Techniques employées dans les mouvements latéraux
- Pass-the-Hash (PtH) : Cette technique implique l'utilisation de hachages de mots de passe volés pour authentifier et usurper l'identité d'utilisateurs sur d'autres systèmes, ce qui permet un accès non autorisé.
- Pass-the-Ticket (PtT): Les attaquants exploitent le ticket Kerberos (TGT) pour se déplacer latéralement au sein d'un réseau, en utilisant les informations d'authentification de la victime.
- Overpass-the-Hash (OtH): Similaire à PtH, OtH implique la manipulation de hachages de mots de passe, mais au lieu de les utiliser directement, les attaquants écrasent les hachages existants pour élever leurs privilèges.
- Ticket d'or: En compromettant la base de données Active Directory, les attaquants peuvent forger des tickets TGS (ticket-granting service), ce qui leur donne un accès illimité au réseau.
- Le détournement du protocole de bureau à distance (RDP) : Cette technique consiste à détourner des sessions RDP actives pour prendre le contrôle de systèmes distants, ce qui permet des déplacements latéraux sur le réseau.
Détection et prévention des mouvements latéraux
La prévention et l'atténuation des mouvements latéraux nécessitent une approche de sécurité à plusieurs niveaux. Voici quelques mesures essentielles à prendre en compte :
- Segmentation du réseau: La division du réseau en segments plus petits et isolés limite l'impact potentiel des mouvements latéraux, en minimisant la capacité d'un attaquant à traverser le réseau sans être détecté.
- Endpoint Protection: La mise en œuvre de solutions de sécurité robustes sur le site endpoint , notamment des pare-feu, des logiciels antivirus et des systèmes de détection d'intrusion, permet de détecter et de bloquer les tentatives de mouvement latéral.
- Atténuation de l'escalade des privilèges: L'application du principe du moindre privilège (PoLP) et la mise à jour régulière des systèmes réduisent les risques d'escalade des privilèges par les attaquants.
- Analyse du comportement des utilisateurs et des entités (UEBA): L'utilisation de solutions UEBA permet d'identifier les comportements anormaux, tels que les accès inhabituels à un compte ou les transferts de données inhabituels, ce qui permet de détecter rapidement les mouvements latéraux.
Attaques notoires du mouvement latéral
- Opération Aurora: En 2009, une série de cyberattaques sophistiquées a visé de grandes entreprises technologiques. Les attaquants ont utilisé une combinaison de spear-phishing, d'attaques par trou d'eau et de techniques de déplacement latéral pour s'infiltrer et voler la propriété intellectuelle.
- Ransomware WannaCry: WannaCry, déclenché en 2017, a exploité une vulnérabilité dans le système d'exploitation Windows pour infecter des centaines de milliers de systèmes dans le monde. Une fois à l'intérieur d'un réseau, il s'est rapidement propagé latéralement, en chiffrant les fichiers et en exigeant le paiement d'une rançon.
- NotPetya: NotPetya, une souche destructrice de malware , a fait des ravages en 2017. Elle s'est appuyée sur des techniques de mouvement latéral pour se propager dans les réseaux, causant des dommages considérables à de nombreuses organisations dans le monde entier.
Mouvement latéral : Menaces émergentes et stratégies d'atténuation
- Zero Trust Architecture: L'adoption d'une approche de confiance zéro, où aucun utilisateur ou système n'est intrinsèquement fiable, offre une défense prometteuse contre les mouvements latéraux en vérifiant et en authentifiant en permanence toutes les activités du réseau.
>En savoir plus sur Zero Trust
- La chasse aux menaces: La chasse proactive aux menaces consiste à rechercher activement des indicateurs de compromission et des signes de mouvement latéral au sein d'un réseau, afin de permettre une détection et une atténuation rapides.
>En savoir plus sur la chasse aux menaces
- Technologies de tromperie: L'utilisation de systèmes de leurre, de pots de miel et d'autres techniques de déception peut inciter les attaquants à révéler leur présence et leurs intentions, ce qui entrave les mouvements latéraux.
Détecter et prévenir les mouvements latéraux avec Vectra AI
Vectra offre des capacités avancées de détection et de réponse aux menaces, en s'appuyant sur des algorithmes d'intelligence artificielle et d'apprentissage automatique pour identifier et contrecarrer les tentatives de mouvement latéral en temps réel. Grâce à sa visibilité complète sur l'ensemble de votre réseau, Vectra fournit des informations exploitables et des alertes hiérarchisées, permettant aux équipes de sécurité d'enquêter et de répondre rapidement aux menaces potentielles.
En tirant parti des capacités d'analyse et de détection avancées de Vectra, vous pouvez améliorer votre posture de sécurité et réduire de manière significative le risque de réussite des attaques par mouvement latéral. Protégez les actifs critiques de votre organisation et gardez une longueur d'avance sur les cyberadversaires grâce à la puissante plateforme de détection des menaces de Vectra.