Mouvement latéral Les attaques constituent en réalité un point aveugle dans la pile de sécurité actuelle, qui ne peut pas les détecter et les empêcher en temps réel. Cet angle mort est le résultat d'un paradigme de longue date qui délègue la protection de l'identité aux produits de sécurité des points finaux, du réseau et du cloud plutôt que de reconnaître les identités des utilisateurs pour ce qu'elles sont réellement : un système autonome. surface d'attaque qui doivent être traités et protégés de manière spécifique. Dans cet article, nous proposons un cadre conceptuel pour mieux analyser et comprendre cet angle mort dans le contexte global de la cyberprotection afin de permettre aux différents acteurs de la sécurité des entreprises de réfléchir à leur pile de sécurité et d'évaluer son exposition aux attaques par mouvements latéraux.
Un bref récapitulatif des mouvements latéraux
Extension de l'implantation du patient zéro à des machines supplémentaires
Le mouvement latéral est le terme général pour décrire la phase d'attaque qui suit un compromis initial d'une machine (AKA patient zéro) en accédant et en exécutant du code sur des machines supplémentaires dans l'environnement. Effectuer un mouvement latéral est une nécessité clé pour l'attaquant puisque dans la plupart des cas, le patient zéro, tout en étant plus vulnérable que les autres machines de l'environnement, ne peut pas à lui seul satisfaire les objectifs de l'attaque. D'où la nécessité d'accéder à des machines supplémentaires et de former un chemin pour atteindre les objectifs de l'attaque.
Les informations d'identification d'utilisateur compromises sont les principaux catalyseurs du mouvement latéral
Mais comment s’effectue le déplacement de machine en machine ? Dans un environnement d'entreprise, il n'y a qu'une seule façon de procéder : se connecter avec les informations d'identification de l'utilisateur. Par conséquent, ce qui suivrait généralement le compromis patient zéro est la recherche du des comptes d'utilisateurs ou administrateurs qui sont connectés à la machine et leurs informations d'identification (une tâche relativement triviale que de nombreux outils open source et scripts CMD ou PowerShell peuvent effectuer). L'attaquant peut ensuite utiliser divers outils d'administration pour obtenir les noms d'autres machines de l'environnement et tenter de s'y connecter avec les informations d'identification nouvellement obtenues. Une fois réussi, ce processus est répété sur la machine suivante et ainsi de suite. L’un des points communs de nombreuses attaques est la tentative de recherche d’informations d’identification d’administrateur, car celles-ci disposent de privilèges d’accès plus élevés et d’un accès au contrôleur de domaine.
En termes de risque et de dommages potentiels, on voit facilement que le mouvement latéral est l'élément clé pour transformer une cyberattaque d'un événement local en un incident de niveau entreprise. Cependant, malgré les progrès significatifs réalisés en matière de cybersécurité au cours de la dernière décennie, le mouvement latéral reste un angle mort dans la pile de sécurité de l'entreprise, créant une faille de sécurité critique. Réfléchissons aux concepts clés de la détection et de la prévention de la cybersécurité pour comprendre pourquoi.
Détection d'attaque 101 : Le facteur d'anomalie
Dans la plupart des cas, une activité malveillante diffère d'une activité légitime. Pour détecter une activité malveillante la question essentielle est quelle anomalie cela génère-t-il ?
Dans certains cas, l'anomalie est facile à suivre - par exemple, une signature de fichier qui a déjà été signalée comme malveillante ou un trafic réseau vers une adresse IP externe connue pour être malveillante. Mais les acteurs de la menace affinent et améliorent continuellement leurs outils, s'efforçant d'éliminer ou du moins de minimiser ces anomalies autant que possible. Nous voyons donc souvent des attaques qui consistent en une activité tout à fait normale dans un certain aspect mais anormale dans un autre. Par exemple, un exploit de corruption de mémoire d'une vulnérabilité dans Chrome ne déclenche pas d'anomalie de fichier car il détourne le processus Chrome en cours d'exécution. Cependant, le comportement du processus dans la mémoire et son interaction avec le système d'exploitation diffèrent radicalement du flux d'exécution normal de Chrome.
Détection d'attaque 102 : Le facteur multi-aspect
Mais de quoi parle-t-on quand on parle d'aspects ? Nous pouvons considérer les aspects comme différentes perspectives d'une même activité. Prenons un scénario typique d'une charge utile malveillante qui s'exécute, ouvre une connexion sortante avec un serveur distant et télécharge un fichier supplémentaire. Le aspect protection des terminaux recherche les anomalies dans les comportements de processus et les signatures de fichiers, tandis que le protection du réseau rechercherait des anomalies dans le trafic réseau. Une pile de sécurité solide comprendrait autant d'aspects que possible pour augmenter les chances de détection d'activités malveillantes.
La protection mono-aspect est vouée à l'échec car il existe des vecteurs d'attaque qui, par définition, sont légitimes sous un aspect et malveillants sous un autre. L'exemple le plus simple est la communication C2C. Il n'y a pas d'anomalie dans le fichier ou le processus qui ouvre la connexion car c'est le même que celui que le système d'exploitation utilise pour toute autre connexion légitime. Donc, si nous nous appuyions uniquement sur l'aspect terminal, cette activité passerait très probablement inaperçue. Cependant, l'aspect réseau concerné par le trafic réseau déterminerait facilement que l'adresse de destination est malveillante et bloquerait complètement la connexion.
Prévention des attaques 101 : le facteur temps réel
La détection des activités malveillantes est la première étape. Cependant, la valeur réelle de la sécurité est fournie par la capacité à empêcher or bloc l'activité malveillante détectée en temps réel. De cette manière, une plate-forme de protection des terminaux (EPP) est non seulement capable de déterminer si un processus en cours d'exécution présente un comportement malveillant, mais a également le pouvoir de mettre fin à l'exécution de ce processus en temps réel. De même, un pare-feu peut à la fois déterminer qu'un certain trafic réseau est malveillant et le bloquer complètement.
Voyons maintenant comment l'anomalie, l'aspect et les facteurs en temps réel correspondent à protection contre les mouvements latéraux.
Attaque de mouvement latéral et surface d'attaque d'identité
La raison pour laquelle les attaques par mouvement latéral sont un angle mort est que les contrôles de sécurité des terminaux et du réseau ne possèdent pas l'aspect requis pour détecter les anomalies qu'ils impliquent et n'ont pas la capacité de les bloquer en temps réel. Plongeons plus profondément pour comprendre pourquoi.
Le mouvement latéral est une attaque basée sur l'identité
Les attaques par mouvement latéral sont menées en fournissant des informations d'identification utilisateur valides (mais compromises) pour se connecter aux ressources (serveurs, postes de travail, applications, etc.) dans l'environnement ciblé. Ce introduit une grave défi de détection car l'authentification effectuée par un attaquant qui effectue un mouvement latéral est essentiellement identique à une authentification effectuée par un utilisateur légitime. Les deux impliquent un processus d'authentification qui comprend la transmission d'informations d'identification à un fournisseur d'identité (par exemple Active Directory), qui les valide et accorde ou refuse l'accès en fonction de cette validation. De cette manière, une attaque par mouvement latéral est à la base une série d'authentifications qui utilisent l'infrastructure d'authentification légitime à des fins malveillantes.
Défi de détection de mouvement latéral n° 1 : un faible facteur d'anomalie
Cela signifie que nous avons affaire à un facteur d'anomalie très faible pour commencer. La seule différence entre une authentification malveillante et une authentification légitime est que la première est effectuée par un attaquant tandis que la seconde par un utilisateur malveillant. Cela ne laisse pas beaucoup de marge d'anomalie pour travailler puisque l'anomalie ne se trouverait pas dans l'authentification elle-même mais plutôt dans son contexte environnant. Comprenons pourquoi la divulgation de ce contexte dépasse le cadre des aspects de protection des terminaux et du réseau.
Défi n° 2 de la détection des mouvements latéraux : inadéquation des points de terminaison et des aspects réseau
Comme expliqué précédemment, le mouvement latéral est une série d'authentifications malveillantes d'une machine compromise à une autre.
La aspect protection des terminaux n'est pas efficace pour déterminer qu'une telle authentification est malveillante car elle se concentre sur les anomalies dans l'exécution des fichiers et des processus. Cet aspect ne peut révéler aucune anomalie due à la ressemblance que nous avons décrite. Si, par exemple, un attaquant choisit d'employer le PsExec outil pour se connecter à distance du patient zéro à une autre machine avec un ensemble d'informations d'identification compromises, le processus lancé sera PsExec.exe - qui est le même processus qui serait lancé si un administrateur légitime avait choisi d'effectuer la même connexion.
La protection du réseau ne parviendrait pas à détecter le mouvement latéral pour la même raison. Le trafic réseau du patient zéro à la nouvelle machine est à 100 % similaire à celui qu'un service d'assistance légitime générerait lors du dépannage à distance d'un problème de terminal pour un employé.
Défi de prévention des mouvements latéraux n° 3 : l'absence de facteur temps réel dans les solutions de terminaux et de réseau
Supposons que nous ayons réussi à surmonter en partie les difficultés de détection. Il reste un défi critique à résoudre : le manque de capacités de prévention en temps réel au niveau des produits de protection des terminaux et du réseau. Même si le PPE parvient d'une manière ou d'une autre à déterminer qu'un processus exécuté implique sans aucun doute qu'une attaque par mouvement latéral a lieu, il ne peut rien faire pour l'empêcher. Bien qu'en théorie, une solution réseau puisse fournir cette prévention avec une segmentation étroite de l'environnement, en pratique, elle n'empêchera pas les mouvements latéraux au sein du segment compromis lui-même, ni ne bloquera les utilisateurs administrateurs compromis qui sont généralement exemptés des limitations de la segmentation. .
En fait, le seul composant de la pile informatique de l'entreprise qui peut empêcher le mouvement latéral en temps réel est le fournisseur d'identité lui-même, qui dans la plupart des environnements sur site serait Active Directory.
Active Directory Lacunes en matière de détection et de prévention
AD régit le processus d'authentification lui-même et détermine si une demande d'accès à une ressource est accordée ou refusée. S'il y avait une prévention en temps réel contre les mouvements latéraux quelque part, ce serait là.
Cependant, deux problèmes majeurs empêchent AD d'effectuer la tâche de protection en temps réel. Le seul contrôle de sécurité que AD peut effectuer est de valider la correspondance des informations d'identification de l'utilisateur - dans le cas d'un mouvement latéral, cela ne sert à rien car la correspondance existe (c'est le but de compromettre ces informations d'identification en premier lieu). Ainsi, le potentiel de la protection en temps réel ne peut pas être réalisé car AD ne saura jamais quand l'appliquer.
Conclusion - Impasse de la protection contre les mouvements latéraux
Pour résumer, la protection des terminaux et du réseau ne peut pas détecter efficacement les attaques par mouvement latéral et n'a pas la capacité de les empêcher. Active Directory n'a pas la capacité de discerner entre une attaque par mouvement latéral et une authentification légitime, ce qui laisse son potentiel de protection en sommeil et incapable d'être utilisé pour une protection réelle. C'est la principale raison pour laquelle la plupart des organisations conçoivent leur pile de sécurité pour empêcher les étapes d'attaque qui précèdent le mouvement latéral et minimiser de manière réactive ses dommages après sa détection. Mais le mouvement latéral lui-même n'est pas contenu ou adressé.
La Silverfort Way : Prévention en temps réel des mouvements latéraux avec MFA
La Silverfort La plate-forme Unified Identity Protection est la première solution à offrir une prévention transparente et en temps réel des attaques par mouvement latéral en s'intégrant nativement avec Active Directory pour ajouter une couche de sécurité d'analyse des risques et Authentification multi-facteurs (MFA). En apprendre davantage sur Silverfortde, visitez notre Protection contre les mouvements latéraux page ou planifier un demo avec l'un de nos experts.