Le mouvement latéral est la façon dont les attaquants se propagent sur plusieurs parties d'un réseau.
Cet article s'articule autour des points suivants :
Contenu associé
Sécurité des points de terminaison
point de terminaison
Rançongiciel Maze
Rançongiciel Ryuk
Test de pénétration
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
En matière de sécurité des réseaux, le mouvement latéral est le processus par lequel les attaquants se propagent d'un point d'entrée au reste du réseau. Il existe de nombreuses méthodes leur permettant d'y parvenir. Par exemple, une attaque peut commencer par le logiciel malveillant sur l'ordinateur de bureau d'un employé. À partir de là, l'attaquant tente de se déplacer latéralement pour infecter d'autres ordinateurs sur le réseau, pour infecter des serveurs internes, et ainsi de suite jusqu'à ce qu'il atteigne sa cible finale.
Les attaquants cherchent à se déplacer latéralement sans être détectés. Mais même si une infection est découverte sur le dispositif initial, ou si leurs activités sont détectées, l'attaquant peut maintenir sa présence dans le réseau s'il a infecté un large éventail de dispositifs.
Imaginez un groupe de cambrioleurs qui entrent dans une maison par une fenêtre ouverte, puis se rendent chacun dans une pièce différente de la maison. Même si un seul cambrioleur est découvert dans une pièce, les autres peuvent continuer à voler des objets. De même, le mouvement latéral permet à un attaquant de pénétrer dans les différentes pièces « d'un réseau » serveurs, points d'extrémité, accès aux applications, rendant l'attaque difficile à contenir.
Si certains de ses aspects peuvent être automatisés, le mouvement latéral est souvent un processus manuel dirigé par un attaquant ou un groupe d'attaquants. Cette approche pratique permet aux attaquants d'adapter leurs méthodes au réseau en question. Elle leur permet également de réagir rapidement aux contre-mesures de sécurité appliquées par les administrateurs de réseau et de sécurité.
Le mouvement latéral commence par un point d'entrée initial dans le réseau. Il peut s'agir d'une machine infectée par un logiciel malveillant qui se connecte au réseau, d'un ensemble volé d'informations d'identification de l'utilisateur (nom d'utilisateur et mot de passe), de l'exploitation d'une vulnérabilité via le port ouvert d'un serveur, ou d'un certain nombre d'autres méthodes d'attaque.
En général, l'attaquant établit une connexion entre le point d'entrée et son serveur de commande et de contrôle (C&C). Leur serveur C&C envoie des commandes à tout logiciel malveillant installé et stocke les données collectées à partir de dispositifs infectés par des logiciels malveillants ou contrôlés à distance.
Une fois que l'attaquant a pris pied sur un appareil à l'intérieur du réseau, il effectue une reconnaissance. Ils découvrent tout ce qu'ils peuvent sur le réseau, y compris ce à quoi le dispositif compromis a accès et, s'ils ont compromis le compte d'un utilisateur, quels sont les privilèges de l'utilisateur.
L'étape suivante pour que l'attaquant commence à se déplacer latéralement est un processus appelé « escalade de privilèges ».
On parle d'escalade de privilèges lorsqu'un utilisateur (qu'il soit légitime ou illégitime) obtient plus de privilèges qu'il ne devrait en avoir. L'escalade des privilèges se produit parfois de manière accidentelle dans le cadre de la gestion des identités et des accès (IAM) lorsque les privilèges des utilisateurs ne sont pas suivis et attribués correctement. En revanche, les attaquants exploitent délibérément les failles des systèmes pour élever leurs privilèges sur un réseau.
S'ils ont pénétré dans un réseau par le biais d'une vulnérabilité ou d'une infection par un logiciel malveillant, les attaquants peuvent utiliser un enregistreur de frappe (qui suit les touches tapées par les utilisateurs) pour voler les informations d'identification des utilisateurs. Ils peuvent aussi avoir pénétré dans un réseau en volant les informations d'identification dans le cadre d'une attaque de phishing. Quelle que soit la manière dont ils l'obtiennent, les attaquants commencent avec un ensemble d'informations d'identification et les privilèges associés à ce compte utilisateur. Ils cherchent à maximiser ce qu'ils peuvent faire avec ce compte, puis ils se propagent à d'autres machines et utilisent des outils de vol d'informations d'identification pour prendre le contrôle d'autres comptes au fur et à mesure.
Pour obtenir le type d'accès nécessaire pour causer un maximum de dommages ou atteindre sa cible, l'attaquant a généralement besoin de privilèges de niveau administrateur. Il se déplace donc latéralement dans le réseau jusqu'à ce qu'il obtienne les informations d'identification de l'administrateur. Une fois ces informations d'identification obtenues, il peut contrôler l'ensemble du réseau.
Tout au long du processus de déplacement latéral, l'attaquant est probablement très attentif aux contre-mesures prises par l'équipe de sécurité de l'organisation. Par exemple, si l'organisation découvre une infection par un logiciel malveillant sur un serveur et coupe ce serveur du reste du réseau pour mettre l'infection en quarantaine, l'attaquant peut attendre un certain temps avant d'effectuer d'autres actions afin que sa présence ne soit pas détectée sur d'autres appareils.
Les attaquants peuvent installer des portes dérobées pour s'assurer qu'ils peuvent réintégrer le réseau si leur présence est détectée et si tous les terminaux et serveurs sont supprimés. (Une porte dérobée est un moyen secret d'entrer dans un système autrement sécurisé).
Les attaquants tentent également de fondre leurs activités dans le trafic réseau normal, car un trafic réseau inhabituel pourrait alerter les administrateurs de leur présence. La dissimulation est d'autant plus facile qu'ils compromettent d'autres comptes d'utilisateurs légitimes.
De nombreuses catégories d'attaques reposent sur le mouvement latéral pour atteindre le plus grand nombre possible de dispositifs ou pour se déplacer dans le réseau jusqu'à ce qu'un objectif spécifique soit atteint. Certains de ces types d'attaques comprennent :
Ces mesures préventives peuvent rendre les déplacements latéraux beaucoup plus difficiles pour les attaquants :
Les tests de pénétration peuvent aider les organisations à fermer les parties vulnérables du réseau qui pourraient permettre des mouvements latéraux. Dans le cadre d'un test de pénétration, une organisation engage un pirate éthique pour tester sa sécurité en essayant de pénétrer aussi profondément que possible dans le réseau sans être détecté. Le pirate partage ensuite ses conclusions avec l'organisation, qui peut utiliser ces informations pour corriger les failles de sécurité que le pirate a exploitées.
Le Zero Trust est une philosophie de sécurité réseau qui, par défaut, ne fait confiance à aucun utilisateur, aucun appareil ni aucune connexion. Un réseau Zero Trust part du principe que tous les utilisateurs et appareils représentent une menace. Il réauthentifie donc constamment les utilisateurs et les appareils. Le Zero Trust s'appuie également sur une approche dite « du moindre privilège » pour le contrôle des accès et divise les réseaux en petits segments. Ces stratégies rendent l'escalade des privilèges beaucoup plus difficile pour l'acteur malveillant, tout en facilitant la détection et la mise en quarantaine de l'infection première pour les administrateurs de sécurité.
La sécurité des points d'extrémité implique l'analyse régulière des dispositifs d'extrémité (ordinateurs de bureau, ordinateurs portables, smartphones, etc.) à l'aide de logiciels anti-malware, entre autres technologies de sécurité.
IAM est un élément capital de la prévention des mouvements latéraux. Les privilèges des utilisateurs doivent être gérés de près : si les utilisateurs ont plus de privilèges qu'ils n'en ont strictement besoin, les conséquences d'une usurpation de compte deviennent plus graves. En outre, l'utilisation de l'authentification à deux facteurs (2FA) peut contribuer à empêcher les mouvements latéraux. Dans un système qui utilise l'authentification à deux facteurs, il ne suffit pas d'obtenir les identifiants utilisateur de l'utilisateur pour compromettre un compte ; l'attaquant doit également voler le jeton d'authentification secondaire, ce qui est beaucoup plus difficile.
Cloudflare One combine des services de mise en réseau et des services de sécurité Zero Trust. Il s'intègre aux solutions de gestion des identités et de sécurité des points de terminaison dans le but de remplacer les assemblages hétéroclites de produits de sécurité par une plateforme unique, permettant de prévenir les mouvements latéraux et les autres attaques. En savoir plus sur Cloudflare One et d'autres solutions de sécurité réseau.
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité