Par Friedrich von Jagwitz, Sales Engineer
Network Lateral Movement: Définition
Le mouvement latéral est une tactique utilisée par les pirates qui tentent de se déplacer au sein de votre réseau. Habituellement, les attaquants utilisent plusieurs techniques pour rechercher des actifs et des données critiques. En parallèle, le hacker détermine la cible et choisit comment y accéder. La plupart des techniques d’accès à la cible choisie reposent sur des identifiants privilégiés et la reproduction des routines quotidiennes de l’administrateur afin de se dissimuler sans être détecté. Il est difficile pour les entreprises de détecter les mouvements latéraux avec les solutions de sécurité traditionnelles.
Comment fonctionne le mouvement latéral ?
La plupart des attaques utilisent l’ingénierie sociale comme première étape du mouvement latéral. Le spear phishing est l’un des vecteurs d’attaque les plus efficaces pour cibler les personnes qui ont un profil ayant accès à des données intéressantes, telles que le phishing de type C-level ou le « Whaling », ou pour contrôler des systèmes sensibles, tels que les administrateurs. Une fois que l’attaquant a accès à une machine, par exemple après une attaque de phishing réussie, il travaillera avec ce compte pour utiliser les privilèges afin de rechercher des données pertinentes, des identifiants et des autorisations supplémentaires. Ensuite, l’attaquant tentera d’élever les autorisations du compte utilisateur pour être habilité à effectuer des actions plus importantes dans l’environnement ciblé.
Une fois la récolte terminée au niveau du système concerné, il se déplacera latéralement. L’attaquant tentera de se connecter à un autre ordinateur avec le compte dont il a pris le contrôle en premier lieu. Si personne n’arrête l’attaquant, il aura tout le temps nécessaire pour chercher et se déplacer entre les systèmes, et ce jusqu’à ce qu’il trouve finalement des données sensibles ou se fasse passer pour un compte administrateur tout-puissant.
Les bonnes pratiques pour éviter une attaque avec mouvement latéral
Dans de nombreux cas, les entreprises ne corrigent pas les vulnérabilités de leur réseau pour de nombreuses raisons, telles que le coût élevé, la disponibilité des ressources et les dépendances à d’autres systèmes. Lorsque les entreprises s’attaquent aux vulnérabilités, la transition non sécurisée vers un réseau plus sécurisé prend du temps.
Malgré le temps et les efforts nécessaires pour traiter les vulnérabilités, les équipes bleues (Blue Team) ne prennent aucun risque. Elles utilisent de nombreux outils différents pour détecter les attaques à chaque phase. L’un des outils essentiels de surveillance de la sécurité est un système SIEM (Security Information and Event Management). Avec une solution SIEM, il est facile d’identifier un intrus se déplaçant latéralement. En effet, il va forcément générer du bruit en passant d’un système à l’autre. Une fois l’attaquant repéré, les équipes bleues peuvent alors le stopper.
Détection précoce avec SIEM
Les produits SIEM peuvent détecter l’attaquant lorsqu’il commence à utiliser le même compte sur plusieurs ordinateurs. Habituellement, les véritables utilisateurs travaillent à partir d’un seul ordinateur. LogPoint SIEM identifie l’attaquant à l’aide d’un modèle simple :
[ label=Login label=successful workstation = * | chart count() by workstation, user ] as s1 join [label=Login workstation=* label=Successful | chart count() by workstation, user ] as s2 on s1.user=s2.user | process compare(s1.workstation,s2.workstation) as match | filter match = false | chart count() by s1.user,s1.workstation,s2.workstation,match
Partager des informations sur les attaques
Grâce à un moyen simple de détecter l’attaquant, les entreprises savent dès qu’un compte effectue des activités suspectes. La plupart des SIEM disposent d’options de visualisation puissantes, de sorte que les équipes bleues puissent partager des informations au sein de l’équipe.
Détecter les comportements inhabituels avec l’UEBA
L’analyse comportementale, telle que l’UEBA, peut également détecter un comportement anormal au sein du réseau sans règles ni configuration manuelle particulière. La fonctionnalité UEBA (User and Entity Behavior Analytics) utilise l’apprentissage automatique avancé pour détecter lorsque les utilisateurs se comportent de manière inappropriée. L’UEBA envoie des notifications automatiques lorsque les utilisateurs réalisent des actions qui sortent du cadre habituel en matière de comportement. De cette façon, les entreprises savent quand elles ont besoin d’une investigation post-mortem plus approfondie.
Un exemple de la manière avec laquelle l’UEBA peut aider à détecter les mouvements latéraux est illustré par les multiples tentatives de connexion à différents comptes de manière répétée dans un délai court et/ou à partir de périphériques qui ne sont généralement pas associés à ces comptes. L’UEBA excelle dans ce type de scénario car ce sont quelques-unes des anomalies les plus élémentaires qu’il peut détecter. De toute évidence, les entreprises peuvent utiliser des requêtes pour détecter plusieurs tentatives de connexion, mais cette approche s’avère être un peu plus laborieuse.
Collecte et visualisation des logs
D’une manière générale, les solutions traitant l’ensemble du réseau, même la collecte et la visualisation de logs les plus élémentaires, peuvent être inestimables pour détecter les mouvements latéraux. Ces solutions fournissent un avis rapide du type d’activité inhabituelle qui coïncide avec un mouvement latéral surtout si l’attaquant utilise des méthodes automatisées.
La surveillance est essentielle pour stopper le mouvement latéral
D’autres bonnes pratiques en matière de sécurité sont toujours d’actualité. Le principe du moindre privilège et divers mécanismes liés à l’authentification, tels que l’authentification à deux facteurs et les exigences en matière de mot de passe, sont particulièrement importants. Cependant, une bonne défense contre les mouvements latéraux ne saurait être optimale sans des capacités de surveillance.
La détection est la condition nécessaire pour mettre en œuvre une réaction. Ce n’est qu’en sachant ce qui se passe sur votre réseau que vous pourrez stopper l’attaquant et protéger votre entreprise contre la perte de données et les violations de la vie privée.
La défense de votre réseau : un véritable défi !
Au début des activités connectées au réseau, de nombreuses personnes consacraient beaucoup d’efforts et de temps à inventer de nouvelles fonctionnalités et à rendre possible ce qui semblait impossible. Lorsque Ray Tomlinson a envoyé son premier email (« QWERTYUIOP ») en 1971, sa seule préoccupation était de vérifier s’il était correctement envoyé et reçu. Moins de 20 ans plus tard, en 1988, le ver « Morris » a montré les vulnérabilités des réseaux informatiques et l’US Government Accountability Office a estimé le coût des dommages entre 100 000 et 10 000 000 USD. En 1991, Microsoft a proposé sa vision d’un « ordinateur personnel sur chaque bureau et dans chaque maison » et des entreprises de toutes tailles ont commencé à travailler avec des ordinateurs et à construire leurs réseaux.
À l’époque, la demande d’experts IT était supérieure au nombre réel de spécialistes qualifiés. Le manque d’expertise informatique a conduit à des millions d’environnements IT non sécurisés, mal configurés et extrêmement vulnérables. De nombreux environnements non sécurisés sont encore opérationnels aujourd’hui, représentant ainsi un risque important et coûteux pour les entreprises.
Un terrain de jeu numérique
Il est inutile de détailler comment et quand les premiers pirates sont arrivés sur le terrain de jeu numérique et ont découvert les millions de réseaux vulnérables comme une invitation virtuelle à passer à l’action. Cependant, les pirates ont incité les entreprises à réfléchir à la défense du réseau. La célèbre Kill Chain de Lockheed Martin et plus tard le framework MITRE ATT&CK aident aujourd’hui les Blue Teams (équipes bleues) à structurer les preuves obtenues lors d’activités défensives. Un attaquant doit faire le travail de base avant de pouvoir obtenir ce qu’il cherche.
De loin, la plupart des réseaux utilisent les technologies de Microsoft, telles qu’Active Directory (AD) pour l’authentification et l’autorisation ainsi que les serveurs et clients Windows. Certains réseaux ont même Windows NT près de deux décennies après la fin du support. Les ordinateurs Windows faisant partie d’un domaine AD avec une configuration de base non renforcée et connectés à des réseaux plats et non segmentés permettent aux attaquants de passer rapidement d’un système à un autre. Enfin, en rôdant au sein de réseaux étrangers, les attaquants récoltent des identifiants et des données, prenant parfois le contrôle de réseaux entiers.