Raisons courantes pour lesquelles un mouvement latéral se produit

‍

Les acteurs malveillants ont généralement un objectif principal en tête, qui peut varier d'un hacker à l'autre. Voici quelques raisons pour lesquelles les cybercriminels utilisent le mouvement latéral pour accéder à un réseau :

‍

• Accéder à l'appareil de travail d'un développeur pour voler des données intellectuelles, telles que le code source d'un projet.
• Lire le courrier électronique d'un dirigeant pour obtenir des informations sur l'entreprise afin de manipuler le marché boursier ou de voler des informations bancaires.
• Obtenir des informations d'identification ou augmenter les privilèges.
• Voler les données des clients sur le serveur responsable de l'hébergement des informations relatives aux cartes de paiement (PCI).
• Accès à un autre type d'actif ou de charge utile.

Quelle qu'en soit la raison, l'objectif principal d'un mauvais acteur est de compromettre le système et de passer par un réseau contenant ce qu'il veut.

3 étapes du mouvement latéral

La plupart des cyberattaques comportent trois étapes de mouvement latéral :

1. Reconnaissance. Au cours de cette phase initiale, l'attaquant explore et cartographie le réseau, les appareils et les utilisateurs de l'entreprise. Ils profitent de cette étape pour se familiariser avec les hiérarchies des réseaux de l'entreprise, les conventions de dénomination des hôtes, les différents systèmes d'exploitation, la localisation des charges utiles potentielles et obtenir des informations supplémentaires pour effectuer d'autres actions dans le système.
2. Dumping des informations d'identification et collecte de privilèges. Pour se déplacer sur n'importe quel réseau avec une détection minimale, voire nulle, un acteur malveillant a besoin d'informations de connexion valides. Le terme couramment utilisé pour désigner l'obtention illégale d'informations d'identification réseau est « dumping d'informations d'identification ». Les cybercriminels y parviennent notamment en incitant les utilisateurs à partager leurs informations d'identification par le biais d'attaques de phishing et de typosquatting.
3. Accès à d'autres points de communication et de calcul du réseau. Une fois à l'intérieur du réseau, l'attaquant peut répéter le processus de mouvement latéral, en contournant les contrôles de sécurité pour contrecarrer et compromettre les appareils successifs jusqu'à ce qu'il soit finalement détecté et arrêté.
   

‍

Ce que le mouvement latéral peut apporter à un acteur de la menace lors d'une cyberattaque

Les mouvements latéraux permettent à l'auteur de la menace d'éviter d'être détecté et d'intervenir par les équipes de sécurité de l'entreprise. Grâce à cette liberté de circulation sur un réseau et à l'absence de détection, ils peuvent conserver l'accès, même si l'équipe informatique a enregistré l'infection initiale du système ou de la machine.

‍
Les mouvements latéraux permettent à l'auteur de la menace d'accéder à un système pendant des semaines, voire des mois, après la violation initiale. Il s'agit d'un piège qui donne à l'équipe de détection et d'intervention de l'entreprise un faux sentiment de sécurité, incitant tout le monde à baisser la garde et à exposer le système au vol de données.

‍

Détection des mouvements latéraux

Les mouvements latéraux se manifestent et se présentent sous la forme d'une activité réseau anormale et évidente, ce qui les rend immédiatement suspectes pour les équipes informatiques vigilantes.

‍
Par exemple, si un appareil ou un ordinateur qui communique habituellement avec quelques autres appareils sélectionnés et leurs utilisateurs commence à scanner le réseau de manière aléatoire, il est temps d'en prendre note et de se préparer à répondre. Toute activité hors norme mérite une réponse. Même s'il ne s'agit pas d'un scénario de mouvement latéral clair, il vaut mieux l'étudier et le considérer comme une aberration organique du cours des affaires plutôt que de prendre le risque de le laisser passer.

‍
Il est difficile pour les équipes de cybersécurité de détecter les mouvements latéraux lors de l'exécution de leurs activités principales et d'autres activités quotidiennes. Ils ont besoin d'une application fiable et dynamique qui surveille la façon dont leurs applications réseau communiquent, leur permettant de fournir des informations sur l'exposition aux vulnérabilités.

‍
Avec toutes les observations et informations nécessaires, l'application prend le contrôle des logiciels de conteneurs, par exemple, ainsi que des machines nues et virtuelles pour fournir sécurité du réseau pour arrêter les acteurs de la menace avant qu'ils n'y accèdent, en les empêchant de se déplacer latéralement et de bénéficier de privilèges administratifs.

‍

Mouvement latéral en 90 secondes

Mouvement latéral. Deux mots qui sont aujourd'hui synonymes de « violation ». Qu'est-ce que le mouvement latéral exactement ? Et comment empêcher les mouvements latéraux de se produire ? Regardez la vidéo pour obtenir des réponses rapides.

‍

Comment empêcher les mouvements latéraux

Comme indiqué dans la vidéo, les violations par des cybercriminels malveillants sont inévitables pour les entreprises. L'objectif est de les contenir le plus rapidement possible et de bloquer toute nouvelle tentative de mouvement latéral.

‍
La microsegmentation est une stratégie éprouvée pour stopper le mouvement latéral des rançongiciels et des cyberattaques. La segmentation vous permet d'isoler les applications et les actifs, et d'empêcher les rançongiciels et les cybercriminels de se propager sur le réseau.

‍
Découvrez comment Illumio Core et Illumio Endpoint appliquez la segmentation Zero Trust aux applications, aux conteneurs, aux clouds, aux centres de données et aux terminaux. L'approche d'Illumio offre une visibilité complète sur les dépendances des applications et fournit la segmentation automatisée nécessaire pour empêcher les mouvements latéraux, contenir les cyberattaques et protéger les actifs critiques.