Au fil de l'évolution du paysage des menaces, l'équipe de Vectra a pu constater qu'une part importante des budgets informatiques est consacrée à renforcer les équipes de sécurité et la protection du périmètre réseau. L'objectif des entreprises est d'améliorer la détection des menaces et d'accélérer le tri des alertes.

Malheureusement, cette démarche est fondée sur un postulat erroné.

C'est d'ailleurs un constat sur lequel s'accordent les professionnels de la sécurité, comme en atteste une recommandation technique récente de Gartner. Dans cet article de son blog, Gartner souligne que « pendant de nombreuses années, la détection des menaces réseau a reposé presqu'exclusivement sur les systèmes de détection et de prévention des intrusions (IDPS) ».
« Les systèmes d'analyse du trafic réseau actuels partagent certains points communs avec ces premiers systèmes IDS basés sur les anomalies, mais leur objectif est radicalement différent et ils se concentrent beaucoup moins sur la détection des intrusions initiales », indique le rapport. « Les différences d'intention et d'approche ont étendu l'utilisation des données réseau dans le cadre de la sécurité à d'autres outils modernes, tels que l'analyse du trafic réseau. »

Bien qu'il y ait plusieurs raisons à cela, la capacité à voir le trafic est-ouest est fondamentale. En effet, l'entreprise est dans son état le plus vulnérable lorsqu'elle subit un mouvement latéral : celui-ci implique que les vulnérabilités ont été exploitées et les périmètres, contournés.

Les cyberattaquants s'empressent de se déplacer latéralement pour atteindre d'autres points stratégiques du réseau, collecter des informations et exfiltrer ou détruire des données. Il en va de même lorsqu'une entreprise est confrontée à une menace interne.

Bien sûr, le raisonnement qui sous-tend cette approche est parfaitement valable. Mais deux questions pratiques se posent : quels comportements dois-je rechercher ? Et comment puis-je identifier ces comportements de façon précise et efficace ?

Chez Vectra, nous observons et identifions les comportements de mouvements latéraux sur les réseaux de nos clients lorsqu'ils choisissent de partager les métadonnées avec nous. Selon notre dernier rapport Tendances des comportements d'attaque en entreprise, publié lors de la conférence RSA 2019 du mois dernier, il s'agit d'un comportement de plus en plus courant.

Lorsque vous réfléchissez à la façon d'aider vos équipes de sécurité à repérer les comportements révélateurs des mouvements latéraux, évaluez la capacité de vos outils et processus à identifier et neutraliser efficacement les comportements ci-dessous, que nous observons fréquemment :

Réplication automatisée. Un système interne envoie des charges actives similaires à plusieurs cibles internes. Ce comportement peut être dû à un système infecté qui envoie un ou plusieurs exploits à d'autres systèmes pour les infecter.

Mouvement en force. Un système interne tente de se connecter trop fréquemment à un autre système interne. Ces comportements sont observés sur différents protocoles (p. ex. RDP, VNC, SSH) et pourraient indiquer des activités de collecte de données en mémoire.

Activités malveillantes sur un compte Kerberos. Un compte Kerberos est utilisé selon un taux largement supérieur à ses valeurs de référence et la plupart des tentatives de connexion échouent.

Comportements d'administration suspects. Le système utilise des protocoles correspondant à une activité administrative (p. ex. RDP, SSH) d'une manière jugée suspecte.

Mouvement en force via SMB. Un système interne utilise le protocole SMB pour effectuer de nombreuses tentatives de connexion à l'aide des mêmes comptes. Ces comportements sont caractéristiques des attaques en force destinées à deviner les mots de passe.
Bien entendu, la gravité et la fréquence varient en fonction de votre domaine et secteur d'activité. Pour en savoir plus sur les comportements d'attaque les plus courants dans votre secteur, lisez le rapport Tendances des comportements d'attaque en entreprise.

Je vous suggère aussi de contacter un représentant de Vectra pour une discussion consultative sur le large éventail de comportements d'attaque que nous avons codifiés dans notre plate-forme Cognito de détection des menaces et d'aide à la résolution des incidents optimisée par l'intelligence artificielle.

*Gartner Blog Network, « Applying Network-Centric Approaches for Threat Detection and Response », publié par Anton Chuvakin le 19 mars 2019