Le mouvement latéral, ou trafic latéral, est la progression d'un attaquant du réseau à travers le réseau une fois qu'il a violé celui-ci. Le mouvement latéral est également connu sous le nom de trafic est-ouest, indiquant une progression horizontale à travers un réseau déjà brisé, et contraste avec le trafic nord-sud, ou entrant pour la première fois dans le réseau. Les mouvements latéraux sont difficiles à suivre pour les organisations car une fois qu'un attaquant est entré dans un réseau, son trafic semble normal. Il est difficile de faire la distinction entre un attaquant et des utilisateurs autorisés car ils ont déjà obtenu l'accès.
Raisons du mouvement latéral
Les attaquants peuvent obtenir un accès initial à un réseau en utilisant:
- Appareils des employés, en particulier dans l'Internet des objets. Les appareils IoT ont moins de protocoles de sécurité que les smartphones et les ordinateurs. Si un attaquant accède à un appareil IoT qui se connecte au réseau de l'entreprise, il peut alors être en mesure de se frayer un chemin dans le réseau.
- Nom de la société courriel :. L'ingénierie sociale repose fortement sur des e-mails frauduleux, qui peuvent demander à un employé ses informations d'identification ou inclure des logiciels malveillants. Une fois que l'attaquant a ces informations, il peut accéder au réseau en tant qu'utilisateur de confiance.
- Malveillant logiciel installé sur un ordinateur de l'entreprise: si un attaquant convainc un employé de cliquer sur un lien, un logiciel malveillant pourrait s'installer sur cet ordinateur et donner à l'attaquant une voie d'accès au réseau.
La sécurité réseau traditionnelle ne gère pas bien les mouvements latéraux car elle ne dispose pas de bonnes méthodes pour protéger l'intérieur du réseau privé. Toute personne autorisée à traverser le pare-feu au périmètre peut alors parcourir le réseau à sa guise. Cela rend également plus difficile pour les organisations de trouver une menace une fois qu'elle est à l'intérieur, surtout si l'attaquant a volé les informations d'identification d'un employé. Le tri de toutes les données à la fois manuellement et efficacement est impossible pour la plupart des équipes informatiques.
Combattre les mouvements latéraux avec XDR
Dans les solutions de sécurité réseau traditionnelles, les logiciels et les systèmes séparés ne sont pas centralisés: ils sont cloisonnés. Il est plus difficile pour une entreprise de gérer la sécurité de son réseau lorsque plusieurs applications analysent des données. Une solution centralisée de détection et de réponse aux menaces qui peut analyser toutes les données et les modèles de notification est un meilleur moyen de surveiller un réseau.
La détection et la réponse étendues (XDR) est l'un des meilleurs choix pour les grandes entreprises, car elle supprime les silos entre les solutions de sécurité. XDR surveille toutes les données des applications et des serveurs. Une solution XDR comprend l'automatisation, ce qui fait gagner du temps aux équipes informatiques et d'ingénierie.
Certaines solutions XDR implémentent l'apprentissage automatique, qui étudie les modèles dans les données et apprend finalement à remarquer les anomalies et à hiérarchiser les alertes aux équipes technologiques, comme pour l'analyse du comportement des utilisateurs et des entités (UEBA). Si elles sont suffisamment formées, les machines peuvent interpréter les mots et aussi leur contexte pour mieux comprendre une situation. Si un certain ordinateur, compte ou serveur se comporte de manière inhabituelle, une bonne solution de détection et de réponse du réseau le remarquera et prendra des mesures proactives pour en trouver la cause. XDR ne détecte pas seulement les menaces, mais les suit également et les traite rapidement.
La confiance zéro et la microsegmentation sont d'autres technologies conçues pour limiter l'accès en cas de violation ou de vol d'informations d'identification.