Il y a quelques années à peine, le mouvement latéral était une tactique réservée aux principales organisations de cybercriminalité de l’APT et aux opérateurs des États-nations. Aujourd’hui, cependant, il est devenu un outil banalisé, bien dans les compétences de tout acteur de menace de ransomware. Cela fait de la détection et de la prévention en temps réel des mouvements latéraux une nécessité pour les organisations de toutes tailles et dans tous les secteurs. Mais la vérité troublante est qu’il n’y a en fait aucun outil dans la pile de sécurité actuelle qui puisse fournir cette protection en temps réel, créant ce qui est sans doute la faille de sécurité la plus critique dans l’architecture de sécurité d’une organisation.
Dans cet article, nous allons passer en revue les questions les plus essentielles concernant le défi de la protection contre les mouvements latéraux, comprendre pourquoi l’authentification multifacteur (MFA) et la protection des comptes de service sont les lacunes qui la rendent possible, et apprendre comment la plate-forme de Silverfort renverse la situation des attaquants. et rend la protection contre les mouvements latéraux enfin à portée de main.
Webinaire à venir : Si vous souhaitez en savoir plus sur le mouvement latéral et comment le prévenir en temps réel, nous vous invitons à inscrivez-vous à notre prochain webinaire. Des experts de l’industrie partageront des informations précieuses sur le sujet et répondront à toutes vos questions.
Prêt? Commençons.
Pourquoi le mouvement latéral est-il un risque critique pour une organisation ?
Le mouvement latéral est l’étape où la compromission d’un point de terminaison unique devient la compromission de postes de travail et de serveurs supplémentaires dans l’environnement ciblé. C’est la différence entre une seule machine chiffrée et un éventuel arrêt opérationnel. Le mouvement latéral est utilisé dans plus de 80 % des attaques de ransomwares, ce qui en fait un risque pour chaque organisation dans le monde prête à payer pour racheter ses données aux attaquants.
Alors, comment fonctionne réellement le mouvement latéral ?
C’est en fait assez simple. Contrairement aux logiciels malveillants, qui se présentent sous de nombreuses formes différentes, le processus de déplacement latéral est simple. Dans un environnement organisationnel, chaque utilisateur connecté à un poste de travail ou à un serveur peut accéder à des machines supplémentaires dans cet environnement en ouvrant une invite de ligne de commande et en tapant une commande de connexion, ainsi que son nom d’utilisateur et son mot de passe. Cela signifie que tout ce qu’un adversaire doit faire pour se déplacer latéralement est de mettre la main sur un nom d’utilisateur et un mot de passe valides. Une fois obtenues, l’attaquant peut alors utiliser ces informations d’identification compromises pour accéder aux ressources comme s’il s’agissait d’un utilisateur légitime.
Cela semble simple, alors pourquoi est-ce difficile à prévenir ?
Aussi surprenant que cela puisse paraître, il n’y a en fait aucun outil dans la pile d’identité ou de sécurité qui peut détecter et empêcher les mouvements latéraux en temps réel. En effet, ce qui est requis, c’est la capacité d’intercepter l’authentification elle-même, où l’attaquant fournit les informations d’identification compromises à Active Directory (AD). Malheureusement, AD – en tant que logiciel hérité – n’est capable que d’un seul contrôle de sécurité : si le nom d’utilisateur et le mot de passe correspondent. S’ils le font, l’accès est accordé ; sinon, l’accès est refusé. AD n’a pas la capacité de faire la différence entre une authentification légitime et une authentification malveillante, seulement la capacité de valider les informations d’identification fournies.
Mais l’AMF ne devrait-elle pas être en mesure de résoudre ce problème ?
En théorie. Mais voici le problème : vous vous souvenez de la fenêtre de ligne de commande mentionnée précédemment sur la façon dont le mouvement latéral est exécuté ? Devinez quoi. L’accès à la ligne de commande est basé sur deux protocoles d’authentification (NTLM et Kerberos) qui ne prennent pas en charge MFA. Ces protocoles ont été écrits bien avant que la MFA n’existe. Et par « ne prend pas en charge », nous entendons ici que vous ne pouvez pas ajouter au processus d’authentification une étape supplémentaire qui dit, « ces informations d’identification sont valides mais attendons que l’utilisateur vérifie son identité ». C’est ce manque de protection MFA dans l’environnement AD – un angle mort clé – qui permet aux attaques par mouvement latéral de continuer à se produire.
À ce stade, vous vous demandez peut-être pourquoi en 2023 nous utilisons encore une technologie d’il y a plus de 20 ans qui ne prend pas en charge une mesure de sécurité de base telle que MFA. Vous avez raison de poser cette question, mais pour le moment, ce qui est plus important, c’est le fait que c’est la réalité dans près de 100 % des environnements, y compris le vôtre. C’est pourquoi il est essentiel de comprendre ces implications en matière de sécurité.
La création de politiques MFA faciles à mettre en œuvre pour tous vos comptes privilégiés est le seul moyen de s’assurer qu’ils ne sont pas compromis. Sans avoir besoin de personnalisations ou de dépendances de segmentation du réseau, vous pouvez être opérationnel en quelques minutes avec Silverfort. Découvrez comment protéger vos comptes privilégiés de compromis rapidement et en toute transparence grâce à des politiques d’accès adaptatives qui appliquent aujourd’hui la protection MFA sur toutes les ressources sur site et dans le cloud.
N’oublions pas les comptes de service – invisibles, hautement privilégiés et presque impossibles à protéger
Pour ajouter une autre dimension au défi de la protection contre les mouvements latéraux, gardez à l’esprit que tous les comptes ne sont pas créés égaux. Certains d’entre eux sont matériellement plus sensibles aux attaques que d’autres. Les comptes de service, utilisés pour l’accès de machine à machine, en sont un excellent exemple. Ces comptes ne sont associés à aucun utilisateur humain, ils sont donc moins surveillés et parfois même oubliés par l’équipe informatique. Mais ils ont généralement des privilèges d’accès élevés et peuvent accéder à la plupart des machines de l’environnement. Cela en fait une cible de compromis attrayante pour les acteurs de la menace, qui les utilisent chaque fois qu’ils le peuvent. Ce manque de visibilité et de protection des comptes de services est le deuxième angle mort sur lequel s’appuient les acteurs du mouvement latéral.
Silverfort permet une protection en temps réel contre les mouvements latéraux
Silverfort lance la première plate-forme de protection unifiée de l’identité capable d’étendre la MFA à n’importe quelle ressource, qu’elle prenne en charge nativement la MFA ou non. Utilisant une technologie sans agent et sans proxy, Silverfort s’intègre directement à AD. Avec cette intégration, chaque fois qu’AD reçoit une demande d’accès, il la transmet à Silverfort. Silverfort analyse ensuite la demande d’accès et, si nécessaire, défie l’utilisateur avec MFA. Sur la base de la réponse de l’utilisateur, Silverfort détermine s’il doit ou non faire confiance à l’utilisateur et transmet le verdict à AD qui accorde ou refuse l’accès si nécessaire.
Empêcher le mouvement latéral à la racine #1 : Extension de MFA à l’accès en ligne de commande
Silverfort peut appliquer la protection MFA à n’importe quel outil d’accès en ligne de commande – PsExec, Remote PowerShell, WMI et tout autre. Avec une politique MFA activée, si un attaquant tente d’effectuer un mouvement latéral via la ligne de commande, Silverfort enverra une invite MFA à l’utilisateur réel, lui demandant de vérifier s’il a initié cette tentative d’accès. Lorsque l’utilisateur nie cela, l’accès est bloqué, ce qui laisse l’attaquant perplexe quant à la raison pour laquelle une méthode qui a parfaitement fonctionné dans le passé s’est maintenant heurtée à un mur de briques.
Empêcher les mouvements latéraux à la racine #2 : Visibilité et protection automatisées des comptes de service
Bien que les comptes de service ne puissent pas être soumis à la protection MFA (en tant qu’utilisateurs non humains, ils ne peuvent pas confirmer leur identité avec une notification par téléphone portable), ils peuvent toujours être protégés. En effet, les comptes de service (contrairement aux utilisateurs humains) affichent un comportement hautement répétitif et prévisible. Silverfort en tire parti en automatisant la création de politiques pour chaque compte de service. Lorsqu’ils sont activés, ils peuvent envoyer une alerte ou bloquer complètement l’accès au compte de service chaque fois qu’une activité standard déviante est détectée. L’utilisation malveillante d’un compte de service compromis crée inévitablement une déviation car même si l’attaquant dispose des informations d’identification du compte de service, il ne connaîtrait pas l’utilisation standard du compte. Le résultat serait que toute tentative d’utilisation d’un compte de service compromis pour un mouvement latéral serait stoppée net.
Considérez-vous le mouvement latéral comme un risque que vous devez gérer ? Programmer un appel avec l’un de nos experts.
