Pour un acteur malveillant, le mouvement latéral fait toute la différence entre compromettre un seul actif et potentiellement naviguer dans une organisation pour établir une présence persistante. Il fait référence à la capacité de passer d'un actif (identité, compte, base de données, ressource système, etc.) à un autre. Un attaquant exploite une vulnérabilité ou utilise des identifiants compromis pour mettre un premier pied dans l’environnement. Il peut ensuite utiliser cet ancrage dans l'environnement comme point de pivot pour obtenir des privilèges supplémentaires et un accès pour se rapprocher des ressources les plus convoitées / critiques. C’est le moyen de trouver des données de valeur, de compromettre des actifs supplémentaires et, in fine, d’exécuter des logiciels malveillants pour la reconnaissance et la prise de contrôle. C’est une étape clé de la chaîne des cyberattaques et, selon diverses études, il se produit dans environ 70% d’entre elles.
Lorsque nous parlons de l'importance du mouvement latéral pour la sécurité, l'accent n'est pas seulement sur les actifs, mais sur les « ressources » au sens large : système d’exploitation, applications, machines virtuelles, conteneurs, comptes et identités. Les ressources engagées dans un mouvement latéral peuvent surtout être une combinaison de ressources et les techniques de déplacement latéral varient considérablement selon ces dernières. Cela soulève donc les questions suivantes : comment arrêter le mouvement latéral et comment se protéger contre les mouvements latéraux lorsqu'ils peuvent se produire de tant de façons différentes ?
Arrêter le mouvement latéral
Avec les bonnes stratégies de sécurité, il est possible de s’assurer que le point d’entrée de l'attaquant ne sera qu’un minuscule îlot, sans aucun itinéraire vers d'autres ressources et sans possibilité de passer d'île en île. Réalisée correctement, une posture défensive contre les mouvements latéraux laisse les attaquants K.O., limitant ainsi les dégâts, tout en donnant au défenseur le temps de détecter et, finalement, d'éjecter l'attaquant de l'environnement. Ce qui est essentiel, cependant, c'est que ce mouvement latéral n'est pas seulement le fait de sauter d’île en île, mais qu’il peut se produire de diverses manières - et les stratégies de protection doivent se prémunir contre chacune d'elles.
Se protéger contre les mouvements latéraux
Avant tout, il s’agit de considérer les failles sous-jacentes qui permettent aux mouvements latéraux de se produire. Ils se produisent en raison d'attaques sur les privilèges ou sur les assets. La segmentation du réseau est un moyen de limiter les mouvements latéraux à grande échelle dans un environnement informatique, mais pour arrêter effectivement les attaquants, nous devons comprendre et mettre en œuvre des contrôles de sécurité spécifiques aux vecteurs d'attaques sur les privilèges ou assets. À bien des égards, il s'agit d'une combinaison « Zero Trust », « Just-in-Time » et « Universal Privilege Management ».
Atténuer les mouvements latéraux des vecteurs d'attaque sur les assets
Les attaques contre les actifs sont généralement traitées, ou du moins atténuées, grâce à la gestion des vulnérabilités, des correctifs et de la configuration. Ce sont les meilleures pratiques traditionnelles de cybersécurité que chaque organisation devrait bien faire. Pourtant, très peu d'organisations les font fonctionner comme des machines bien huilées. Le mouvement latéral, en raison d'une mauvaise hygiène de base de la cybersécurité, est le principal vecteur d'attaque des menaces modernes comme les ransomwares, bots et autres logiciels malveillants. Une attaque réussie peut se baser sur des failles logicielles. Par conséquent, il faut s’assurer que les actions de base sont bien effectuées, semaine après semaine, pour ne pas exposer de failles dans la posture de sécurité qui pourraient conduire à une vulnérabilité et à son exploitation.
Atténuer les mouvements latéraux des vecteurs d'attaque sur les privilèges
La deuxième méthode de déplacement latéral est basée sur des vecteurs d'attaque sur les privilèges. Cela inclut généralement une forme d'accès à distance privilégié. Si plusieurs comptes sont compromis pour la même identité, le vecteur d'attaque peut évoluer vers un vecteur d'attaque sur une identité, dans lequel tout ce qu'une personne possède (et ses comptes), tout ce dont elle responsable, ou ce pour quoi elle a un accès privilégié ou non privilégié, deviennent une forme de mouvement latéral basé sur la relation compte / identité.
Le mouvement latéral par des vecteurs d'attaque sur les privilèges peut être considérablement réduit en exécutant efficacement les principes fondamentaux du Universal Privilege Management :
- L'application du principe du moindre privilège (avec une gestion des accès Just-in-Time) pour réduire le risque qu'un attaquant s'installe et puisse installer des logiciels malveillants, limiter les voies d'accès disponibles et éliminer les accès persistants.
- La séparation des privilèges et des tâches entre des utilisateurs et des comptes distincts. Ainsi, si un compte est compromis, la gamme de privilèges qu'il accorde à l'attaquant est assez restreinte.
- La mise en œuvre de la gestion des identifiants à privilèges, telles que la sécurisation des mots de passe, des clés et des secrets dans un vault d’identifiants centralisé, avec rotation des identifiants et élimination des identifiants par défaut / réutilisés, etc. pour éliminer un large éventail de méthodes d'attaques, tout en réduisant l'efficacité des autres.
- L’analyse des menaces privilégiées et la gestion / surveillance des sessions pour détecter toute activité inhabituelle et arrêter les attaques avant qu'elles ne s'aggravent.
De plus, le concept de « zero trust », qui nécessite une approche à multiples facettes, peut être appliqué pour se défendre. Une telle approche met l'accent sur le maintien de contrôles d'accès stricts et sur le fait de ne faire confiance à personne, jamais, nulle part - même ceux qui sont déjà à l'intérieur du périmètre du réseau - par défaut. Le « zero trust » s'efforce de garantir que l'autorisation ou l'authentification n'est pas autorisée entre les ressources, sauf si une approbation et une approbation tierces ont été accordées. N'oublions pas que le mouvement latéral peut se produire entre les ressources et c'est cette confiance inappropriée entre elles qui doit être empêchée pour atténuer les menaces de mouvement latéral.
Pour des acteurs malveillants, le mouvement latéral est une stratégie cruciale. Les réflexions sur les mouvements latéraux doivent toujours inclure les ressources impliquées dans la mise en œuvre d'une technologie, comment garantir un accès privilégié et maintenir une sécurité fondamentale pour protéger l'actif.
Par William Culbert, Directeur EMEA Sud chez BeyondTrust