Qu’est-ce que le mouvement latéral ?
- Glossaire IAM
- Qu’est-ce que le mouvement latéral ?
Le mouvement latéral est une technique que les attaquants utilisent pour se déplacer dans un réseau après avoir obtenu un accès initial à un système. Au lieu de rester sur un seul appareil compromis, les attaquants se tournent vers d’autres ordinateurs, serveurs ou ressources cloud pour étendre leur accès, augmenter les privilèges et accéder à des données sensibles ou à des infrastructures critiques. Cette technique est couramment observée dans les cyberattaques avancées, notamment les incidents de rançongiciel et les violations de données, car elle permet aux attaquants d’augmenter l’ampleur et l’impact d’une intrusion.
Pourquoi les cybercriminels se déplacent-ils latéralement ?
Les cybercriminels s’arrêtent rarement au premier système qu’ils compromettent. Au lieu de cela, ils utilisent cette première présence pour explorer l’environnement plus large et identifier des cibles plus précieuses au sein du réseau. Grâce à cette exploration, les attaquants peuvent mieux comprendre comment les systèmes sont connectés et où sont stockées les données sensibles.
Accéder à des systèmes à plus grande valeur
L’accès initial est souvent obtenu via des terminaux de moindre valeur, comme les postes de travail des employés. À partir de là, les attaquants se déplacent latéralement pour accéder aux systèmes stockant des données sensibles, tels que des bases de données, des serveurs de fichiers ou des systèmes financiers. Ces systèmes contiennent souvent des informations pouvant être volées, modifiées ou utilisées pour perturber les opérations de l’entreprise. En dépassant le point d’entrée initial, les attaquants augmentent l’impact potentiel d’une violation et accèdent à des ressources plus critiques. Atteindre des systèmes de plus grande valeur permet également aux attaquants de maintenir la persistance dans le réseau et d’exécuter des actions malveillantes sans être détectés immédiatement.
Élever les privilèges
De nombreux systèmes restreignent ce à quoi un compte utilisateur standard peut accéder. Pour surmonter ces limites, les attaquants tentent d’obtenir des niveaux d’autorisation plus élevés au fur et à mesure de leur progression dans le réseau. Ce processus peut impliquer des méthodes telles que l’exploitation de vulnérabilités logicielles ou le vol d’identifiants. L’élévation des privilèges permet aux attaquants de prendre le contrôle de systèmes supplémentaires, d’accéder à des données restreintes et d’opérer avec moins de contraintes. Avec des privilèges accrus, les attaquants peuvent contourner les mesures de sécurité, créer de nouveaux comptes ou modifier des systèmes pour renforcer leur position dans l’environnement.
Accéder aux contrôleurs de domaine ou aux infrastructures critiques
Dans les environnements d’entreprise, les contrôleurs de domaine et les systèmes administratifs jouent un rôle central dans la gestion de l’accès et de l’authentification. Les attaquants ciblent souvent ces systèmes pour obtenir un contrôle large sur le réseau. Parce que ces systèmes gèrent les identités et permissions des utilisateurs, les compromettre peut permettre aux attaquants d’usurper l’identité d’utilisateurs légitimes et de se déplacer plus librement dans l’environnement. À ce niveau d’accès, les attaquants peuvent être en mesure de perturber les services ou de maintenir un contrôle à long terme sur les systèmes.
Déployer un rançongiciel ou exfiltrer des données
Lorsque les attaquants sont capables de se déplacer latéralement au sein d’un réseau, ils approchent souvent de la phase finale de leur attaque. Après avoir identifié des actifs précieux, les attaquants peuvent déployer des rançongiciels sur plusieurs systèmes ou exfiltrer des données sensibles. La diffusion simultanée de rançongiciels sur plusieurs systèmes peut compliquer le rétablissement et accroître la pression exercée sur les organisations pour qu'elles paient une rançon. En se déplaçant latéralement en premier, les attaquants peuvent maximiser la perturbation et augmenter l’efficacité de leur attaque.
Stades courants du mouvement latéral
Le mouvement latéral suit généralement une progression structurée à mesure que les attaquants élargissent leur accès au sein d’un réseau.
Compromis initial
L’attaque commence lorsqu’un système est compromis pour la première fois, ce qui peut se produire par le phishing, l’exploitation de vulnérabilités ou l’utilisation d’identifiants volés. Cette première prise offre aux attaquants un point de départ à l’intérieur du réseau.
Reconnaissance interne
Une fois à l’intérieur, les assaillants recueillent des informations sur l’environnement. Cela inclut la cartographie du réseau, l’identification des systèmes à forte valeur ajoutée et la découverte des comptes utilisateurs et des relations de confiance. Les informations recueillies lors de cette étape aident les attaquants à déterminer où se déplacer ensuite et quels systèmes sont les plus précieux.
Accès aux identifiants
Les attaquants tentent d’obtenir des identifiants valides leur permettant de s’authentifier auprès d’autres systèmes. Cela peut impliquer le déversement d'identifiants, la collecte de mots de passe ou le vol de jetons. L’utilisation d’identifiants légitimes aide les attaquants à s’intégrer au trafic réseau normal et à éviter de déclencher des alertes de sécurité.
Élévation des privilèges
Après avoir obtenu accès à des comptes supplémentaires, les attaquants tentent d’augmenter leur niveau d’accès en exploitant des configurations erronées ou en abusant du compte de service. Des privilèges plus élevés permettent aux attaquants de contrôler davantage de systèmes, d’accéder à des ressources sensibles et d’effectuer des actions qui seraient normalement restreintes.
Pivotement latéral
Avec un accès élevé, les attaquants se déplacent entre les systèmes du réseau. Cela peut inclure l’accès à des serveurs de fichiers, l’accès aux environnements Active Directory ou la connexion aux contrôleurs de domaine. Dans certains cas, les attaquants peuvent également pivoter vers des environnements cloud connectés ou hybrides, étendant ainsi la portée de l’attaque.
Exécution objective
Une fois que les attaquants atteignent leur cible, ils accomplissent leur objectif. Cela peut inclure l’exfiltration des données, le déploiement de rançongiciels ou l’établissement d’une persistance pour un accès continu.
Techniques courantes utilisées dans le mouvement latéral
Les attaquants utilisent diverses techniques pour se déplacer entre les systèmes tout en minimisant la détection :
- Pass-the-hash : les attaquants réutilisent des hachages de mots de passe volés pour s’authentifier sur d’autres systèmes sans avoir besoin du mot de passe original. Cette technique est spécifique aux environnements utilisant l’authentification NTLM et a une efficacité limitée lorsque Kerberos est strictement appliqué.
- Pass-the-ticket : les tickets Kerberos servent à se faire passer pour des utilisateurs légitimes et à accéder aux ressources réseau.
- Protocole du navigateur à distance (RDP) : les attaquants utilisent des identifiants valides pour accéder à distance aux systèmes via le RDP, un protocole d’accès à distance légitime souvent ciblé car largement activé dans les environnements d’entreprise.
- Instrumentation de gestion Windows (WMI) : les attaquants utilisent cet outil Windows intégré pour exécuter des commandes à distance entre les systèmes.
- Accès distant PowerShell : cette technique permet d’exécuter des commandes et des scripts sur des machines distantes.
- Exploitation des PME : les attaquants utilisent les protocoles de partage de fichiers pour se déplacer entre les systèmes.
- Vol de clés SSH et détournement de session : dans les environnements Linux, les attaquants peuvent voler des clés privées SSH pour s’authentifier à d’autres systèmes, ou abuser du transfert d’agents SSH pour détourner les sessions actives. Ce sont des techniques distinctes qui exploitent toutes deux les relations de confiance SSH.
- Binaires légitimes détournés (LOLBins) : des outils système légitimes sont utilisés pour mener des activités malveillantes tout en s’intégrant aux opérations normales.
Pourquoi le mouvement latéral est difficile à détecter
Le mouvement latéral peut être difficile à détecter car les attaquants s’appuient souvent sur des identifiants légitimes et des outils administratifs intégrés plutôt que sur des activités malveillantes évidentes.
En conséquence, leurs actions peuvent ressembler à celles des utilisateurs normaux, comme se connecter aux systèmes ou accéder à des ressources internes. Cela permet aux attaquants de se fondre dans le trafic réseau classique et d’éviter de déclencher les alertes de sécurité traditionnelles.
Bien qu’il soit important de comprendre le fonctionnement du mouvement latéral, les organisations doivent également être capables de détecter le mouvement latéral avant que les attaquants n’atteignent des systèmes critiques.
Comment prévenir le mouvement latéral
Les organisations peuvent empêcher le mouvement latéral en limitant la facilité avec laquelle les attaquants se déplacent entre les systèmes après une compromission initiale. Une prévention efficace du mouvement latéral vise à réduire les accès inutiles, à contrôler la communication réseau et à surveiller toute activité suspecte.
Appliquer le principe du moindre privilège
Faire respecter l’accès de moindre privilège est l’une des méthodes les plus efficaces pour empêcher le mouvement latéral. Chaque utilisateur et compte de service ne devrait avoir que les autorisations requises pour son rôle spécifique. Cela garantit que si un seul compte est compromis, les attaquants ne peuvent pas l’utiliser pour accéder à des systèmes et ressources au-delà de la portée de ce compte. Les organisations doivent régulièrement examiner et ajuster ces autorisations afin d’éviter que l’accès ne s’étende progressivement au fil du temps.
Segmenter le réseau
La segmentation du réseau limite le mouvement latéral en divisant le réseau en zones isolées, garantissant qu’une violation dans une zone n’accorde pas automatiquement l’accès à d’autres. La microsegmentation renforce cette approche en limitant le trafic entre systèmes individuels aux seules connexions explicitement requises. Cela oblige les attaquants à franchir des barrières supplémentaires à chaque étape, donnant ainsi plus de temps aux équipes de sécurité pour détecter et répondre aux tentatives de mouvement latéral.
Renforcer les contrôles d’authentification
Des contrôles stricts d’authentification réduisent le risque de mouvement latéral en rendant les identifiants volés moins efficaces. L’authentification multifacteur (MFA) ajoute une couche de vérification qui empêche les attaquants d’accéder aux comptes uniquement en utilisant des mots de passe compromis. Les organisations devraient également éliminer les identifiants partagés ou par défaut, qui sont des cibles fréquentes pour les attaquants. Pour les comptes avec des privilèges élevés, une solution de gestion des accès privilégiés (PAM) offre une protection supplémentaire en contrôlant quand et comment ces comptes sont utilisés et en garantissant la révocation de l’accès lorsqu’il n’est plus nécessaire.
Surveiller les comportements anormaux
Même avec des contrôles préventifs solides en place, les organisations ont besoin d’une visibilité sur l’activité à travers leurs systèmes. Examiner les journaux d’accès et utiliser des analyses comportementales peut aider à identifier des schémas inhabituels, comme un compte qui se connecte à des systèmes auxquels il n’a pas encore accédé ou qui se connecte à des moments inattendus. Détecter ces indicateurs tôt permet aux organisations de contenir le mouvement latéral avant que les attaquants n’atteignent des systèmes critiques.
Auditer et nettoyer des comptes
Les comptes inactifs, en particulier ceux associés à d’anciens employés ou à des services désaffectés, sont fréquemment ciblés par les attaquants car ils restent souvent non surveillés. Effectuer des audits réguliers pour identifier et désactiver les comptes inutilisés supprime ces points d’entrée. Les organisations devraient également examiner périodiquement les autorisations des comptes actifs afin de s’assurer qu’ils n’ont pas accumulé plus d’accès que nécessaire pour leur rôle.