Qu’est-ce que le déplacement latéral ?

Comment se manifeste le déplacement latéral ?

Un acteur malveillant peut effectuer un déplacement latéral suite à la compromission d’un terminal connecté à un réseau qui ne dispose pas d’un contrôle d’accès approprié. Il peut y parvenir en détournant des identifiants, en exploitant une vulnérabilité dans un serveur ou une application, en utilisant des malwares pour créer une porte dérobée, ou en recourant à diverses autres méthodes. De nombreuses mesures de sécurité réseau classiques ne détectent pas les activités malveillantes parce qu’elles semblent provenir d’utilisateurs légitimes.

Examinons plus en détail comment s’effectue un déplacement latéral.

Étapes du déplacement latéral

Une attaque par déplacement latéral se décompose en trois principales étapes :

1. Reconnaissance : le hacker explore le réseau. À mesure qu’il comprend les conventions de dénomination et les hiérarchies du réseau, qu’il identifie les ports de pare-feu ouverts et qu’il repère d’autres points faibles, le hacker peut planifier la manière dont il va progresser plus profondément dans le réseau.
2. Infiltration : à l’aide d’identifiants de connexion souvent obtenus par le biais d’attaques de phishing ou de techniques d’ingénierie sociale, le hacker fait appel à un outil d’extraction d’informations d’identification ou à une escalade de privilèges pour accéder à diverses parties du système.
3. Accès : une fois qu’il a localisé le système ou les données cibles, le hacker peut lancer son attaque, en délivrant un payload de malware, en exfiltrant ou en détruisant des données, ou en procédant à d’autres actions spécifiques.

Quels types d’attaques recourent au déplacement latéral ?

La plupart des types d’attaques incluent, ou peuvent inclure, des techniques de déplacement latéral, notamment les attaques de ransomwares et autres malwares, le phishing etc. Une fois qu’ils ont pénétré un réseau, les hackers peuvent utiliser cette position comme une base à partir de laquelle ils pourront mener d’autres attaques.

En utilisant des techniques telles que le hijacking et le spear phishing, les hackers se déplacent sur le réseau comme s’ils étaient des utilisateurs légitimes, sans alerter les fonctions de sécurité cloud conventionnelles de leur présence.

Exemples de déplacements latéraux dans le cadre de cyberattaques

Le déplacement latéral n’est pas une technique en soi, mais plutôt un élément stratégique d’une attaque qui peut prendre de nombreuses formes en fonction des besoins du hacker. Les tactiques d’attaque par déplacement latéral les plus courantes sont les suivantes :

• Pass the hash (PtH) : plutôt que d’utiliser un mot de passe en clair pour l’authentification, un hacker saisit un hash de mot de passe volé (la même chaîne chiffrée que celle stockée dans l’outil d’authentification) et obtient l’accès.
• Pass the ticket (PtT) : un hacker utilise des tickets volés du protocole d’authentification par défaut de Windows, Kerberos, pour s’authentifier sans avoir besoin de connaître le mot de passe de l’utilisateur.
• Compromission de services distants : une fois infiltré, un hacker peut tirer parti de vulnérabilités ou d’autorisations mal configurées dans des services distants connectés pour accéder à d’autres parties du réseau.
• Spear phishing interne : un hacker qui a déjà accès au compte d’un utilisateur légitime peut mener des attaques de spear phishing pour obtenir des informations d’identification partagées, des codes d’accès, etc. Les cibles qui pensent savoir avec qui elles communiquent sont moins susceptibles de soupçonner un acte malveillant.
• Détournement de SSH : les hackers peuvent détourner les connexions établies via Secure Shell (SSH), un protocole d’accès à distance courant sous macOS et Linux, pour contourner l’authentification et accéder à un autre système par le biais du tunnel SSH chiffré.
• Partages administratifs Windows : la plupart des systèmes Windows activent par défaut les partages administratifs. Si un acteur malveillant obtient un accès administratif, les partages administratifs peuvent lui permettre, de manière rapide, de se déplacer latéralement en exploitant ses autorisations pour gérer et accéder à d’autres hôtes.

Quels défis les déplacements latéraux imposent-ils en matière de sécurité ?

Dans une topologie de réseau qui permet un déplacement latéral libre, une attaque peut se propager rapidement d’un hôte à l’autre, souvent sans déclencher d’alerte. Certains malwares le font bien trop rapidement pour qu’une équipe de sécurité puisse les contenir, surtout si vos mesures de sécurité ne vous alertent qu’après coup.

L’essor du travail hybride et à distance a généré ses propres problèmes. Les utilisateurs se connectent à l’aide de différents types de terminaux, chacun pouvant disposer de contrôles de sécurité propres. Chacun d’entre eux peut représenter une vulnérabilité potentielle, un vecteur d’attaque que les hackers peuvent exploiter.

Le plus dangereux, cependant, est le risque de menaces persistantes avancées (APT). Un hacker habile peut persister dans votre réseau sans être vu pendant des mois, accéder à des informations privilégiées et exfiltrer des données.

Étapes de prévention et de détection des déplacements latéraux

La lutte contre les déplacements latéraux se fait en deux temps.

Neutraliser les déplacements latéraux en temps réel

D’une part, vous devez arrêter les déplacements latéraux avant qu’ils ne se produisent. Pour ce faire, vous devez :

• Adopter une sécurité efficace et moderne pour les terminaux. Le travail hybride est appelé à perdurer, et pour préserver la sécurité et la productivité des collaborateurs, vous devez disposer de solutions adaptées pour les terminaux et la mobilité qui permettent un contrôle d’accès, une détection des menaces et une réponse Zero Trust de bout en bout sur une large gamme d’appareils.
• Protéger les cibles de grande valeur. S’il parvient à compromettre un compte doté de privilèges administratifs, un hacker pourra accéder à vos données les plus précieuses et les plus sensibles. Protégez ces comptes avec une sécurité optimale et réservez leur utilisation aux tâches qui requièrent les privilèges les plus élevés.
• Effectuer une microsegmentation. La microsegmentation crée des zones sécurisées qui vous permettent d’isoler les charges de travail les unes des autres et de les sécuriser individuellement. Les segments granulaires peuvent être adaptés aux besoins de différents trafics, créant des contrôles qui limitent les flux réseau et applicatifs entre les charges de travail à ceux qui sont explicitement autorisés à y accéder.
• Maintenir une approche Zero Trust axée sur la sécurité. Chaque collaborateur de votre entreprise, et pas seulement le service informatique ou une petite équipe de sécurité, doit assumer la responsabilité de la sécurité. En veillant à ce que l’ensemble du personnel comprenne et adhère aux protocoles de sécurité communs et adopte une approche Zero Trust de la sécurité , vous serez en mesure de réduire au maximum les risques liés aux cyberattaques.

Détecter les déplacements latéraux

En revanche, lorsque des hackers parviennent à s’infiltrer dans votre réseau, vous devez être en mesure de les stopper net. Pour cela, vous devez :

• Surveiller les activités de connexion. En surveillant de près le trafic d’authentification, vous pouvez détecter des compromissions directes et des vols d’informations d’identification avant que les hackers ne puissent causer des préjudices.
• Effectuer des analyses de comportement. L’analyse optimisée par l’apprentissage automatique peut établir une base de référence du comportement normal de l’utilisateur, puis identifier et signaler toute divergence révélatrice d’une cyberattaque.
• Faire appel à la technologie de tromperie. Des leurres réalistes déployés sur votre réseau agissent comme des appâts pour les cybercriminels. Incapables de différencier le vrai du faux, les hackers déclenchent une alarme silencieuse dès qu’ils interagissent avec un leurre.
• Recourir à la traque des menaces. En adoptant une approche proactive pour identifier les menaces inconnues ou reconnues sur votre réseau, la traque des menaces menée par des experts (par le biais d’un service géré, pour la plupart des entreprises) constitue une puissante défense contre les attaques avancées et furtives.

Prévenir et contrôler les déplacements latéraux avec Zero Trust

Abuser de la confiance (non seulement celle que confère l’authentification, mais aussi celle inhérente à la nature humaine) est l’une des plus anciennes ruses des hackers. Cette tactique constitue toujours l’un des moyens les plus efficaces dont ils disposent pour se déplacer au sein de votre environnement. Pour les priver de cette possibilité, vous devez révoquer cette confiance.

Une architecture Zero Trust applique des politiques d’accès basées sur des éléments de contexte, notamment le rôle et la localisation de l’utilisateur, son appareil et les données qu’il demande, afin de déjouer tout accès inapproprié et tout déplacement latéral au sein de votre environnement.

Le modèle Zero Trust exige une visibilité et un contrôle des utilisateurs et du trafic au sein de votre environnement (y compris le trafic chiffré), une surveillance et une validation du trafic entre les différentes parties de l’environnement, ainsi que des méthodes d’authentification multifacteur (MFA) robustes, au-delà de simples mots de passe.

Dans une architecture Zero Trust, l’emplacement du réseau d’une ressource ne constitue plus le principal facteur de sécurité. Au lieu d’une segmentation rigide du réseau, vos données, flux de travail, services et autres sont protégés par une microsegmentation définie par logiciel, ce qui vous permet de les sécuriser en tout lieu.

Empêcher le déplacement latéral avec Zscaler

Les solutions de sécurité réseau traditionnelles, telles que les pare-feu et les réseaux privés virtuels (VPN), constituent le vrai problème. Elles créent une vaste surface d’attaque que les acteurs malveillants peuvent facilement repérer et exploiter pour s’infiltrer dans votre environnement. Pire encore, elles placent les utilisateurs directement sur votre réseau, ce qui facilite l’accès des hackers aux données sensibles.

C’est pourquoi nous avons créé Zscaler Private Access™. Intégrée à la plateforme SSE (Security Service Edge) la mieux notée et la plus déployée au monde, cette solution propose les avantages suivants :

• Sécurité sans égal, au-delà des VPN et des pare-feu traditionnels : les utilisateurs se connectent directement aux applications, et non au réseau, ce qui réduit la surface d’attaque et élimine les déplacements latéraux.
• Fin de la compromission des applications privées : une protection des applications unique en son genre, avec prévention inline, tromperie et isolation des menaces, minimise le risque de compromission des utilisateurs.
• Productivité supérieure pour le personnel hybride moderne : l’accès ultra-rapide aux applications privées s’étend de manière homogène aux utilisateurs distants, au siège, aux sites distants et aux partenaires tiers.
• Plateforme ZTNA unifiée pour les utilisateurs, les charges de travail et l’OT/IoT : vous vous connectez en toute sécurité à des applications, services et dispositifs OT/IoT privés grâce à la plateforme ZTNA la plus complète du secteur.

Zscaler Private Access applique les principes du moindre privilège pour offrir aux utilisateurs une connectivité directe et sécurisée aux applications privées tout en éliminant les accès non autorisés et les déplacements latéraux. Service cloud natif, ZPA peut être déployé en quelques heures pour remplacer les VPN et les outils d’accès à distance traditionnels par une plateforme globale Zero Trust.