Qu’est-ce que le déplacement latéral ?

Comment se manifeste un déplacement latéral ?

Un assaillant peut effectuer un déplacement latéral après avoir piraté un terminal connecté à un réseau qui ne dispose pas d'un contrôle d’accès approprié. Il peut y parvenir en détournant des identifiants, en exploitant une vulnérabilité dans un serveur ou une application, en utilisant des malwares pour créer une porte dérobée, ou en recourant à diverses autres méthodes. De nombreuses mesures de sécurité réseau classiques ne détectent pas les activités malveillantes parce qu’elles semblent provenir d’utilisateurs légitimes.

Examinons plus en détail comment s'effectue un déplacement latéral.

Étapes du déplacement latéral

Une attaque par déplacement latéral se décompose en trois étapes principales :

1. Reconnaissance : le hacker explore le réseau. À mesure qu’il comprend les conventions de dénomination et les hiérarchies du réseau, qu’il identifie les ports de pare-feu ouverts et qu’il repère d’autres points faibles, le hacker peut planifier comment progresser plus profondément dans le réseau.
2. Infiltration : à l’aide d’identifiants de connexion souvent obtenus par le biais d’attaques de phishing ou d’autres techniques d’ingénierie sociale, l’assaillant utilise un dumping d’identifiants ou une escalade des privilèges pour accéder à diverses parties du système d'informations.
3. Accès : une fois que le hacker a localisé le système ou les données cibles, il peut commencer son attaque réelle en injectant un malware, en exfiltrant ou en détruisant des données, ou en procédant à d’autres actions spécifiques.

Quels types d’attaques recourent au déplacement latéral ?

La plupart des types d’attaques incluent, ou peuvent inclure, des techniques de déplacement latéral, notamment les attaques par ransomware et autres malwares, le phishing, etc. Une fois présents au sein d'un réseau, les hackers peuvent utiliser leur ancrage initial comme une base à partir de laquelle ils mèneront d’autres attaques.

En utilisant des techniques telles que le hijacking et le spear phishing, les hackers se déplacent sur le réseau comme s’ils étaient des utilisateurs légitimes, sans alerter les fonctions de sécurité cloud conventionnelles de leur présence.

Exemples de déplacements latéraux dans le cadre de cyberattaques

Le déplacement latéral n’est pas une technique en soi, mais plutôt un élément stratégique d’une attaque qui peut prendre de nombreuses formes en fonction des besoins du hacker. Les tactiques d’attaque par déplacement latéral les plus courantes sont les suivantes :

• Pass the hash (PtH) : plutôt que d’utiliser un mot de passe en clair pour l’authentification, un hacker saisit un hash de mot de passe volé (la même chaîne chiffrée que celle stockée dans l’outil d'authentification) et obtient l’accès.
• Pass the ticket (PtT) : un hacker utilise des tickets volés du protocole d’authentification par défaut de Windows, Kerberos, pour s’authentifier sans avoir besoin de connaître le mot de passe de l’utilisateur.
• Compromissions de services distants : une fois infiltré dans un système, un hacker peut tirer parti de vulnérabilités ou d’autorisations mal configurées dans des services distants connectés pour accéder à d’autres parties du réseau.
• Spear phishing interne : un hacker qui a déjà accès au compte d’un utilisateur légitime peut mener des attaques de spear phishing pour obtenir des informations d’identification partagées, des codes d’accès, etc. Les cibles qui pensent savoir avec qui elles communiquent sont moins susceptibles de soupçonner un acte malveillant.
• Détournement de SSH : les hackers peuvent pirater les connexions établies via Secure Shell (SSH), un protocole d’accès à distance courant dans macOS et Linux, afin de contourner l’authentification et accéder à un autre système par le biais du tunnel SSH chiffré.
• Partages administratifs Windows : la plupart des systèmes Windows activent par défaut les partages administratifs. Si un hacker obtient un accès administrateur, les partages administratifs peuvent lui permettre d’agir rapidement en se déplaçant latéralement et en exploitant les autorisations connexes pour gérer et accéder à d’autres hôtes.

Quels défis les déplacements latéraux imposent-ils en matière de sécurité ?

Dans une topologie de réseau qui permet un déplacement latéral libre, une attaque peut rapidement se propager d’un hôte à l’autre, souvent sans déclencher d’alerte. Certains malwares le font bien trop rapidement pour qu’une équipe de sécurité puisse les contenir, surtout si vos mesures de sécurité ne vous alertent qu’après coup.

L’essor du travail hybride et à distance a généré ses propres problèmes. Les utilisateurs se connectent à l'aide de différents types de terminaux, chacun pouvant disposer de contrôles de sécurité propres. Chacun d’entre eux peut représenter une vulnérabilité potentielle, un vecteur d’attaque que les hackers peuvent exploiter.

Le risque des menaces persistantes avancées (APT) est toutefois le plus dangereux. Un hacker habile peut persister dans votre réseau sans être vu pendant des mois, accéder à des informations privilégiées et exfiltrer des données.

Étapes de prévention et de détection des déplacements latéraux

La lutte contre les déplacements latéraux se fait en deux temps.

Prévenir les déplacements latéraux en temps réel

D’une part, vous devez neutraliser les déplacements latéraux avant qu’ils ne se produisent. Pour ce faire, vous devez :

• Adopter une sécurité efficace et moderne pour les terminaux. Le travail hybride est appelé à perdurer, et pour préserver la sécurité et la productivité des collaborateurs, vous devez disposer de solutions adaptées aux terminaux et à la mobilité qui permettent un contrôle d’accès, une détection des menaces et une réponse Zero Trust de bout en bout sur un large panel de dispositifs.
• Protéger les cibles de valeur. S’il parvient à compromettre un compte doté de privilèges administratifs, un hacker pourra accéder à vos données les plus précieuses et les plus sensibles. Protégez ces comptes avec une sécurité optimale et réservez leur utilisation aux tâches qui requièrent les privilèges les plus élevés.
• Appliquer la microsegmentation. La microsegmentation crée des zones sécurisées qui vous permettent de cloisonner les instances les unes par rapport aux autres et de les sécuriser individuellement. Les segments granulaires peuvent être adaptés aux besoins des différents types de trafic et permettent de créer des fonctions qui restreignent le trafic réseau et applicatif entre les instances à ceux qui sont explicitement autorisés à y accéder.
• Une approche Zero Trust axée sur la sécurité. Chaque collaborateur de votre entreprise, et pas seulement l'équipe informatique ou de sécurité, doit assumer la responsabilité de la sécurité. En veillant à ce que l’ensemble du personnel comprenne et respecte les protocoles de sécurité communs, et adopte une approche Zero Trust de la sécurité, vous serez en mesure de réduire au maximum les risques liés aux cyberattaques.

Détecter le mouvement latéral

En revanche, lorsque des hackers parviennent à s’infiltrer dans votre réseau, vous devez être en mesure de les stopper net. Pour cela, vous devez :

• Surveiller les activités de connexion. En surveillant de près le trafic d’authentification, vous pouvez détecter des compromissions directes et des détournements d’informations d’identification avant que les hackers ne puissent causer des préjudices.
• Effectuer des analyses de comportement. L’analyse optimisée par apprentissage automatique peut établir une référence du comportement normal de l’utilisateur et ainsi signaler les comportements suspects, qui ne correspondent pas à cette référence, et susceptibles de révéler une cyberattaque.
• Recourir à une technologie de leurre. Des leurres réalistes déployés sur votre réseau agissent comme des appâts pour les cybercriminels. Incapables de différencier le vrai du faux, les hackers déclenchent une alarme silencieuse dès qu’ils interagissent avec un leurre.
• Traquer les menaces. En adoptant une approche proactive à l’identification des menaces inconnues ou reconnues dans votre réseau, la traque aux menaces menée par des experts (en faisant appel à un service managé pour nombre d'entreprises), constitue une défense robuste contre les attaques avancées et furtives.

Prévenir et contrôler les déplacements latéraux avec Zero Trust

Abuser de la confiance (non seulement celle que confère l’authentification, mais aussi celle des personnes) est l’une des plus anciennes ruses des hackers. Cette tactique reste aujourd’hui l’un des moyens les plus efficaces dont ils disposent pour se mouvoir au sein de votre environnement. Pour les priver de cette possibilité, vous devez révoquer cette confiance.

Une architecture Zero Trust applique des politiques d’accès basées sur des éléments de contexte, notamment le rôle et la localisation de l’utilisateur, son appareil et les données qu’il demande, afin de déjouer tout accès inapproprié et tout déplacement latéral au sein de votre environnement.

Le Zero Trust exige une visibilité et un contrôle des utilisateurs et du trafic au sein de votre environnement (y compris le trafic chiffré), une surveillance et une validation du trafic entre les différentes parties de l’environnement, ainsi que des méthodes d’authentification multifacteur (MFA) robustes, au-delà de simples mots de passe.

Dans une architecture Zero Trust, l’emplacement d’une ressource sur le réseau ne constitue plus le principal indicateur de sa posture de sécurité. Au lieu d’une segmentation rigide du réseau, vos données, workflows, services et autres sont protégés par une microsegmentation définie par logiciel, ce qui vous permet de les sécuriser où qu’ils se trouvent.

Empêcher le déplacement latéral avec Zscaler

Le problème : les solutions de sécurité réseau traditionnelles, telles que les pare-feu et les réseaux privés virtuels (VPN). Elles créent une vaste surface d’attaque que les acteurs malveillants peuvent facilement repérer et exploiter pour pénétrer dans votre environnement. Pire encore, elles placent les utilisateurs directement sur votre réseau, ce qui facilite l’accès des hackers aux données sensibles.

C’est pourquoi nous avons créé Zscaler Private Access™. Faisant partie de la plateforme SSE (Security Service Edge) la plus appréciée et la plus déployée au monde, cette solution offre :

• Une sécurité sans égal, au-delà des VPN et des pare-feu traditionnels : les utilisateurs se connectent directement aux applications, et non au réseau, ce qui minimise la surface d’attaque et élimine les déplacements latéraux.
• La fin de la compromission des applications privées : une protection des applications unique en son genre, avec prévention inline, tromperie et isolation des menaces, minimise le risque de compromission des utilisateurs.
• Une productivité supérieure pour les équipes hybrides modernes : l’accès ultra-rapide aux applications privées s’étend de manière transparente aux utilisateurs distants, au siège, aux filiales et aux partenaires tiers.
• Une plateforme ZTNA unifiée pour les utilisateurs, les instances et l’IoT/OT : connectez-vous en toute sécurité à des applications, des services et des appareils OT/IoT privés grâce à la plateforme ZTNA la plus complète du secteur.

Zscaler Private Access applique les principes du moindre privilège pour offrir aux utilisateurs des connexions directes et sécurisées aux applications privées tout en éliminant les accès non autorisés et les déplacements latéraux. Service cloud natif, ZPA peut être déployé en quelques heures pour remplacer les anciens VPN et outils d’accès à distance par une plateforme globale Zero Trust.