Qu’est-ce qu’un mouvement latéral dans le domaine de la cybersécurité ?

Un déplacement latéral se produit dans le domaine de la cybersécurité lorsqu’un attaquant compromet un compte ou un appareil et utilise ce compromis pour accéder à d’autres comptes ou appareils. Les mouvements latéraux et l’escalade des privilèges vont généralement de pair lorsqu’un attaquant se déplace sur le réseau et continue d’y accéder avec des privilèges de plus en plus élevés jusqu’au vol de données sensibles. Les hackers peuvent obtenir un mouvement latéral sans détection si le réseau n’a pas d’outils de surveillance en place. Pour arrêter les mouvements latéraux, les organisations ont besoin d’une infrastructure de sécurité résiliente capable de détecter les schémas anormaux. 

Comprendre le mouvement latéral

Les données sensibles sont généralement accessibles uniquement avec des comptes utilisateurs hautement privilégiés, dont le nombre est limité. En revanche, les comptes d’utilisateurs peu privilégiés sont beaucoup plus nombreux, ce qui offre aux attaquants davantage d’opportunités lorsqu’ils ont besoin d’un compte pour une compromission initiale. Par exemple, les documents d’impôt sur les sociétés ne sont généralement accessibles qu’aux comptables, directeurs financiers et analystes financiers. Bien qu’il n’y ait que quelques-uns de ces comptes, les comptes moins privilégiés peuvent être utilisés pour injecter des logiciels malveillants sur le réseau ou envoyer des e-mails d’hameçonnage aux employés financiers afin d’obtenir leurs identifiants de compte.

Les mouvements latéraux peuvent également donner aux attaquants un accès à d’autres appareils. Par exemple, un attaquant compromet un compte sur un poste de travail avec un accès machine local à un serveur. Les logiciels malveillants peuvent ensuite être installés sur le serveur. Il peut s’agir d’un ransomware, d’un outil d’accès à distance (RAT) ou d’un script utilisé pour exfiltrer les données. Dans la plupart des transferts latéraux, l’objectif est d’obtenir des données sensibles. 

Techniques utilisées dans les mouvements latéraux

Dans la plupart des mouvements latéraux, le compromis initial est un compte utilisateur professionnel. Les hackers ont accès à ces comptes en utilisant quelques stratégies : pulvérisation d’informations d’identification, passage du hachage, phishing ou injection de logiciels malveillants. Voici une brève description de chaque stratégie :

• Pulvérisation d’informations d’identification : Les hackers scriptent les demandes d’authentification à l’aide d’identifiants connus. Si les utilisateurs attribuent le même mot de passe à plusieurs comptes, il est possible que des informations d’identification volées sur un site Web puissent authentifier un attaquant sur les comptes professionnels de l’utilisateur, en particulier si l’authentification à deux facteurs n’est pas configurée.
• Passez le hachage : Bien qu’une base de données de hachages de mots de passe ne divulgue pas de valeur en texte brut, les attaques par dictionnaire de force brute peuvent révéler la valeur en texte brut derrière un hachage.
• Hameçonnage : Dans le cadre d’une compromission des e-mails professionnels (BEC), les hackers compromettent un compte de messagerie et envoient des e-mails d’hameçonnage à des utilisateurs plus privilégiés.
• Injection de logiciels malveillants : Les outils d’accès à distance et les logiciels malveillants qui écoutent les données peuvent permettre d’accéder à d’autres machines ou comptes sur le réseau.

Les hackers utilisent souvent l’hameçonnage ou les logiciels malveillants pour accéder d’abord à un compte à faible niveau de privilèges. À l’aide du compte de messagerie de cet utilisateur, l’attaquant envoie un message à un autre utilisateur du service financier, des ressources humaines ou de l’équipe de direction pour demander l’accès à une ressource spécifique. Si la cible de phishing l’exige, l’attaquant a désormais accès à des données sensibles.

Outils et technologies facilitant le mouvement latéral

Les cybercriminels utilisent un ensemble d’outils pour exécuter diverses attaques. Des groupes d’attaquants peuvent créer leurs propres applications, mais la communauté de pirates informatiques dispose de leurs propres applications ouvertes et gratuites. Voici quelques exemples :

• Mimikatz : Certains programmes mettent en cache les informations d’identification dans la mémoire. Mimikatz recherche dans la mémoire de l’ordinateur les informations d’identification mises en cache pour accéder à d’autres serveurs ou postes de travail.
• PsExec : Microsoft a développé PsExec pour les administrateurs réseau. Elle permet aux administrateurs de démarrer ou d’arrêter les services sur des serveurs distants. Entre de mauvaises mains, PsExec peut être utilisé pour lancer un logiciel malveillant sur un serveur distant. Le logiciel malveillant peut être utilisé pour voler des données ou des identifiants.
• PowerShell : PowerShell est la version de Microsoft des langages de script et de script, mais elle peut être utilisée pour accéder à des ordinateurs distants, télécharger des logiciels malveillants sur un périphérique local ou effectuer des activités malveillantes sur le réseau.

Détection et prévention des mouvements latéraux

Après une compromission initiale, un attaquant dispose d’un temps limité pour élever les privilèges ou se déplacer latéralement sur le réseau. Avant l’ouverture du compte à faible niveau de privilèges, les organisations doivent détecter un comportement réseau étrange pour arrêter les dommages supplémentaires après une violation de données initiale. Les organisations disposent de plusieurs stratégies pour détecter les activités anormales et arrêter les mouvements latéraux :

• Utilisez la protection des terminaux : Les agents qui s’exécutent sur les terminaux (par exemple, l’infrastructure cloud ou les périphériques distants des utilisateurs) mettent automatiquement à jour le logiciel, s’assurent que l’antivirus est en cours d’exécution et empêchent l’installation de logiciels malveillants.
• Activer la surveillance du réseau : Utilisez des solutions de surveillance réseau pour surveiller en permanence les schémas de comportement des comptes utilisateurs. Par exemple, un nombre élevé de demandes d’accès sur un document fiscal après la saison fiscale peut indiquer un compromis. La surveillance du réseau alerte les administrateurs pour qu’ils examinent l’activité.
• Proposer une formation sur la sécurité : Formez les utilisateurs privilégiés à identifier le phishing et l’ingénierie sociale.
• Configurer la segmentation réseau : La segmentation de votre réseau bloque l’accès d’un segment à un autre pour stocker des informations sensibles. Par exemple, le segment financier doit bloquer les demandes du segment de vente. Cette stratégie réduit la mobilité d’un déplacement latéral.
• Chiffrer les données : Si vous êtes victime d’une violation de données, les données chiffrées seront illisibles pour un attaquant.

Conclusion

Pour arrêter les mouvements latéraux, la clé du succès est la détection et la surveillance proactives, la segmentation de votre réseau et la protection des périphériques. Les réglementations de conformité exigent également la surveillance et l’audit des demandes d’accès aux données sensibles. Le SIEM (gestion des informations de sécurité et des événements) est une bonne solution pour surveiller et alerter les administrateurs en cas de comportements inhabituels. Pour compléter votre infrastructure de sécurité, proposez une formation aux employés et aux sous-traitants afin de les aider à identifier et signaler les attaques potentielles, comme le phishing.