De nombreuses organisations n'ont pas encore investi dans une solution PAM car elle peut être coûteuse et complexe. Bien que cela soit vrai pour certaines solutions
Pour détecter les mouvements latéraux, les entreprises doivent identifier les activités anormales sur le réseau, cartographier les chemins des mouvements latéraux, analyser le comportement des utilisateurs et vérifier les appareils inconnus. S’ils passent inaperçus, les mouvements latéraux peuvent souvent conduire à des violations de données et à la perte de données très sensibles. Les entreprises peuvent empêcher les mouvements latéraux au sein de leur réseau en appliquant l’accès au moindre privilège, en mettant en œuvre le Zero-Trust, en segmentant les réseaux et en investissant dans une solution PAM.
Poursuivez votre lecture pour en savoir plus sur le mouvement latéral, son fonctionnement, sa détection et sa prévention au sein d’un réseau.
Qu’est-ce que le mouvement latéral et comment fonctionne-t-il ?
Le mouvement latéral est une technique utilisée par les cybercriminels pour pénétrer plus profondément dans un réseau après avoir obtenu un accès initial. Les cybercriminels utilisent le mouvement latéral pour infecter plusieurs appareils et comptes, maintenir un accès continu à travers le réseau et obtenir des privilèges accrus pour accéder aux données sensibles. Ils dépendent d’une organisation qui dispose d’une mauvaise gestion des accès à privilèges (PAM), dans laquelle les privilèges sont mal suivis ou attribués.
Les cybercriminels commencent par voler les identifiants de connexion ou par exploiter les vulnérabilités de sécurité. Une fois que les cybercriminels ont accédé au réseau d’une organisation sans être détectés, ils tentent d’accroître leurs privilèges en infectant d’autres appareils au sein du réseau, en volant les identifiants de connexion d’utilisateurs à privilèges et en contournant l’autorisation avec des comptes à privilèges. Les cybercriminels se déplacent latéralement sur le réseau jusqu’à ce qu’ils obtiennent des privilèges administratifs leur permettant de contrôler l’ensemble du réseau et d’accéder à des ressources précieuses.
Comment détecter le mouvement latéral
Les cybercriminels tentent de rester cachés lorsqu’ils accèdent à un réseau et s’y déplacent latéralement. Cependant, les organisations peuvent détecter les mouvements latéraux en surveillant en temps réel le comportement des utilisateurs et du réseau. Voici comment les organisations peuvent mettre en place une surveillance en temps réel pour détecter les mouvements latéraux au sein de leur réseau.
Identifiez l’activité anormale du réseau
Le principal moyen utilisé par les cybercriminels pour ne pas être détectés est de désactiver les paramètres de sécurité et les logiciels antivirus. Pour identifier les mouvements latéraux, les organisations doivent rechercher des activités anormales sur le réseau, telles que la modification des paramètres de sécurité, les connexions à des ports externes, l’utilisation de protocoles anormaux et une activité inhabituelle du trafic sur le réseau. Si une organisation remarque l’une de ces activités anormales sur le réseau, un cybercriminel a très probablement compromis un compte à privilèges avec des privilèges administratifs.
Cartographier les trajectoires des mouvements latéraux
Les organisations ont besoin de cartographier les trajectoires des mouvements latéraux pour identifier facilement si un mouvement latéral est présent dans leur réseau et comprendre si des comptes à privilèges ont été compromis. Ils doivent examiner leur infrastructure de données et dresser la liste des comptes potentiellement ciblés, tels que les comptes à accès à privilèges, à authentification médiocre et à privilèges mal gérés. Les organisations doivent également rechercher d’autres vulnérabilités qui susceptibles d’entraîner des mouvements latéraux.
Analysez le comportement des utilisateurs
Les organisations doivent analyser le comportement des utilisateurs pour détecter les mouvements latéraux. Ils doivent être attentifs à tout comportement anormal de l’utilisateur, tel que :
- Plusieurs tentatives de connexion de comptes à privilèges
- Horaires, lieux et appareils de connexion anormaux
- Accès non autorisé à des données très sensibles
- Partage de fichiers non autorisé
Vérifiez les appareils inconnus
Certaines organisations demandent à leurs employés d’utiliser leurs propres appareils pour effectuer leur travail. De nombreux appareils inconnus peuvent ainsi se connecter au réseau de systèmes et de ressources d’une organisation. Cependant, les organisations ne doivent pas faire confiance implicitement à tous les appareils qui se connectent à leur réseau. Ils doivent vérifier chaque appareil inconnu qui se connecte à leur réseau afin de s’assurer qu’aucun d’entre eux n’est utilisé par un cybercriminel. Ils doivent vérifier le propriétaire de l’appareil et surveiller son activité pour s’assurer qu’il s’agit d’un employé et non d’un cybercriminel.
6 façons de prévenir les mouvements latéraux
Bien que les entreprises puissent détecter les mouvements latéraux au sein de leur réseau, il peut être difficile de supprimer les utilisateurs non autorisés en fonction du nombre d’appareils pris en charge par les cybercriminels. Les organisations doivent empêcher les cybercriminels d’accéder à leur réseau et de s’y déplacer latéralement. Voici six façons dont les organisations peuvent prévenir les mouvements latéraux.
Appliquez l’accès au moindre privilège
Le principe du moindre privilège est un concept de cybersécurité qui donne aux utilisateurs un accès réseau juste suffisant aux informations et aux systèmes dont ils ont besoin pour faire leur travail, et pas plus. En mettant en œuvre l’accès au moindre privilège, les organisations limitent l’accès aux données sensibles et les protègent contre tout abus. L’accès au moindre privilège réduit les voies potentielles de violation de la sécurité et empêche les mouvements latéraux. Si le compte d’un utilisateur est compromis, le cybercriminel est limité aux privilèges de cet utilisateur et ne peut plus accéder au réseau de l’organisation
Mettez en œuvre le Zero-Trust
Le Zero-Trust est un cadre de sécurité qui exige de tous les utilisateurs et appareils qu’ils vérifient en permanence leur identité et qui limite leur accès aux systèmes et aux données du réseau. Il élimine la confiance implicite et suppose que chaque appareil a été compromis. Le Zero-Trust repose sur trois principes :
- Présumer la violation : Le Zero-Trust suppose que chaque utilisateur essayant d’entrer dans le réseau d’une organisation, humain ou machine, peut être compromis et conduire à une faille de sécurité.
- Vérification explicite : Dans le cadre du Zero-Trust, tous les humains et toutes les machines doivent prouver qui ils prétendent être avant de pouvoir accéder au réseau et aux systèmes d’une organisation.
- Garantir le moindre privilège : Lorsqu’un utilisateur se voit accorder l’accès au réseau d’une organisation, il n’a droit qu’à un accès suffisant pour faire son travail, ni plus ni moins.
En suivant un cadre Zero-Trust, les organisations peuvent réduire leur surface d’attaque et empêcher les cybercriminels d’obtenir un accès initial à leur réseau. Le Zero-Trust rend également plus difficile pour les cybercriminels de se déplacer latéralement sans être détectés.
Nécessite la MFA
L’authentification multifacteur (MFA) est un protocole de sécurité qui requiert plus d’un facteur d’authentification pour accéder au réseau d’une organisation. Un facteur d’authentification peut être quelque chose que l’utilisateur connaît, quelque chose qu’il a ou quelque chose qu’il est. Lorsque la MFA est activée, les utilisateurs fournissent généralement leurs identifiants de connexion ainsi qu’une forme d’identification supplémentaire, telle qu’un code à usage unique.
Les organisations devraient exiger l’utilisation de la MFA pour l’accès aux comptes à privilèges afin de fournir un niveau de sécurité supplémentaire et de s’assurer que seuls les utilisateurs autorisés peuvent accéder à ces comptes sensibles. Le fait d’exiger la MFA protège les organisations contre les mouvements latéraux, car les cybercriminels ne peuvent pas fournir l’authentification supplémentaire nécessaire pour accéder aux comptes à privilèges.
Segmentez les réseaux
La segmentation du réseau divise et isole certaines parties du réseau afin de contrôler qui a accès aux informations sensibles. Ces segments sont adaptés aux besoins des différents utilisateurs et ne peuvent communiquer entre eux que pour des fonctions professionnelles. La segmentation des réseaux limite l’accès à l’ensemble du réseau et empêche les cybercriminels de se déplacer sur le réseau. Les organisations peuvent également créer des micro-segmentations qui sont des parties isolées du réseau au sein d’un réseau segmenté.
Maintenez les logiciels à jour
Les cybercriminels tenteront d’obtenir un accès initial à une organisation en exploitant les failles de sécurité trouvées dans l’infrastructure de sécurité de l’organisation. Souvent, ils recherchent des vulnérabilités dans des logiciels obsolètes. Les entreprises doivent maintenir leurs logiciels à jour afin de corriger les failles de sécurité et d’ajouter des fonctionnalités de sécurité qui protègent mieux leurs appareils. Cela réduira les possibilités de mouvement latéral.
Investissez dans une solution PAM
Une solution PAM est un outil qui gère et sécurise les comptes autorisés à accéder à des données et à des systèmes très sensibles. Avec une solution PAM, les entreprises disposent d’une visibilité totale sur l’ensemble de leur infrastructure de données et peuvent contrôler l’accès de chaque utilisateur aux données sensibles. Une solution PAM peut également donner aux organisations un aperçu des pratiques d’un employé en matière de mot de passe. Les organisations peuvent s’assurer que les employés utilisent des mots de passe forts pour protéger leurs comptes et qu’ils ne partagent leurs mots de passe qu’avec les utilisateurs autorisés.
Prévenez les mouvements latéraux avec Keeper®
Les mouvements latéraux peuvent être difficiles à gérer si une organisation dispose d’une mauvaise gestion des accès à privilèges. S’ils ne sont pas surveillés, les cybercriminels peuvent obtenir un accès à privilèges à des données très sensibles et voler les ressources les plus précieuses d’une organisation. Pour prévenir les mouvements latéraux, les entreprises doivent investir dans une solution PAM afin de mettre en œuvre un accès à moindre privilège et une sécurité Zero-Trust.
Avec une solution PAM, les organisations peuvent gérer leurs comptes à privilèges, surveiller qui accède aux données sensibles et mettre en place des mesures de sécurité pour protéger les données sensibles. KeeperPAM™ est une solution de gestion des accès à privilèges Zero-Trust et Zero-Knowledge qui combine le gestionnaire de mots de passe Keeper Enterprise, Keeper Secrets Manager® et Keeper Connection Manager®. Elle aide les organisations à réduire leur surface d’attaque et à protéger leurs données sensibles contre les dommages causés par les mouvements latéraux.
Demandez une démo de KeeperPAM pour empêcher les cybercriminels d’utiliser les mouvements latéraux pour voler vos données sensibles.