Les acteurs malveillants accèdent à une application d'entreprise par le biais du phishing ou en exploitant des vulnérabilités non corrigées, usurpent l'identité d'un utilisateur légitime et utilisent des mouvements latéraux pour pénétrer toujours plus profondément dans diverses parties du réseau.
Là, ils peuvent exfiltrer des données, paralyser et manipuler des systèmes et des bases de données ou mener d'autres attaques. Les auteurs de la menace ne frappent pas directement, mais tentent plutôt d’opérer en arrière-plan le plus longtemps possible, inaperçus. L'objectif de la plupart des cybercriminels est de voler ou de crypter des données afin d'extorquer de l'argent en rançon – c'est-à-dire des attaques de ransomware. Plus les attaquants passent inaperçus dans les réseaux de leurs victimes, plus ils peuvent obtenir de données, d'informations et de droits d'accès et plus les dommages potentiels sont importants. Une approche populaire est le chaînage de vulnérabilités, c'est-à-dire l'enchaînement de plusieurs vulnérabilités. Dans son Labs Threat Report, Arctic Wolf a résumé les vulnérabilités les plus fréquemment exploitées dont les entreprises devraient être conscientes et corrigées. Différentes techniques sont utilisées pour les mouvements latéraux :
- Exploitation des services à distance
- Phishing interne
- Transfert d'outil latéral
- Détournement à distance
- Protocole de bureau à distance
- Connexion au service cloud
- Jeton d'accès aux applications
Le temps écoulé jusqu’à ce qu’un mouvement latéral se produise est appelé « temps d’évasion ». Si une attaque peut être stoppée dans ce laps de temps, les coûts, les dommages et les interruptions ou temps d'arrêt potentiels de l'activité peuvent être considérablement réduits, voire complètement évités.
Détecter et arrêter les mouvements latéraux
- Surveillance de l'environnement informatique Temps réel: Des solutions de surveillance modernes, telles que B. La détection et la réponse gérées (MDR) peuvent inclure des activités inhabituelles (par exemple, un utilisateur se connectant à une application à laquelle il ne se connecte normalement pas), des changements de règles au sein des applications ou une activité soudaine d'un seul utilisateur au sein de l'infrastructure informatique. Les entreprises peuvent surveiller ces activités et les comparer avec les techniques ci-dessus et les modèles de comportement correspondants pour détecter rapidement les cas de mouvement latéral et empêcher les attaquants de se déplacer de manière non autorisée dans l'environnement informatique.
- Analyse du comportement : Étant donné que de nombreux TTP contiennent des outils largement accessibles et des comptes d'utilisateurs compromis, une analyse comportementale avancée est nécessaire pour identifier de manière fiable les anomalies et les intentions malveillantes.
Détecter et arrêter un mouvement latéral n’est pas facile. Mais précisément parce que les cybercriminels peuvent utiliser cette tactique pour accéder à des couches informatiques profondes, les mesures de protection contre ces attaques constituent un élément important de la cybersécurité. Ils peuvent faire la différence entre un incident de sécurité qui n’est qu’une tentative d’attaque qui a été étouffée dès le début, ou un piratage réussi qui paralyse les entreprises ou permet aux attaquants de chiffrer les systèmes et les données et d’extorquer des rançons.
Plus sur ArcticWolf.com
À propos du loup arctique Arctic Wolf est un leader mondial des opérations de sécurité, fournissant la première plate-forme d'opérations de sécurité native dans le cloud pour atténuer les cyber-risques. Basé sur la télémétrie des menaces couvrant les points finaux, le réseau et les sources cloud, Arctic Wolf® Security Operations Cloud analyse plus de 1,6 billion d'événements de sécurité par semaine dans le monde. Il fournit des informations essentielles à l'entreprise dans presque tous les cas d'utilisation de la sécurité et optimise les solutions de sécurité hétérogènes des clients. La plateforme Arctic Wolf est utilisée par plus de 2.000 XNUMX clients dans le monde. Il fournit une détection et une réponse automatisées aux menaces, permettant aux organisations de toutes tailles de mettre en place des opérations de sécurité de classe mondiale en appuyant simplement sur un bouton.
Articles liés au sujet