Réduction des ransomwares 101 : mouvement latéral entre les points d'extrémité

At the worst possible time, ransomware is a greater threat than ever, grinding IT operations back to pen and paper and taking down businesses when we can least afford it. In the midst of a pandemic, we’ve seen the continued rise of healthcare ransomware. Those of us with kids learning remotely have ransomware as the new snow day.

Pourquoi y a-t-il encore autant d'attaques de ransomware réussies ?

Qu'est-ce que le mouvement latéral ?

Lateral movement is when an intruder or attack breaches your perimeter, then moves laterally across an environment to other machines, resulting in a much larger and more expensive data breach. This could start on an endpoint or even a compromised data center workload, taking down tens of thousands of end user computers, or even strategically targeting your most valuable crown jewel data center assets.

MITRE’s ATT&CK Framework puts it plainly: “the adversary is trying to move through your environment.” This means that not only must we focus on stopping threats from gaining a foothold but also stopping this attacker lateral movement. This is now so fundamental to a defender’s job, that the MITRE ATT&CK notes lateral movement as a key attacker technique to defend against. 

Why is malware so successful at propagating using lateral movement between endpoints? To understand why this happens, first we have to examine how traditional application security works in protecting the data center – but not always the endpoint.

Mouvement latéral dans le centre de données

La sécurité des centres de données se concentre sur les communications client-serveur entre les points d'extrémité et le serveur. Dans la plupart des applications professionnelles actuelles basées sur un navigateur, lorsqu'un utilisateur saisit l'URL de l'application dans la fenêtre de son navigateur, ce dernier ouvre une connexion à un serveur web fonctionnant dans un centre de données ou dans un nuage public. Les machines des utilisateurs finaux communiquent avec ces serveurs frontaux par le biais de ports standard tels que 80 et 443. Les serveurs web situés derrière le périmètre de l'entreprise sont sécurisés par des pare-feu, des IPS, des systèmes de détection et de réponse et d'autres technologies de sécurité des centres de données. Les serveurs frontaux sont connectés à la logique d'entreprise, à la base de données et à d'autres types de serveurs, le tout dans les limites du centre de données ou de l'environnement en nuage.

C'est là que le mouvement latéral peut faire des dégâts. Si un serveur ou une charge de travail externe est compromis(e) par une vulnérabilité, un attaquant peut se déplacer latéralement de la charge de travail compromise vers les endroits où résident des données précieuses, comme les serveurs de base de données. Dans un réseau plat sans micro-segmentation, cela n'est pas du tout difficile.

With effective segmentation in place, all these “internal” servers are protected from outside threats. Micro-segmentation prevents attackers or threats from spreading or moving laterally, or “east-west,” in data centers, clouds, or campus networks.  A threat will be contained to the network segment or host segment that has been put in place, so attackers cannot move to other parts of an environment. This better protects organizations from breaches by limiting their size and impact.

Mouvement latéral d'un point final à l'autre

Pourquoi cela ne suffit-il pas à stopper les ransomwares ? La réponse est que le ransomware n'a pas besoin de communiquer avec le serveur pour se propager. Il peut se propager d'un point à l'autre à des dizaines de milliers de machines en quelques secondes.

Ransomware typically initiates from the endpoint and spreads directly to other endpoints via RDP, SMB, SIP, Skype, etc. Peer-to-peer (P2P) applications between endpoints create this lateral movement, or east-west connection, which does not involve communication between endpoints and servers. While most modern enterprise applications rely solely on outbound connections - endpoint initiating connections to server – P2P technologies leverage inbound connections from neighboring endpoints. These endpoints communicate without hairpinning traffic through a server or data center – meaning they rely on security that exists on the endpoint itself.

Empêcher les mouvements latéraux entre les points d'aboutissement

Quels sont les défis à relever pour sécuriser les mouvements latéraux entre les points d'extrémité ?

Visibilité - les connexions latérales entre les terminaux d'un même sous-réseau, par exemple, seront invisibles pour les pare-feu et les passerelles, ce qui rendra ces dispositifs de sécurité totalement inefficaces pour détecter et prévenir les menaces associées. Cela signifie également un manque total de visibilité sur ce qui se passe à la maison pour les employés travaillant à distance.

What about endpoint security? While it can detect and respond, EDR and EPP tools running on the endpoint are reactive to threats. In other words, it works only after a breach happens, rather than preventing its spread from the start.

Confiance zéro pour le point final

Best practice for preventing the spread of breaches is to adopt a Zero Trust security policy. This means mandatory allow-listing of approved services to run between endpoints, with permissions granted only in order to access for a legitimate business purpose.

Si vous avez déjà essayé de télécharger et d'installer une application P2P, comme Skype, sur votre ordinateur portable lors d'un nouveau travail et que vous avez reçu un message désagréable de la part du service informatique, vous comprenez comment cela fonctionne. Les utilisateurs ne doivent accéder qu'aux ressources approuvées par l'entreprise, pour la protection de tous.

Alors que les menaces de sécurité évoluent et que les pirates parrainés par des États deviennent de plus en plus sophistiqués, les solutions de sécurité doivent s'adapter pour rester pertinentes. Les solutions Zero Trust peuvent protéger plusieurs systèmes de manière proactive, en offrant une couverture de sécurité basée sur des principes de base et un faible taux de faux positifs. Des outils logiciels comme Illumio Edge ouvrent la voie à une gestion évolutive des pare-feu basés sur l'hôte et offrent des protections de sécurité sans précédent et une défense contre les mouvements latéraux malveillants.

Learn more about Illumio Edge on our website or register for our December 21^st webinar today.