Qu’est-ce que le mouvement latéral ?

D’une manière générale, les attaques par mouvement latéral comportent deux parties : une brèche initiale suivie d’un mouvement interne. Les pirates doivent d’abord accéder à un réseau en échappant à la sécurité des points de terminaison. Ils peuvent utiliser des attaques par phishing ou des logiciels malveillants pour compromettre un appareil ou une application, ou obtenir un accès initial via un port de serveur ouvert. Une fois que les attaquants ont pénétré un système, ils peuvent commencer à se déplacer vers d’autres zones du réseau en suivant ces étapes :

Reconnaissance
Une fois établis à l’intérieur d’un système, les agresseurs cartographient le réseau et planifient un itinéraire vers leur objectif. Ils recherchent des informations sur les hiérarchies de réseau, les systèmes d’exploitation, les comptes d’utilisateurs, les appareils, les bases de données et les applications, le but étant de comprendre comment ces actifs sont connectés. Ils peuvent également évaluer les contrôles de sécurité réseau, puis utiliser ce qu’ils apprennent pour échapper aux équipes de sécurité.

Élévation des privilèges
 Lorsque  les pirates comprennent l’organisation du réseau, ils peuvent utiliser diverses techniques de mouvement latéral pour atteindre davantage d’appareils et de comptes. En infiltrant davantage de ressources, les pirates ne se rapprochent pas seulement de leur objectif, ils rendent également plus difficile leur élimination. Même si les opérations de sécurité les retirent d’une ou deux machines, ils ont toujours accès à d’autres actifs.

Lorsque les pirates se déplacent latéralement, ils tentent de s’emparer des actifs et des comptes qui disposent de privilèges plus élevés. On parle alors d’« élévation des privilèges ». Plus les pirates ont de privilèges, plus ils peuvent faire de choses au sein du réseau. En fin de compte, les pirates informatiques visent à obtenir des privilèges administratifs, ce qui leur permet d’aller pratiquement n’importe où et de faire pratiquement n’importe quoi.

Atteindre la cible
Les hackers combinent et répètent les techniques de mouvement latéral selon leurs besoins jusqu’à atteindre leur cible. Souvent, ils recherchent des informations sensibles pour les collecter, les chiffrer et les compresser en vue de l’exfiltration des données sur un serveur externe. Il peuvent également vouloir saboter le réseau en supprimant des données ou en infectant des systèmes critiques avec des logiciels malveillants. En fonction de leur objectif final, les pirates informatiques peuvent maintenir des portes dérobées et les points d’accès à distance aussi longtemps que possible pour maximiser les dégâts.

Dumping d’identifiants – Les pirates informatiques volent les noms d’utilisateur et les mots de passe d’utilisateurs légitimes, puis les « diffusent » sur leurs propres machines. Ils peuvent également voler les identifiants des administrateurs qui se sont récemment connectés à l’appareil. 

Réussir à faire passer les attaques par hachage – Certains systèmes transforment ou « hachent » les mots de passe en données illisibles avant de les transmettre et de les stocker. Les pirates informatiques peuvent voler ces hachages de mots de passe et les utiliser pour tromper les protocoles d’authentification afin d’accorder des autorisations pour les systèmes et les services protégés. 

Faire passer le ticket – Les pirates utilisent un ticket Kerberos volé pour accéder aux appareils et aux services sur le réseau. (Kerberos est le protocole d’authentification par défaut utilisé dans Microsoft Active Directory).

Attaques par force brute – Les pirates s’introduisent dans un compte à l’aide de scripts ou de bots pour générer et tester des mots de passe potentiels jusqu’à ce qu’un mot de passe fonctionne.

Ingénierie sociale – Les pirates peuvent utiliser le compte de messagerie compromis d’un employé pour lancer des attaques par phishing conçues pour récolter les identifiants de connexion des comptes privilégiés.

Détournement de ressources partagées – Les pirates peuvent propager des logiciels malveillants par l’intermédiaire de ressources, de bases de données et de systèmes de fichiers partagés. Par exemple, ils peuvent détourner des fonctionnalités Secure Shell (SSH) qui connectent des systèmes aux systèmes d’exploitation macOS et Linux.

Attaques PowerShell – Les pirates peuvent utiliser l’interface de ligne de commande (CLI) de Windows et l’outil de script PowerShell pour modifier des configurations, voler des mots de passe ou exécuter des scripts malveillants.

Living off the land – Les pirates peuvent s’appuyer sur des actifs internes qu’ils ont compromis plutôt que sur des logiciels malveillants externes dans les étapes ultérieures du mouvement latéral. Cette approche donne l’impression que leurs activités sont légitimes et les rend plus difficiles à détecter.

Menaces persistantes avancées (« advanced persistent threats » ou APT) – Les mouvements latéraux constituent une stratégie fondamentale pour les groupes d’attaques APT, dont le but est d’infiltrer un réseau, de l’explorer et d’étendre leur accès sur une longue période. Ces groupes utilisent souvent les mouvements latéraux pour passer inaperçus lorsqu’ils mènent de multiples cyberattaques pendant des mois, voire des années.

Cyberespionnage – Étant donné que la nature du cyberespionnage est de localiser et de surveiller des données ou des processus sensibles, le mouvement latéral est une capacité essentielle pour les cyberespions. Les États-nations engagent souvent des cybercriminels très compétents pour leur capacité à se déplacer librement à l’intérieur d’un réseau cible et à reconnaître des actifs protégés sans être détectés.

Ransomwares – Les attaquants qui utilisent des ransomwares effectuent des mouvements latéraux pour accéder à de nombreux systèmes, domaines, applications et appareils différents et prendre leur contrôle. Plus ils peuvent capturer de ces actifs et plus ces derniers sont essentiels aux opérations d’une organisation, plus ils ont de poids lorsqu’ils exigent un paiement en échange de leur restitution.

Ingestion de botnets – À mesure que le mouvement latéral progresse, les pirates prennent le contrôle d’un nombre croissant d’appareils sur un réseau compromis. Ils peuvent connecter ces appareils pour créer un réseau de robots ou « botnet ». Une infection de botnets réussie peut être utilisée pour lancer d’autres cyberattaques, distribuer des spam ou escroquer un large groupe d’utilisateurs cibles.

Les mouvements latéraux pouvant rapidement s’intensifier dans un réseau, une détection précoce est essentielle pour limiter les dommages et les pertes. Les experts en sécurité recommandent de prendre des mesures qui permettent de distinguer les processus normaux du réseau des activités suspectes :

Analyser le comportement des utilisateurs – Des volumes inhabituellement élevés de connexions d’utilisateurs, des connexions qui ont lieu tard dans la nuit, des utilisateurs qui accèdent à des appareils ou à des applications inattendus ou une augmentation des échecs de connexion peuvent tous être des signes de mouvement latéral. L’analyse comportementale assistée par le machine learning peut permettre d’identifier les comportements anormaux d’utilisateurs et d’alerter les équipes de sécurité.

Protection des points de terminaison – Les appareils vulnérables connectés au réseau tels que les postes de travail personnels, les smartphones, les tablettes et les serveurs sont les principales cibles des cybermenaces. Les solutions de sécurité telles que la détection et réponse des terminaux (« endpoint detection and response » ou EDR) et les pare-feu d’applications web sont essentielles pour surveiller les points de terminaison et prévenir les violations du réseau en temps réel.

Création de partitions de réseau – La segmentation de réseau peut aider à arrêter les mouvements latéraux. Exiger des protocoles d’accès distincts pour les différentes zones d’un réseau limite la capacité d’un pirate à se déplacer. Cela facilite également la détection du trafic réseau inhabituel.

Surveillance des transferts de données – Une accélération soudaine des opérations de la base de données ou des transferts massifs de données vers un endroit inhabituel peuvent indiquer qu’un mouvement latéral est en cours. Les outils qui surveillent et analysent les journaux d’événements provenant de sources de données, tels que la gestion des informations et des événements de sécurité(SIEM) ou la détection et la réponse des réseaux(NDR), peuvent aider à identifier des modèles de transfert de données suspects.

Utilisation de l’authentification à étapes (MFA) – Si les pirates informatiques réussissent à voler les identifiants des utilisateurs, l’authentification à étapes peut aider à empêcher une violation en ajoutant une couche de sécurité supplémentaire. Avec l’authentification à étapes, les mots de passe volés ne suffisent pas à eux seuls à donner accès aux systèmes protégés.

Étudier les menaces potentielles – Les systèmes de sécurité automatisés peuvent donner de faux positifs et passer à côté de cybermenaces inconnues ou non corrigées. La traque manuelle des menaces, qui s’appuie sur les derniers renseignements sur les menaces, peut aider les organisations à enquêter sur les menaces potentielles et à préparer une réponse efficace en cas d’incident.

Être proactif – Corriger et mettre à jour les logiciels, appliquer l’accès aux systèmes selon le principe de moindre privilège, former les employés aux mesures de sécurité et mener des tests d’intrusion peut aider à empêcher les mouvements latéraux. Il est essentiel de corriger en continu les vulnérabilités qui créent des opportunités pour les pirates.