqu'à 70 % la durée des attaques. (Source : SANS Institute)

Techniques employées dans les mouvements latéraux

Pass-the-Hash (PtH) : Cette technique implique l'utilisation de hachages de mots de passe volés pour authentifier et usurper l'identité d'utilisateurs sur d'autres systèmes, ce qui permet un accès non autorisé.
Pass-the-Ticket (PtT): Les attaquants exploitent le ticket Kerberos (TGT) pour se déplacer latéralement au sein d'un réseau, en utilisant les informations d'authentification de la victime.
Overpass-the-Hash (OtH) : Similaire à PtH, OtH implique la manipulation de hachages de mots de passe, mais au lieu de les utiliser directement, les attaquants écrasent les hachages existants pour élever leurs privilèges.
Ticket d'or: En compromettant la base de données Active Directory, les attaquants peuvent forger des tickets TGS (ticket-granting service), ce qui leur donne un accès illimité au réseau.
Le détournement du protocole de bureau à distance (RDP) : Cette technique consiste à détourner des sessions RDP actives pour prendre le contrôle de systèmes distants, ce qui permet des déplacements latéraux sur le réseau.

Détection et prévention des mouvements latéraux

La prévention et l'atténuation des mouvements latéraux nécessitent une approche de sécurité à plusieurs niveaux. Voici quelques mesures essentielles à prendre en compte :

Segmentation du réseau: La division du réseau en segments plus petits et isolés limite l'impact potentiel des mouvements latéraux, en minimisant la capacité d'un attaquant à traverser le réseau sans être détecté.
Protection desEndpoint : La mise en œuvre de solutions de sécurité robustes pour endpoint , notamment des pare-feu, des logiciels antivirus et des systèmes de détection des intrusions, permet de détecter et de bloquer les tentatives de mouvement latéral.
Atténuation de l'escalade des privilèges: L'application du principe du moindre privilège (PoLP) et la mise à jour régulière des systèmes réduisent les risques d'escalade des privilèges par les attaquants.
Analyse du comportement des utilisateurs et des entités (UEBA): L'utilisation de solutions UEBA permet d'identifier les comportements anormaux, tels que les accès inhabituels à un compte ou les transferts de données inhabituels, ce qui permet de détecter rapidement les mouvements latéraux.

Attaques notoires du mouvement latéral

Opération Aurora: En 2009, une série de cyberattaques sophistiquées a visé de grandes entreprises technologiques. Les attaquants ont utilisé une combinaison de phishing, d'attaques par trou d'eau et de techniques de déplacement latéral pour s'infiltrer et voler la propriété intellectuelle.
Ransomware WannaCry: WannaCry, déclenché en 2017, a exploité une vulnérabilité dans le système d'exploitation Windows pour infecter des centaines de milliers de systèmes dans le monde. Une fois à l'intérieur d'un réseau, il s'est rapidement propagé latéralement, en chiffrant les fichiers et en exigeant le paiement d'une rançon.
NotPetya: NotPetya, une souche de malware destructrice, a fait des ravages en 2017. Elle s'est appuyée sur des techniques de mouvement latéral pour se propager dans les réseaux, causant des dommages considérables à de nombreuses organisations dans le monde entier.

Mouvement latéral : Menaces émergentes et stratégies d'atténuation

Architecture deZero Trust : L'adoption d'une approche de zero trust , où aucun utilisateur ou système n'est intrinsèquement fiable, offre une défense prometteuse contre les mouvements latéraux en vérifiant et en authentifiant en permanence toutes les activités du réseau.
>En savoir plus sur Zero Trust
‍
La chasse aux menaces: La chasse proactive aux menaces consiste à rechercher activement des indicateurs de compromission et des signes de mouvement latéral au sein d'un réseau, afin de permettre une détection et une atténuation rapides.
>En savoir plus sur la chasse aux menaces
‍
Technologies de tromperie: L'utilisation de systèmes de leurre, de pots de miel et d'autres techniques de déception peut inciter les attaquants à révéler leur présence et leurs intentions, ce qui entrave les mouvements latéraux.

Détecter et prévenir les mouvements latéraux avec Vectra AI

Vectra offre des capacités avancées de détection et de réponse aux menaces, en s'appuyant sur des algorithmes d'intelligence artificielle et d'apprentissage automatique pour identifier et contrecarrer les tentatives de mouvement latéral en temps réel. Grâce à sa visibilité complète sur l'ensemble de votre réseau, Vectra fournit des informations exploitables et des alertes hiérarchisées, permettant aux équipes de sécurité d'enquêter et de répondre rapidement aux menaces potentielles.

En tirant parti des capacités d'analyse et de détection avancées de Vectra, vous pouvez améliorer votre posture de sécurité et réduire de manière significative le risque de réussite des attaques par mouvement latéral. Protégez les actifs critiques de votre organisation et gardez une longueur d'avance sur les cyberadversaires grâce à la puissante plateforme de détection des menaces de Vectra.

Plus d'informations sur les fondamentaux de la cybersécurité

Foire aux questions

Qu'est-ce que le mouvement latéral dans le domaine de la cybersécurité ?

Le mouvement latéral désigne les techniques utilisées par les cyberattaquants pour se déplacer dans un réseau après avoir obtenu un accès initial. L'objectif est de trouver et d'exfiltrer des données précieuses ou de prendre le contrôle de systèmes critiques, souvent en escaladant les privilèges ou en exploitant les vulnérabilités du réseau.

Comment les attaquants exécutent-ils les mouvements latéraux ?

Les attaquants effectuent un mouvement latéral en s'appuyant sur des informations d'identification compromises, en exploitant des vulnérabilités, en utilisant des outils tels que PsExec ou Mimikatz pour la vidange d'informations d'identification, en se déplaçant d'un hôte compromis à un autre et en utilisant des outils d'administration de réseau légitimes pour éviter d'être détectés.

Quels sont les indicateurs courants du mouvement latéral ?

Les indicateurs les plus courants sont les tentatives de connexion inhabituelles, en particulier à des heures indues, les pics de trafic sur le réseau, l'accès inattendu à des zones sensibles, l'utilisation de protocoles de bureau à distance et la détection d'outils connus utilisés pour la découverte du réseau, l'extraction d'informations d'identification ou l'escalade des privilèges.

Comment les organisations peuvent-elles détecter les mouvements latéraux ?

Les organisations peuvent détecter les mouvements latéraux en mettant en œuvre une segmentation du réseau, en surveillant et en analysant le trafic réseau pour détecter des schémas inhabituels, en employant des solutions avancées de détection et de réponse des endpoint (EDR) et en utilisant des systèmes de gestion des informations et des événements de sécurité (SIEM) pour l'analyse et la corrélation des journaux.

Quelles stratégies peuvent aider à prévenir les mouvements latéraux ?

Les stratégies préventives comprennent L'application d'une authentification forte et de contrôles d'accès. Mettre en œuvre une segmentation du réseau pour limiter les mouvements des attaquants. Mettre à jour et corriger régulièrement les systèmes afin d'éliminer les vulnérabilités. Appliquer le principe du moindre privilège pour les comptes d'utilisateurs et les services. surveiller en permanence les activités suspectes Former les employés à reconnaître les tentatives d'phishing et autres tactiques d'ingénierie sociale.

L'architecture zero trust peut-elle empêcher les mouvements latéraux ?

Oui, l'architecture de zero trust peut empêcher de manière significative les mouvements latéraux en exigeant une vérification continue de tous les utilisateurs et appareils, indépendamment de leur emplacement ou de leur niveau d'accès au réseau. Cette approche minimise la capacité des attaquants à se déplacer librement au sein d'un réseau.

Quelle est l'importance de la réponse aux incidents dans l'atténuation des mouvements latéraux ?

La réponse aux incidents joue un rôle crucial dans l'atténuation du mouvement latéral en garantissant que toute compromission initiale est rapidement détectée, contenue et éradiquée, empêchant ainsi les attaquants de se déplacer latéralement vers d'autres parties du réseau.

Quel rôle joue la chasse aux menaces dans la détection des mouvements latéraux ?

La chasse aux menaces consiste à rechercher de manière proactive les cybermenaces qui échappent aux mesures de sécurité existantes, y compris les signes de mouvements latéraux. Les chasseurs de menaces compétents peuvent identifier des indicateurs subtils de compromission, ce qui permet de découvrir les mouvements furtifs des attaquants au sein du réseau et d'y remédier.

Comment les organisations peuvent-elles améliorer leurs défenses contre les mouvements latéraux ?

Les organisations peuvent améliorer leurs défenses en investissant dans des outils de cybersécurité avancés, en adoptant une stratégie de sécurité holistique qui comprend des évaluations régulières de la sécurité, une veille sur les menaces, une protection robuste des endpoint et en encourageant une culture de sensibilisation à la sécurité parmi tous les employés.

Quels sont les développements futurs qui devraient améliorer la protection contre les mouvements latéraux ?

Les développements futurs pourraient inclure des avancées dans les technologies d'IA et d'apprentissage automatique pour une meilleure détection des activités anormales, une adoption plus large des principes de zero trust , et un meilleur partage des renseignements sur les menaces entre les organisations afin d'identifier et d'atténuer plus efficacement les tactiques de mouvement latéral.