Réduction des ransomwares 101 : mouvement latéral entre les points d'extrémité

Au pire moment, les ransomwares représentent une menace plus grande que jamais, ramenant les opérations informatiques au papier et au crayon et mettant à mal les entreprises au moment où elles peuvent le moins se le permettre. En pleine pandémie, nous avons assisté à la montée en puissance des ransomwares dans le secteur de la santé. Pour ceux d'entre nous qui ont des enfants qui apprennent à distance, le ransomware est le nouveau jour de neige.

Pourquoi y a-t-il encore autant d'attaques de ransomware réussies ?

Qu'est-ce que le mouvement latéral ?

On parle de mouvement latéral lorsqu'un intrus ou une attaque franchit votre périmètre, puis se déplace latéralement dans un environnement vers d'autres machines, ce qui entraîne une violation de données beaucoup plus importante et plus coûteuse. Il peut s'agir d'un point final ou même d'une charge de travail compromise dans un centre de données, de la mise hors service de dizaines de milliers d'ordinateurs d'utilisateurs finaux, ou même du ciblage stratégique des actifs les plus précieux de votre centre de données.

Le cadre ATT& CK de MITRE le dit clairement : "l'adversaire essaie de se déplacer dans votre environnement". Cela signifie que nous devons non seulement nous efforcer d'empêcher les menaces de s'implanter, mais aussi de stopper les mouvements latéraux de l'attaquant. Il s'agit désormais d'un aspect tellement fondamental du travail d'un défenseur que le MITRE ATT&CK mentionne le mouvement latéral comme une technique d'attaque clé contre laquelle il faut se défendre. 

Pourquoi les logiciels malveillants réussissent-ils si bien à se propager en utilisant les mouvements latéraux entre les points d'extrémité ? Pour comprendre pourquoi, il faut d'abord examiner comment la sécurité traditionnelle des applications protège le centre de données, mais pas toujours le point d'accès.

Mouvement latéral dans le centre de données

La sécurité des centres de données se concentre sur les communications client-serveur entre les points d'extrémité et le serveur. Dans la plupart des applications professionnelles actuelles basées sur un navigateur, lorsqu'un utilisateur saisit l'URL de l'application dans la fenêtre de son navigateur, ce dernier ouvre une connexion à un serveur web fonctionnant dans un centre de données ou dans un nuage public. Les machines des utilisateurs finaux communiquent avec ces serveurs frontaux par le biais de ports standard tels que 80 et 443. Les serveurs web situés derrière le périmètre de l'entreprise sont sécurisés par des pare-feu, des IPS, des systèmes de détection et de réponse et d'autres technologies de sécurité des centres de données. Les serveurs frontaux sont connectés à la logique d'entreprise, à la base de données et à d'autres types de serveurs, le tout dans les limites du centre de données ou de l'environnement en nuage.

C'est là que le mouvement latéral peut faire des dégâts. Si un serveur ou une charge de travail externe est compromis(e) par une vulnérabilité, un attaquant peut se déplacer latéralement de la charge de travail compromise vers les endroits où résident des données précieuses, comme les serveurs de base de données. Dans un réseau plat sans micro-segmentation, cela n'est pas du tout difficile.

Grâce à une segmentation efficace, tous ces serveurs "internes" sont protégés des menaces extérieures. La micro-segmentation empêche les attaquants ou les menaces de se propager ou de se déplacer latéralement, ou "est-ouest", dans les centres de données, les nuages ou les réseaux de campus.  Une menace est confinée au segment de réseau ou d'hôte mis en place, de sorte que les attaquants ne peuvent pas se déplacer vers d'autres parties de l'environnement. Cela permet de mieux protéger les organisations contre les violations en limitant leur taille et leur impact.

Mouvement latéral d'un point final à l'autre

Pourquoi cela ne suffit-il pas à stopper les ransomwares ? La réponse est que le ransomware n'a pas besoin de communiquer avec le serveur pour se propager. Il peut se propager d'un point à l'autre à des dizaines de milliers de machines en quelques secondes.

Les rançongiciels partent généralement d'un point d'extrémité et se propagent directement à d'autres points d'extrémité via RDP, SMB, SIP, Skype, etc. Les applications peer-to-peer (P2P) entre les points d'extrémité créent ce mouvement latéral, ou connexion est-ouest, qui n'implique pas de communication entre les points d'extrémité et les serveurs. Alors que la plupart des applications d'entreprise modernes s'appuient uniquement sur des connexions sortantes - le point d'accès initiant des connexions avec le serveur - les technologies P2P exploitent les connexions entrantes des points d'accès voisins. Ces terminaux communiquent sans passer par un serveur ou un centre de données, ce qui signifie qu'ils s'appuient sur la sécurité qui existe sur le terminal lui-même.

Empêcher les mouvements latéraux entre les points d'aboutissement

Quels sont les défis à relever pour sécuriser les mouvements latéraux entre les points d'extrémité ?

Visibilité - les connexions latérales entre les terminaux d'un même sous-réseau, par exemple, seront invisibles pour les pare-feu et les passerelles, ce qui rendra ces dispositifs de sécurité totalement inefficaces pour détecter et prévenir les menaces associées. Cela signifie également un manque total de visibilité sur ce qui se passe à la maison pour les employés travaillant à distance.

Qu'en est-il de la sécurité des points d'accès? Bien qu'ils puissent détecter et réagir, les outils EDR et EPP fonctionnant sur le poste de travail réagissent aux menaces. En d'autres termes, il ne fonctionne qu'après une violation, au lieu d'empêcher sa propagation dès le départ.

Confiance zéro pour le point final

La meilleure pratique pour empêcher la propagation des violations est d'adopter une politique de sécurité "zéro confiance". Cela signifie qu'il est obligatoire d'établir une liste de services approuvés à exécuter entre les points d'extrémité, les autorisations n'étant accordées que pour l'accès à des fins professionnelles légitimes.

Si vous avez déjà essayé de télécharger et d'installer une application P2P, comme Skype, sur votre ordinateur portable lors d'un nouveau travail et que vous avez reçu un message désagréable de la part du service informatique, vous comprenez comment cela fonctionne. Les utilisateurs ne doivent accéder qu'aux ressources approuvées par l'entreprise, pour la protection de tous.

Alors que les menaces de sécurité évoluent et que les pirates parrainés par des États deviennent de plus en plus sophistiqués, les solutions de sécurité doivent s'adapter pour rester pertinentes. Les solutions Zero Trust peuvent protéger plusieurs systèmes de manière proactive, en offrant une couverture de sécurité basée sur des principes de base et un faible taux de faux positifs. Des outils logiciels comme Illumio Edge ouvrent la voie à une gestion évolutive des pare-feu basés sur l'hôte et offrent des protections de sécurité sans précédent et une défense contre les mouvements latéraux malveillants.

Apprenez-en plus sur Illumio Edge sur notre site Web ou inscrivez-vous dès aujourd'hui à notre webinaire^{du 21 décembre.}