Le mouvement latéral fait référence à la technique utilisée par les auteurs de menaces pour naviguer à travers un réseau ou un système compromis, en se déplaçant furtivement d'un hôte à un autre. Contrairement aux attaques traditionnelles qui ciblent un seul point d’entrée, les mouvements latéraux permettent aux attaquants d’étendre leur influence, d’étendre leur contrôle et d’accéder à des actifs précieux au sein du réseau. Il s’agit d’une phase cruciale d’une attaque APT, permettant aux attaquants de maintenir leur persévérance et d’atteindre leurs objectifs.
Les attaquants utilisent la technique du mouvement latéral pour plusieurs raisons, notamment pour établir la persistance, accéder à des cibles de grande valeur, augmenter les privilèges, exfiltrer des données et échapper aux contrôles de sécurité.
Le mouvement latéral implique une série d’étapes par lesquelles les attaquants passent pour s’infiltrer et étendre leur contrôle au sein d’un réseau. Ces étapes comprennent généralement :
Technique d'attaque | Principales caractéristiques | Relation avec le mouvement latéral |
Attaques de phishing | Techniques d'ingénierie sociale pour extraire des informations sensibles | Les mouvements latéraux peuvent impliquer l'utilisation d'informations d'identification volées |
Malware | Logiciels malveillants pour le vol de données, la perturbation ou l'accès non autorisé | Les mouvements latéraux peuvent utiliser des logiciels malveillants à des fins de propagation ou de persistance |
Attaques DoS/DDoS | Submerger les systèmes cibles avec un trafic excessif | Pas d'alignement direct avec le mouvement latéral |
Attaques de l'homme du milieu | Intercepter et manipuler la communication pour l'interception ou la modification | Le mouvement latéral peut inclure une interception dans le cadre de la technique |
Injection SQL | Exploiter les vulnérabilités des applications Web pour un accès non autorisé | Le mouvement latéral peut avoir un effet de levier identifiants compromis ou bases de données |
XSS (Cross-Site Scripting) | Injectez des scripts malveillants dans des sites Web de confiance pour l'exécution de code arbitraire ou le vol d'informations | Pas d'alignement direct avec le mouvement latéral |
Ingénierie sociale | Manipuler des individus pour qu'ils divulguent des informations sensibles ou effectuent des actions | Le mouvement latéral peut impliquer une ingénierie sociale dans le compromis initial |
Attaques par mot de passe | Techniques telles que les attaques par force brute ou par dictionnaire pour le piratage des mots de passe | Les mouvements latéraux peuvent exploiter des informations d'identification compromises ou volées |
Menaces persistantes avancées (APT) | Attaques sophistiquées et ciblées pour un accès persistant et des objectifs spécifiques | Le mouvement latéral est une phase critique au sein des APT |
Exploits du jour zéro | Ciblez les vulnérabilités inconnues avant que les correctifs ne soient disponibles | Le mouvement latéral peut intégrer des exploits du jour zéro dans le cadre de sa technique |
À mesure que la sophistication des cybermenaces continue d’évoluer, la compréhension des techniques et des méthodes utilisées dans les mouvements latéraux devient primordiale pour des stratégies de défense efficaces.
En comprenant ces techniques, les organisations peuvent mettre en œuvre des mesures de sécurité proactives, telles que des contrôles d'accès robustes, une gestion des vulnérabilités et une formation de sensibilisation des utilisateurs, pour atténuer les risques associés aux mouvements latéraux et protéger leurs actifs critiques contre les cyber-intrus.
Voici les techniques les plus courantes impliquées dans les attaques par mouvements latéraux :
Les attaques Pass-the-Hash exploitent la façon dont Windows stocke les informations d'identification des utilisateurs sous la forme de valeurs hachées. Les attaquants extraient les hachages de mots de passe des systèmes compromis et les utilisent pour s'authentifier et accéder à d'autres systèmes du réseau. En contournant le besoin de mots de passe en texte clair, les attaques PtH permettent aux attaquants de se déplacer latéralement sans avoir recours à un vol continu d'identifiants.
Levier des attaques Pass-the-Ticket Kerberos tickets d'authentification pour se déplacer latéralement au sein d'un réseau. Les attaquants acquièrent et abusent de tickets valides obtenus à partir de systèmes compromis ou volés à des utilisateurs légitimes. Grâce à ces tickets, ils peuvent s'authentifier et accéder à des systèmes supplémentaires, en contournant les mécanismes d'authentification traditionnels.
Le détournement RDP implique la manipulation ou l'exploitation du protocole Remote Desktop, qui permet aux utilisateurs de se connecter à des systèmes distants. Les attaquants ciblent les systèmes avec RDP activé, exploitent les vulnérabilités ou utilisent des informations d'identification volées pour obtenir un accès non autorisé. Une fois à l’intérieur, ils peuvent naviguer latéralement en se connectant à d’autres systèmes ou en utilisant l’hôte compromis comme point de départ pour d’autres attaques.
Le vol et la réutilisation des identifiants jouent un rôle important dans les mouvements latéraux. Les attaquants emploient diverses méthodes, telles que le keylogging, le phishing ou le brute-forcing, pour voler des informations d'identification valides. Une fois obtenues, ces informations d'identification sont réutilisées pour s'authentifier et se déplacer latéralement à travers le réseau, augmentant ainsi potentiellement les privilèges et accédant à des cibles de grande valeur.
L’exploitation des vulnérabilités est une technique courante utilisée dans les mouvements latéraux. Les attaquants ciblent les systèmes non corrigés ou les mauvaises configurations pour obtenir un accès non autorisé. L’exploitation des vulnérabilités leur permet de se déplacer latéralement en compromettant des hôtes supplémentaires, en exploitant les faiblesses des logiciels ou des configurations réseau.
La propagation des logiciels malveillants est une autre méthode répandue utilisée dans les mouvements latéraux. Les attaquants déploient des logiciels malveillants, tels que des vers ou des botnets, au sein du réseau compromis. Ces instances de logiciels malveillants se propagent d'un système à un autre, aidant les attaquants à naviguer et à étendre le contrôle au sein du réseau.
Dans le cadre de l'une des cyberattaques les plus importantes, les pirates ont accédé au réseau de Target Corporation par l'intermédiaire d'un fournisseur tiers. Ils ont ensuite utilisé des techniques de mouvement latéral pour naviguer dans le réseau, augmenter les privilèges et finalement compromettre les systèmes de point de vente (POS). Les attaquants ont exfiltré les informations de carte de crédit d'environ 40 millions de clients, entraînant des pertes financières importantes et une atteinte à la réputation de Target.
Lors de cette attaque très médiatisée, des pirates informatiques soupçonnés d'être liés à la Corée du Nord ont infiltré le réseau de Sony Pictures. Les techniques de mouvement latéral leur ont permis de se déplacer sur le réseau et d'accéder à des données sensibles, notamment des films inédits, des e-mails de dirigeants et des informations personnelles sur les employés. L’attaque a perturbé les opérations commerciales et entraîné la divulgation de données confidentielles, causant ainsi un préjudice financier et une réputation considérable.
Le NotPetya ransomware L’attaque a commencé avec la compromission du mécanisme de mise à jour d’une société de logiciels comptables en Ukraine. Une fois à l’intérieur, les attaquants ont utilisé des techniques de mouvement latéral pour propager rapidement le malware au sein du réseau de l’organisation. Le malware s'est propagé latéralement, chiffrant les systèmes et perturbant les opérations de nombreuses organisations dans le monde. NotPetya a causé des milliards de dollars de dommages et a mis en évidence le potentiel dévastateur du mouvement latéral dans la propagation des ransomwares.
L'attaque de SolarWinds impliquait la compromission de la chaîne d'approvisionnement logicielle, en particulier de la plateforme de gestion informatique Orion distribuée par SolarWinds. Grâce à une attaque sophistiquée de la chaîne d’approvisionnement, les acteurs malveillants ont inséré une mise à jour malveillante qui n’a pas été détectée pendant plusieurs mois. Des techniques de mouvement latéral ont été utilisées pour se déplacer latéralement au sein des réseaux d'organisations qui utilisaient le logiciel compromis. Cette attaque très sophistiquée a touché de nombreuses agences gouvernementales et organisations privées, entraînant des violations de données, de l'espionnage et des répercussions à long terme.
Ces exemples concrets illustrent l’impact des attaques par mouvements latéraux sur les organisations de différents secteurs. Ils démontrent comment les attaquants utilisent les mouvements latéraux pour naviguer dans les réseaux, élever leurs privilèges, accéder à des données précieuses et causer d'importants dommages financiers et de réputation.
Détecter et empêcher le mouvement latéral Les attaques sont cruciales pour que les organisations protègent leurs réseaux et leurs actifs précieux. Voici quelques stratégies efficaces pour détecter et prévenir les mouvements latéraux :
Comprendre les points d’entrée potentiels des attaques à mouvement latéral est crucial pour que les organisations puissent renforcer efficacement leurs défenses. En identifiant et en atténuant ces vulnérabilités, les organisations peuvent améliorer leur posture de sécurité et réduire le risque d'attaques réussies par mouvement latéral.
Informations d'identification faibles ou compromises
Les mots de passe faibles, la réutilisation des mots de passe ou les informations d'identification compromises obtenues via des attaques de phishing ou des violations de données constituent un point d'entrée important pour les mouvements latéraux. Les attaquants exploitent ces informations d’identification pour se déplacer latéralement au sein du réseau, augmentant souvent leurs privilèges en cours de route.
Vulnérabilités non corrigées
Les logiciels ou systèmes non corrigés hébergent des vulnérabilités qui peuvent être exploitées par des attaquants pour obtenir un accès initial et exécuter des mouvements latéraux. Si les correctifs de sécurité et les mises à jour ne sont pas appliqués, les systèmes sont exposés à des vulnérabilités connues que les acteurs malveillants peuvent exploiter pour infiltrer le réseau.
Paramètres de sécurité mal configurés
Des configurations de sécurité inadéquates, telles que des contrôles d'accès faibles, des pare-feu mal configurés ou des autorisations utilisateur mal configurées, créent des possibilités de mouvement latéral. Les attaquants exploitent ces mauvaises configurations pour se déplacer latéralement, élever leurs privilèges et accéder à des ressources sensibles.
Techniques d'ingénierie sociale
Les techniques d'ingénierie sociale, notamment le phishing, l'appâtage ou le faux-semblant, manipulent les individus pour qu'ils divulguent des informations sensibles ou effectuent des actions qui facilitent les mouvements latéraux. En incitant les utilisateurs à divulguer leurs informations d'identification ou à exécuter des pièces jointes malveillantes, les attaquants prennent pied et naviguent à travers le réseau.
Menaces d'initiés
Les initiés disposant d’un accès autorisé au réseau peuvent également faciliter les attaques par mouvements latéraux. Les internes malveillants ou les individus dont les informations d’identification ont été compromises peuvent exploiter leur accès légitime pour se déplacer latéralement, contournant les mesures de sécurité périmétriques traditionnelles.
Réseaux locaux (LAN)
Les réseaux locaux constituent un terrain fertile pour les mouvements latéraux en raison de la nature interconnectée des appareils et des systèmes. Une fois à l'intérieur du réseau local, les attaquants peuvent exploiter les vulnérabilités ou exploiter des informations d'identification compromises pour naviguer à travers le réseau et accéder à des systèmes supplémentaires.
Réseaux sans fil
Les réseaux sans fil faiblement sécurisés ou mal configurés offrent un point d’entrée pour les attaques par mouvements latéraux. Les attaquants ciblent les réseaux sans fil pour accéder au réseau et lancer des activités de mouvement latéral, en particulier lorsque les appareils se connectent à des réseaux filaires et sans fil.
Environnements Cloud
Les environnements cloud, avec leur nature distribuée et leurs services interconnectés, peuvent être vulnérables aux mouvements latéraux. Des configurations incorrectes, des contrôles d'accès faibles ou des informations d'identification cloud compromises peuvent permettre aux attaquants de se déplacer latéralement entre les ressources cloud et les systèmes sur site.
Appareils Internet des objets (IoT)
Les appareils IoT mal configurés ou non corrigés présentent des points d’entrée potentiels pour les mouvements latéraux. Les appareils IoT vulnérables, souvent dépourvus de contrôles de sécurité robustes, peuvent servir de tremplin aux attaquants pour infiltrer le réseau et mener des activités de mouvement latéral.
Systèmes sur site
Les systèmes existants ou sur site qui n'ont pas fait l'objet de mises à jour de sécurité régulières ou qui ne disposent pas de contrôles de sécurité adéquats peuvent être la cible d'un mouvement latéral. Les attaquants exploitent les vulnérabilités de ces systèmes pour obtenir un accès initial et pivoter au sein du réseau.
L' Sécurité Zero Trust Ce modèle révolutionne la manière dont les organisations se défendent contre les attaques par mouvements latéraux. En éliminant l'hypothèse de confiance au sein des réseaux, Zero Trust réduit le risque de mouvement latéral non autorisé en se concentrant sur quelques domaines clés :
vérification d'identité
Zero Trust met l'accent sur une vérification rigoureuse de l'identité et l'authentification des appareils pour chaque tentative d'accès, quel que soit l'emplacement. Seuls les utilisateurs authentifiés et autorisés ont accès, ce qui réduit le risque de mouvement latéral non autorisé.
Micro-segmentation
La micro-segmentation divise les réseaux en segments plus petits avec des contrôles d'accès granulaires. En appliquant des règles strictes segmentation identitaire, les mouvements latéraux sont restreints, limitant ainsi l'impact des brèches potentielles.
Contrôle continu
Zero Trust favorise la surveillance continue et l'analyse en temps réel des activités du réseau. Les comportements anormaux indiquant un mouvement latéral sont rapidement détectés, permettant une réponse et un confinement rapides.
Accès au moindre privilège
Zero Trust adhère au principe du moindre privilège, accordant aux utilisateurs l'accès minimum requis. Les tentatives d'accès non autorisées sont rapidement identifiées et évitées, réduisant ainsi le risque de mouvement latéral.
Évaluation dynamique de la confiance
Zero Trust évalue dynamiquement les niveaux de confiance lors des interactions réseau. L'évaluation continue du comportement des utilisateurs et de l'état de l'appareil garantit une vérification continue, minimisant ainsi le risque de mouvement latéral.