Vous avez peut-être entendu parler du concept de mouvement latéral dans le contexte des opérations de sécurité et avez une idée générale de la façon dont les acteurs de la menace exploitent cette tactique pour accéder à vos données. Mais qu’est-ce que le mouvement latéral exactement? Et comment cela a-t-il un impact sur les opérations de sécurité de votre organisation ?
Qu’est-ce qu’un Mouvement latéral?
Commençons par la définition MITRE ATT & CK™ prévoit un mouvement latéral:
Le mouvement latéral consiste en des techniques que les adversaires utilisent pour entrer et contrôler des systèmes distants sur un réseau. Pour atteindre leur objectif principal, il faut souvent explorer le réseau pour trouver leur cible et y accéder par la suite. Atteindre leur objectif implique souvent de faire pivoter plusieurs systèmes et d’accéder à des comptes. Les adversaires peuvent installer leurs propres outils d’accès à distance pour effectuer un mouvement latéral ou utiliser des informations d’identification légitimes avec des outils de réseau et de système d’exploitation natifs, ce qui peut être plus furtif.
Techniques de mouvement latéral
La chose importante sur laquelle il faut se concentrer dans la définition de MITRE est que le mouvement latéral n’est pas une technique unique, mais plutôt un ensemble de techniques qui incluent les menaces persistantes avancées (APT) et les zones d’exploitation utilisées par les acteurs de la menace pour accéder à leur cible visée.
Ces techniques mettent en évidence les diverses vulnérabilités et méthodes utilisées pour voler les informations d’identification et exploiter les services distants. Vous pouvez trouver la liste complète des techniques de mouvement latéral et des étapes pour atténuer chaque technique sur le site Web de MITRE. Des exemples de mouvement latéral comprennent:
- Passer le hachage (PtH)
- Passer le ticket (PtT)
- Exploitation de services distants
- spearphishing interne
- Détournement SSH
- Partages d’administrateurs Windows
Détection de mouvement latéral
La clé de détection de les techniques indicatives du mouvement latéral consistent à réaliser qu’il existe plus d’une approche pour identifier ce type d’activité. Dans de nombreux cas, cela peut nécessiter une combinaison d’approches pour identifier le moment où un acteur de la menace se déplace dans votre environnement.
Bien que la détection des mouvements latéraux dans votre environnement ne soit pas une tâche simple, il existe de multiples méthodes qui peuvent vous alerter des activités suspectes liées aux techniques de mouvement latéral et fournir un contexte qui soutient le processus d’enquête.
En utilisant à la fois la surveillance en temps réel et l’analyse comportementale, vous pouvez immédiatement identifier une activité potentiellement malveillante et enquêter sur cette activité avec des preuves contextuelles. Décomposons exactement ce que sont ces deux capacités pour mieux comprendre comment elles fonctionnent ensemble.
Surveillance en temps réel (Alerte)
La collecte, la normalisation et la corrélation efficaces des données dans un environnement fournissent des alertes en temps réel qui peuvent identifier les activités suspectes nécessitant une enquête plus approfondie. En agrégeant les alertes, cette technologie peut aider à observer la progression d’une menace en temps réel et à visualiser l’activité de composition qui pointe davantage vers une véritable menace.
Lorsque vous utilisez la surveillance en temps réel, vous pouvez également appliquer des règles qui correspondent au cadre MITRE ATT & CK, en particulier autour des techniques de mouvement latéral. Fournir des règles pour toutes les techniques dans le cadre peut garantir que vous couvrez tous les domaines d’exploitation potentiels.
Analyse comportementale (Investigation)
L’analyse comportementale fournit un regard unique sur l’activité des utilisateurs et des entités du réseau pour hiérarchiser et traiter l’activité qui montre un écart significatif par rapport au comportement normal.
Les solutions d’analyse du comportement des utilisateurs et des entités (UEBA) utilisent l’apprentissage automatique (ML) pour déterminer à la fois la ligne de base (comportement normal) de chaque utilisateur et entité et la signification de toute activité qui s’écarte de cette ligne de base. La compréhension de ces écarts peut fournir des preuves contextuelles qui soutiennent l’enquête sur une alerte concernant une activité suspecte.
Chaque méthode de détection offrant une perspective unique et ayant des exigences de ressources et de calendrier différentes, il est important de ne pas dépendre uniquement d’une seule méthode qui peut ou non être la bonne approche pour chaque scénario. Certains scénarios peuvent ne nécessiter qu’une alerte en temps réel pour détecter efficacement les techniques de mouvement latéral, tandis que des attaques plus sophistiquées peuvent nécessiter à la fois une alerte et une enquête via une analyse comportementale pour identifier en toute confiance un acteur malveillant.
Cas d’utilisation du mouvement latéral
Voici un exemple de séquence d’attaque et de détection de mouvement latéral.
Attaquant: Reconnaissance
- L’attaquant initie la reconnaissance et la collecte d’informations à l’aide d’une combinaison d’outils tels que OpenVAS, Nmap, Shodan, etc.
Attaquant: Exploit
- L’attaquant exploite une vulnérabilité identifiée lors de la reconnaissance pour obtenir un accès initial.
Attaquant : Vol d’informations d’identification
- L’attaquant utilise une technique de spearphishing interne pour exploiter d’autres utilisateurs au sein de la même organisation et obtenir un meilleur accès.
SecOps: Alerte initiale
- Règle de corrélation déclenchée immédiatement en raison des indicateurs de phishing et de l’alerte générée
- Nouveau cas créé
- Enquête initiée
Attaquant: Escalade des privilèges
- Après un exploit de chasse sous-marine réussi, l’attaquant tente d’augmenter les privilèges pour accéder à la cible visée.
SecOps : Alerte supplémentaire déclenchée
- Une alerte est déclenchée en raison de la modification des privilèges.
- Une nouvelle alerte est ajoutée à un cas existant.
- SecOps poursuit l’enquête en utilisant l’analyse comportementale pour identifier l’activité anormale et ajouter du contexte aux alertes existantes.
Attaquant: Exfiltration de données
- L’attaquant lance une session RDP pour accéder à distance au serveur ciblé.
- L’attaquant affiche les données sensibles sur le serveur cible.
- L’attaquant commence à copier des fichiers à partir du serveur.
SecOps: Alerte supplémentaire déclenchée et Réponse
- Une alerte est déclenchée en raison de l’accès à un fichier sensible.
- Une alerte est déclenchée en raison de la copie du fichier.
- De nouvelles alertes sont ajoutées à un cas existant, qui dispose maintenant de preuves suffisantes pour commencer la réparation.
- SecOps lance une action automatisée pour déconnecter la session RDP de l’utilisateur et verrouiller l’utilisateur hors du serveur.
Prévention des mouvements latéraux
La réduction du temps nécessaire à votre équipe pour détecter et réagir aux mouvements latéraux réduira les chances qu’un acteur de la menace se déplace sur votre réseau et accède éventuellement à des données sensibles. Les solutions UEBA qui intègrent des fonctionnalités d’orchestration, d’automatisation et de réponse de sécurité (SOAR) peuvent aider votre équipe à identifier rapidement toutes les activités malveillantes associées pour une détection et une réponse rapides.
Regardez notre webinaire à la demande pour en savoir plus sur le marché de l’UEBA et sur la façon dont il peut donner à votre équipe une visibilité sur les menaces internes ici.