Blogue
/
Confinement des ransomwares

Réduction des rançongiciels 101 : mouvement latéral entre les terminaux

Éditorial Illumio
,
December 14, 2020
23 min. de lecture

Dans le pire des cas, les rançongiciels constituent une menace plus grave que jamais, car ils réduisent les opérations informatiques au stylo et au papier et détruisent des entreprises alors que nous en avons le moins les moyens. En pleine pandémie, nous avons assisté à la hausse continue de rançongiciel. Ceux d'entre nous qui ont des enfants qui apprennent à distance ont les rançongiciels comme nouveau jour de neige.

Pourquoi y a-t-il encore autant d'attaques de rançongiciels réussies ?

Qu'est-ce que le mouvement latéral ?

Le mouvement latéral se produit lorsqu'un intrus ou une attaque franchit votre périmètre, puis se déplace latéralement à travers un environnement vers d'autres machines, ce qui entraîne une attaque beaucoup plus grande et plus coûteuse violation de données. Cela peut commencer par un terminal ou même une charge de travail compromise dans un centre de données, provoquer la mise hors service de dizaines de milliers d'ordinateurs d'utilisateurs finaux ou même cibler stratégiquement les actifs les plus précieux de votre centre de données.

Le cadre ATT&CK du MITRE le dit clairement : « l'adversaire essaie de se déplacer dans votre environnement ». Cela signifie que nous devons non seulement nous concentrer sur l'arrêt des menaces, mais également sur l'arrêt de cet attaquant. mouvement latéral. C'est désormais si fondamental pour le travail d'un défenseur que le MITRE ATT&CK considère le mouvement latéral comme une technique d'attaque clé pour se défendre.

Pourquoi les malwares réussissent-ils si bien à se propager grâce au mouvement latéral entre les terminaux ? Pour comprendre pourquoi cela se produit, nous devons d'abord examiner dans quelle mesure sécurité des applications protège le centre de données, mais pas toujours le terminal.

Mouvement latéral dans le centre de données

La sécurité des centres de données se concentre sur les communications client-serveur entre les terminaux et le serveur. Dans la plupart des applications professionnelles basées sur un navigateur, lorsqu'un utilisateur saisit l'URL de l'application dans la fenêtre de son navigateur, celui-ci ouvre une connexion à un serveur Web exécuté dans un centre de données ou un cloud public. Les machines des utilisateurs finaux communiquent avec ces serveurs frontaux via des ports standard tels que 80 et 443. Les serveurs Web situés derrière le périmètre de l'entreprise sont sécurisés par des pare-feux, des technologies IPS, de détection et de réponse et d'autres technologies de sécurité des centres de données. Les serveurs frontaux sont connectés à la logique métier, à la base de données et à d'autres types de serveurs, le tout dans les limites du centre de données ou de l'environnement cloud.

C'est là que les mouvements latéraux peuvent faire des dégâts. Si un serveur ou une charge de travail externe est compromis par une vulnérabilité, un attaquant peut passer latéralement de la charge de travail compromise à l'endroit où se trouvent des données importantes, comme sur les serveurs de base de données. Dans un réseau plat sans micro-segmentation, cela n'est pas du tout difficile.

Avec une efficacité segmentation en place, tous ces serveurs « internes » sont protégés des menaces extérieures. La microsegmentation empêche les attaquants ou les menaces de se propager ou se déplaçant latéralement, ou « est-ouest », dans les centres de données, les clouds ou les réseaux de campus. Une menace sera limitée au segment réseau ou au segment hôte qui a été mis en place, de sorte que les attaquants ne peuvent pas se déplacer vers d'autres parties de l'environnement. Cela permet de mieux protéger les entreprises contre les violations en limitant leur taille et leur impact.

Mouvement latéral d'un point à l'autre

Pourquoi cela ne suffit-il pas à stopper les rançongiciels ? La réponse est que le ransomware n'a pas besoin de communiquer avec le serveur pour se propager. Il peut se propager d'un point à l'autre à des dizaines de milliers de machines en quelques secondes.

Un ransomware s'initie généralement depuis le terminal et se propage directement aux autres terminaux via RDP, SMB, SIP, Skype, etc. Les applications poste à poste (P2P) entre les terminaux créent ce mouvement latéral, ou connexion est-ouest, qui n'implique aucune communication entre les terminaux et les serveurs. Alors que la plupart des applications d'entreprise modernes reposent uniquement sur les connexions sortantes (les terminaux initiant les connexions au serveur), les technologies P2P exploitent les connexions entrantes depuis les terminaux voisins. Ces terminaux communiquent sans affecter le trafic via un serveur ou un centre de données, ce qui signifie qu'ils s'appuient sur la sécurité qui existe au niveau du terminal lui-même.

Empêcher les mouvements latéraux entre les extrémités

Quels sont les défis liés à la sécurisation des mouvements latéraux entre les terminaux ?

Visibilité : les connexions latérales entre les terminaux d'un même sous-réseau, par exemple, seront invisibles pour les pare-feux et les passerelles, ce qui rendra ces dispositifs de sécurité totalement inefficaces pour détecter et prévenir les menaces associées. Cela signifie également un manque total de visibilité sur ce qui se passe à la maison pour les employés travaillant à distance.

Qu'en est-il sécurité des terminaux? Bien qu'ils puissent détecter et réagir, les outils EDR et EPP exécutés sur le terminal réagissent aux menaces. En d'autres termes, cela ne fonctionne que après une brèche se produit, au lieu d'empêcher sa propagation dès le départ.

Zero Trust pour les terminaux

La meilleure pratique pour empêcher la propagation des violations consiste à adopter un Sécurité Zero Trust politique. Cela signifie qu'il est obligatoire de répertorier les services approuvés à exécuter entre les terminaux, les autorisations étant accordées uniquement pour y accéder à des fins commerciales légitimes.

Si vous avez déjà essayé de télécharger et d'installer une application P2P, telle que Skype, depuis Internet sur votre ordinateur portable dans le cadre d'un nouvel emploi et que vous avez obtenu un nastygramme de la part du service informatique, vous comprenez comment cela fonctionne. Les utilisateurs ne doivent accéder qu'aux ressources approuvées par l'entreprise, pour la protection de tous.

À mesure que les menaces de sécurité évoluent et que les pirates informatiques parrainés par l'État deviennent de plus en plus sophistiqués, les solutions de sécurité doivent suivre le rythme afin de rester pertinentes. Les solutions Zero Trust peuvent protéger plusieurs systèmes de manière proactive, en offrant une couverture de sécurité basée sur les principes de base et un faible taux de faux positifs. Des outils logiciels tels qu'Illumio Edge ouvrent la voie en matière de gestion évolutive des pare-feux basée sur l'hôte et offrent des protections de sécurité et une défense sans précédent contre les mouvements latéraux malveillants.

Pour en savoir plus sur Illumio Edge, consultez notre site Web ou inscrivez-vous pour notre 21 décembresaint webinaire aujourd'hui.

Sujets connexes

Sécurité des terminaux

Articles connexes

Comprendre les rançongiciels : le modèle d'attaque le plus courant
Confinement des ransomwares

Comprendre les rançongiciels : le modèle d'attaque le plus courant

En savoir plus
5 étapes pour lutter contre les malwares grâce à la segmentation Zero Trust
Confinement des ransomwares

5 étapes pour lutter contre les malwares grâce à la segmentation Zero Trust

En savoir plus
How to Meet CISA’s Phobos Ransomware Guidance With Illumio
Confinement des ransomwares

How to Meet CISA’s Phobos Ransomware Guidance With Illumio

Be prepared for Phobos ransomware with the Illumio Zero Trust Segmentation Platform.

En savoir plus
Aucun article n'a été trouvé.

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus