Qu'est-ce que le mouvement latéral ?

Le mouvement latéral est la façon dont les attaquants se propagent sur plusieurs parties d'un réseau.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir le mouvement latéral
  • Décrire comment le mouvement latéral se produit
  • Énumérer les mesures préventives pour ralentir ou arrêter le mouvement latéral.

Copier le lien de l'article

Qu'est-ce que le mouvement latéral ?

En matière de sécurité des réseaux, le mouvement latéral est le processus par lequel les attaquants se propagent d'un point d'entrée au reste du réseau. Il existe de nombreuses méthodes leur permettant d'y parvenir. Par exemple, une attaque peut commencer par le logiciel malveillant sur l'ordinateur de bureau d'un employé. À partir de là, l'attaquant tente de se déplacer latéralement pour infecter d'autres ordinateurs sur le réseau, pour infecter des serveurs internes, et ainsi de suite jusqu'à ce qu'il atteigne sa cible finale.

Diagramme du mouvement latéral. L'attaquant infecte l'ordinateur portable, entre dans le réseau sécurisé, se déplace latéralement vers d'autres ordinateurs et serveurs.

Les attaquants cherchent à se déplacer latéralement sans être détectés. Mais même si une infection est découverte sur le dispositif initial, ou si leurs activités sont détectées, l'attaquant peut maintenir sa présence dans le réseau s'il a infecté un large éventail de dispositifs.

Imaginez un groupe de cambrioleurs qui entrent dans une maison par une fenêtre ouverte, puis se rendent chacun dans une pièce différente de la maison. Même si un seul cambrioleur est découvert dans une pièce, les autres peuvent continuer à voler des objets. De même, le mouvement latéral permet à un attaquant de pénétrer dans les différentes pièces « d'un réseau  » serveurs, points d'extrémité, accès aux applications, rendant l'attaque difficile à contenir.

Si certains de ses aspects peuvent être automatisés, le mouvement latéral est souvent un processus manuel dirigé par un attaquant ou un groupe d'attaquants. Cette approche pratique permet aux attaquants d'adapter leurs méthodes au réseau en question. Elle leur permet également de réagir rapidement aux contre-mesures de sécurité appliquées par les administrateurs de réseau et de sécurité.

Comment le mouvement latéral se produit-il ?

Le mouvement latéral commence par un point d'entrée initial dans le réseau. Il peut s'agir d'une machine infectée par un logiciel malveillant qui se connecte au réseau, d'un ensemble volé d'informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), de l'exploitation d'une vulnérabilité via le port ouvert d'un serveur, ou d'un certain nombre d'autres méthodes d'attaque.

En général, l'attaquant établit une connexion entre le point d'entrée et son serveur de commande et de contrôle (C&C). Leur serveur C&C envoie des commandes à tout logiciel malveillant installé et stocke les données collectées à partir de dispositifs infectés par des logiciels malveillants ou contrôlés à distance.

Une fois que l'attaquant a pris pied sur un appareil à l'intérieur du réseau, il effectue une reconnaissance. Ils découvrent tout ce qu'ils peuvent sur le réseau, y compris ce à quoi le dispositif compromis a accès et, s'ils ont compromis le compte d'un utilisateur, quels sont les privilèges de l'utilisateur.

L'étape suivante pour que l'attaquant commence à se déplacer latéralement est un processus appelé « escalade de privilèges ».

Escalade de privilèges

On parle d'escalade de privilèges lorsqu'un utilisateur (qu'il soit légitime ou illégitime) obtient plus de privilèges qu'il ne devrait en avoir. L'escalade des privilèges se produit parfois de manière accidentelle dans le cadre de la gestion des identités et des accès (IAM) lorsque les privilèges des utilisateurs ne sont pas suivis et attribués correctement. En revanche, les attaquants exploitent délibérément les failles des systèmes pour élever leurs privilèges sur un réseau.

S'ils ont pénétré dans un réseau par le biais d'une vulnérabilité ou d'une infection par un logiciel malveillant, les attaquants peuvent utiliser un enregistreur de frappe (qui suit les touches tapées par les utilisateurs) pour voler les informations d'identification des utilisateurs. Ils peuvent aussi avoir pénétré dans un réseau en volant les informations d'identification dans le cadre d'une attaque de phishing. Quelle que soit la manière dont ils l'obtiennent, les attaquants commencent avec un ensemble d'informations d'identification et les privilèges associés à ce compte utilisateur. Ils cherchent à maximiser ce qu'ils peuvent faire avec ce compte, puis ils se propagent à d'autres machines et utilisent des outils de vol d'informations d'identification pour prendre le contrôle d'autres comptes au fur et à mesure.

Pour obtenir le type d'accès nécessaire pour causer un maximum de dommages ou atteindre sa cible, l'attaquant a généralement besoin de privilèges de niveau administrateur. Il se déplace donc latéralement dans le réseau jusqu'à ce qu'il obtienne les informations d'identification de l'administrateur. Une fois ces informations d'identification obtenues, il peut contrôler l'ensemble du réseau.

Camouflage et contre-mesures lors des déplacements latéraux

Tout au long du processus de déplacement latéral, l'attaquant est probablement très attentif aux contre-mesures prises par l'équipe de sécurité de l'organisation. Par exemple, si l'organisation découvre une infection par un logiciel malveillant sur un serveur et coupe ce serveur du reste du réseau pour mettre l'infection en quarantaine, l'attaquant peut attendre un certain temps avant d'effectuer d'autres actions afin que sa présence ne soit pas détectée sur d'autres appareils.

Les attaquants peuvent installer des portes dérobées pour s'assurer qu'ils peuvent réintégrer le réseau si leur présence est détectée et si tous les terminaux et serveurs sont supprimés. (Une porte dérobée est un moyen secret d'entrer dans un système autrement sécurisé).

Les attaquants tentent également de fondre leurs activités dans le trafic réseau normal, car un trafic réseau inhabituel pourrait alerter les administrateurs de leur présence. La dissimulation est d'autant plus facile qu'ils compromettent d'autres comptes d'utilisateurs légitimes.

Quels types d'attaques utilisent le mouvement latéral ?

De nombreuses catégories d'attaques reposent sur le mouvement latéral pour atteindre le plus grand nombre possible de dispositifs ou pour se déplacer dans le réseau jusqu'à ce qu'un objectif spécifique soit atteint. Certains de ces types d'attaques comprennent :

  • Rançongiciel : Rançongiciel Les attaquants cherchent à infecter le plus grand nombre possible de dispositifs afin de disposer d'un levier maximal pour exiger le paiement d'une rançon. Les Rançongiciels ciblent en particulier les serveurs internes qui contiennent des données cruciales pour les processus quotidiens d'une organisation. Cela garantit qu'une fois activée, l'infection par le Rançongiciel endommagera fortement les opérations de l'organisation, du moins temporairement.
  • Exfiltration de données : L'exfiltration de données est le processus consistant à déplacer ou à copier des données hors d'un environnement contrôlé sans autorisation. Les attaquants exfiltrent des données pour plusieurs raisons : pour voler de la propriété intellectuelle, pour obtenir des données personnelles afin de procéder à une usurpation d'identité, ou pour détenir les données qu'ils volent contre une rançon, comme dans une attaque par doxware ou certains types d'attaques par rançongiciel . Les attaquants doivent généralement se déplacer latéralement à partir d'un point initial de compromission pour atteindre les données qu'ils veulent.
  • Espionnage : Les États-nations, les groupes organisés de cybercriminalité ou les entreprises rivales peuvent tous avoir leurs raisons de surveiller les activités au sein d'une organisation. Si l'objectif d'une attaque est l'espionnage plutôt que le pur gain financier, les attaquants essaieront de ne pas être détectés et de rester intégrés au réseau aussi longtemps que possible. Cela contraste avec les attaques par rançongiciel , dans lesquelles l'attaquant souhaite finalement attirer l'attention sur ses actions afin de recevoir une rançon. Elle diffère également de l'exfiltration de données, dans laquelle l'attaquant peut se moquer d'être détecté une fois qu'il a obtenu les données qu'il cherchait.
  • Infection par un botnet : Les attaquants peuvent ajouter les appareils dont ils prennent le contrôle à un botnet. Les réseaux de machines zombies peuvent être utilisés à diverses fins malveillantes ; ils sont notamment couramment utilisés dans les attaques par déni de service distribué (DDoS). Le mouvement latéral permet à un attaquant d'ajouter autant de dispositifs que possible à son botnet, ce qui le rend plus puissant.

Comment arrêter le mouvement latéral

Ces mesures préventives peuvent rendre les déplacements latéraux beaucoup plus difficiles pour les attaquants :

Les tests de pénétration peuvent aider les organisations à fermer les parties vulnérables du réseau qui pourraient permettre des mouvements latéraux. Dans le cadre d'un test de pénétration, une organisation engage un pirate éthique pour tester sa sécurité en essayant de pénétrer aussi profondément que possible dans le réseau sans être détecté. Le pirate partage ensuite ses conclusions avec l'organisation, qui peut utiliser ces informations pour corriger les failles de sécurité que le pirate a exploitées.

La sécurité de Zero Trust est une philosophie de sécurité réseau qui ne fait confiance à aucun utilisateur, périphérique ou connexion par défaut. Un réseau Zero Trust part du principe que tous les utilisateurs et les périphériques représentent une menace et ré-authentifie en permanence les utilisateurs et les périphériques. Zero Trust utilise également une approche de contrôle d'accès par le moindre privilège et divise les réseaux en petits segments. Ces stratégies rendent l'escalade des privilèges beaucoup plus difficile pour les attaquants et facilitent la détection et la mise en quarantaine de l'infection initiale pour les administrateurs de sécurité.

La sécurité des points d'extrémité implique l'analyse régulière des dispositifs d'extrémité (ordinateurs de bureau, ordinateurs portables, smartphones, etc.) à l'aide de logiciels anti-malware, entre autres technologies de sécurité.

IAM est un élément crucial de la prévention des mouvements latéraux. Les privilèges des utilisateurs doivent être gérés de près : si les utilisateurs ont plus de privilèges qu'ils n'en ont strictement besoin, les conséquences d'une prise de contrôle du compte deviennent plus graves. En outre, l'utilisation de l'authentification à deux facteurs (2FA) peut contribuer à empêcher les mouvements latéraux. Dans un système qui utilise l'authentification à deux facteurs, il ne suffit pas d'obtenir les informations d'identification de l'utilisateur pour compromettre un compte ; l'attaquant doit également voler le jeton d'authentification secondaire, ce qui est beaucoup plus difficile.

Cloudflare One combine des services de réseau avec des services de sécurité Zero Trust. Il s'intègre aux solutions de gestion des identités et de sécurité des terminaux afin de remplacer un patchwork de produits de sécurité par une plateforme unique qui empêche les mouvements latéraux et autres attaques. En savoir plus sur Cloudflare One.

Service commercial