La capacité à détecter rapidement et de manière fiable les mouvements latéraux qui s’opèrent au sein du réseau est l’un des enjeux les plus importants en matière de sécurité de l’information. Le mouvement latéral désigne les diverses techniques utilisées par les cyberattaquants pour se propager progressivement dans un système informatique à la recherche d’actifs et de données clés.
À bien des égards, la phase d’attaque par mouvement latéral représente la plus grande différence entre les attaques stratégiques et ciblées d’aujourd’hui, et celles simplistes de type « smash and grab » du passé.
L’attaque de Colonial Pipeline a impliqué de manière significative le mouvement latéral, démontrant l’importance de la question (avec des mouvements latéraux pour gagner accès au contrôleur de domaine, avec l’utilisation des partages réseaux pour déployer des ransomwares aux machines connectées… en utilisant du RDP, PSExec etc). Cette attaque n’était pas un incident isolé ; presque toutes les violations majeures impliquent désormais l’utilisation d’une telle tactique, et sa prévention et détection devraient être une priorité absolue pour les entreprises.
Comment faire la part des choses ?
Dans la plupart des cas, les cyberattaquants doivent se déplacer d’un appareil à l’autre et obtenir des privilèges d’accès pour accéder à des données de grande valeur au sein du réseau. Outre le fait qu’il permet de s’enfoncer plus profondément dans le système informatique, le mouvement latéral donne aux attaquants des points de contrôle supplémentaires dans un réseau compromis.
Cela permet aux cyberattaquants de demeurer sur le réseau dans le cas où ils seraient découverts sur une machine initialement infectée. Le mouvement latéral est donc hautement stratégique pour un cyber-attaquant et constitue l’un des éléments les plus différenciateurs entre une attaque ciblée et une menace ordinaire.
Obtenir un avantage en matière de défense
Ce mouvement présente également des avantages importants pour les cyber-défenseurs. Par exemple, le mouvement latéral est l’une des phases durant lesquelles les cyberattaquants ne contrôlent pas les deux extrémités de la connexion. Lorsque c’est le cas, comme pour ce qui relève du trafic de commande et de contrôle ou d’exfiltration, ils disposent d’une souplesse incroyable et de moyens leur permettant de dissimuler leur trafic.
Le mouvement latéral place les cyberattaquants dans une position plus traditionnelle, avec un nœud d’attaque et une cible. Cette approche unilatérale oblige les pirates informatiques à se dévoiler et offre une grande opportunité pour la sécurité en matière de détection de la menace. Le mouvement latéral peut ici impliquer des attaques directes où les cybercriminels cherchent des hôtes vulnérables à exploiter.
L’élément humain
Lorsque l’on a affaire aux intrusions et aux menaces persistantes avancées (APT), il est facile de se concentrer sur les logiciels malveillants. Cependant, avec ces attaques de plus en plus nuancées et sophistiquées, on constate que l’élément humain y joue un rôle décisif.
Les cyberattaques stratégiques sont le plus souvent pilotées par un attaquant créatif. Celui-ci navigue dans le réseau interne de façon efficace, et cherche à trouver les données les plus précieuses. Pour que l’attaque soit correctement menée, les attaquants ont nécessairement besoin d’un contrôle à distance des périphériques du réseau, et ce en temps réel. C’est la clé de la réussite du mouvement latéral ciblé.
Les agissements d’une personne extérieure au système informatique de l’entreprise constituent des informations que les outils d’analyse du trafic réseau peuvent rapidement reconnaître. Tout comportement suspect, tout décalage entre la fonction de la personne et ses agissements génèrent des signaux d’alarme immédiats.
Il semble clair qu’à l’avenir les mouvements latéraux continueront de revêtir une importance stratégique pour le succès global des cyberattaques. Et comme les attaquants s’améliorent dans les intrusions à la fois « lentes et discrètes », leurs compétences en matière de mouvements latéraux évolueront et s’amélioreront avec le temps.
La détection des mouvements latéraux est donc un enjeu majeur, alors même qu’elle reste encore un domaine négligé de la sécurité. Les entreprises doivent passer de la protection du périmètre à la détection et à la réponse des réseaux (NDR) basées sur l’intelligence artificielle (IA) pour pouvoir détecter ces mouvements à un stade précoce et interrompre les cyberattaques avant que les actifs ne soient endommagés ou volés.