What is Lateral Movement?

Lors d’une cyberattaque, le système auquel un auteur de cybermenace accède en premier dans le réseau d’une organisation est rarement son objectif final. Par exemple, de nombreuses cyberattaques visent à voler, chiffrer ou détruire des données précieuses, qui sont stockées dans des bases de données, mais les attaquants pénètrent dans les systèmes d’une organisation via des hameçonnages ou d’autres techniques qui leur permettent de compromettre les postes de travail d’un utilisateur.

Une fois qu'ils ont pris pied sur les systèmes d'une organisation, les attaquants se déplacent généralement latéralement pour accéder à d'autres systèmes et données de l'environnement de l'organisation. Cela peut inclure l'extension de leurs autorisations ou la compromission d'autres comptes pour accéder à des ressources supplémentaires.

Horizon XDR/XPR Programme de disponibilité anticipée

What is Lateral Movement?

Types de techniques de mouvements latéraux

Une fois dans l'environnement d'une organisation, les cybercriminels peuvent utiliser différents moyens pour étendre leur accès.

Parmi les techniques courantes, citons les suivantes :

  • Vol d’informations d’identification : Une fois qu’un attaquant a accès aux systèmes de l’entreprise, il tente généralement de voler des hachages de mots de passe et d’espionner le trafic réseau. Cela peut leur permettre d'accéder à des comptes supplémentaires via le craquage de mots de passe, les attaques par passe de hachage et par passe de ticket.
  • Interne Hameçonnage de la lance: Souvent, la formation anti-hameçonnage se concentre sur l’identification des messages malveillants provenant de l’extérieur de l’organisation. Si un attaquant peut accéder aux comptes d’un utilisateur légitime, il peut envoyer des e-mails d’hameçonnage, des messages Slack ou d’autres messages beaucoup plus plausibles.
  • Exploitation de la vulnérabilité : Tout comme l’application externe d’une organisation, les applications et les systèmes internes peuvent présenter des vulnérabilités exploitables. Les attaquants peuvent exploiter ces vulnérabilités pour accéder à des systèmes et des données supplémentaires.

Étapes du mouvement latéral

Bien que les attaquants puissent utiliser plusieurs techniques pour se déplacer latéralement, le processus global reste globalement le même.

Les trois étapes principales du mouvement latéral sont les suivantes :

  • Reconnaissance: Les pare-feu et autres solutions de sécurité réseau limitent la capacité d’un attaquant externe à en savoir plus sur la structure interne du réseau de l’entreprise. Une fois à l’intérieur, les auteurs de cybermenace commencent généralement par effectuer une reconnaissance, en examinant le système qu’ils ont compromis et la structure du reste du réseau. Sur la base de ces informations, ils peuvent élaborer un plan pour atteindre leurs objectifs.
  • Vol d'informations d'identification : les mouvements latéraux impliquent souvent le vol et l'utilisation d'informations d'identification légitimes. Les attaquants peuvent accéder aux informations d’identification en les vidant des systèmes compromis, en utilisant des enregistreurs de frappe, en reniflant le trafic réseau ou en effectuant des attaques par hameçonnage. Souvent, les informations d'identification sont volées sous forme de hachage de mots de passe, qui doivent être déchiffrés pour pouvoir se connecter à certains systèmes.
  • Accès: Une fois qu’un attaquant a identifié un nouveau système, compromis un compte d’utilisateur ou trouvé une vulnérabilité exploitable, il peut se déplacer latéralement ou étendre son accès. Une fois sur place, ils seront peut-être en mesure d'atteindre leurs objectifs ou de recommencer le processus à zéro.

Détecter et prévenir les mouvements latéraux

Les entreprises peuvent prendre diverses mesures pour empêcher ou détecter les attaquants se déplaçant latéralement sur leur réseau.

Parmi les meilleures pratiques, citons les suivantes :

  • Authentification sécurisée — MFA: Les cybercriminels utilisent souvent des informations d'identification compromises pour se déplacer latéralement dans les systèmes d'une organisation. La mise en œuvre d’une politique de mots de passe forts et l’application de l’utilisation de l’authentification multifacteurs (MFA) peuvent aider à se protéger contre cette menace.
  • Sécurité zéro confiance: Une politique de sécurité Zero Trust n’accorde aux utilisateurs, aux applications, etc. que l’accès et les privilèges nécessaires à l’exécution de leur travail. En limitant l’accès, il est plus difficile pour un attaquant d’utiliser un compte compromis pour se déplacer latéralement sur le réseau.
  • Détection et réponse étendues (XDR) : Les acteurs des cybermenaces essaient souvent de passer inaperçus lorsqu'ils se déplacent dans les systèmes d'une organisation. Le contexte et la visibilité centralisée fournis par XDR peuvent s'avérer précieux pour identifier les indicateurs potentiels d'un mouvement latéral.
  • Protection de la messagerie: Les attaques par hameçonnage sont un moyen courant pour les attaquants d’obtenir un accès initial et de se déplacer latéralement dans les systèmes d’une organisation. Les solutions de sécurité des e-mails peuvent aider à identifier les messages suspects et à émettre des alertes en cas de message.
  • Détection et réponse au niveau des postes (EDR) : Le mouvement latéral commence généralement par la compromission d’un poste et le vol d’informations sensibles (informations d’identification, etc.). L'EDR peut vous aider à vous protéger contre l'intrusion initiale et à détecter le dumping d'informations d'identification, l'installation de keyloggers et les menaces similaires.
  • Analyse du trafic réseau : Un mouvement latéral se produit sur le réseau. L’analyse du trafic réseau peut aider à identifier le trafic anormal qui pourrait indiquer une reconnaissance ou un mouvement latéral.

Sécurité des mouvements latéraux avec Check Point

Idéalement, un attaquant devrait être identifié et bloqué avant qu'il n'ait accès aux systèmes de l'entreprise. Cependant, si ce n'est pas le cas, verrouiller leur accès et les empêcher d'atteindre leurs objectifs est la meilleure solution.

Les solutions de Check Point offrent aux entreprises la visibilité et l’analyse des données dont elles ont besoin pour identifier et réprimer les mouvements latéraux dans leur réseau. Check Point Horizon XDR offre une visibilité centralisée et des analyses avancées des menaces pour aider les équipes de sécurité à détecter les signes subtils de menaces se déplaçant sur leur réseau. Pour en savoir plus sur la protection de votre réseau avec Check Point, inscrivez-vous dès aujourd’hui au programme de disponibilité anticipée d’Horizon XDR .

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK