Le mouvement latéral est un type d'activité de réseau informatique qui implique le transfert latéral ou le mouvement non autorisé à travers un réseau d'un système informatique à un autre. Il s'agit d'une technique couramment utilisée par un attaquant pour accéder à d'autres systèmes sur un réseau ou à des segments de réseau une fois qu'un ordinateur est compromis, permettant ainsi à des acteurs malveillants de traverser davantage un réseau. Les mouvements latéraux peuvent couvrir diverses activités, telles que l'authentification auprès d'un système déjà compromis, l'exécution d'exploits locaux ou le développement de nouveaux exploits, l'augmentation des privilèges et le proxy des connexions réseau.
Le mouvement latéral s'effectue souvent par deux méthodes courantes : passer le hachage et passer le ticket. Le pass-the-hash est une attaque dans laquelle un attaquant capture la valeur de hachage du mot de passe d'un utilisateur (généralement via une attaque de phishing) et l'utilise pour s'authentifier auprès d'autres systèmes du réseau. Pass-the-ticket est une attaque dans laquelle l'attaquant capture le ticket d'octroi de tickets Kerberos (TGT) de l'utilisateur et l'utilise pour s'authentifier auprès d'autres systèmes du réseau.
Les méthodes courantes de mouvement latéral incluent également l'exécution de code à distance, la manipulation de fichiers, la création de tâches, la manipulation WMI et la manipulation de services. Les techniques de mouvement latéral varient en fonction de la posture de sécurité du réseau cible, mais toutes les tentatives de découverte et de déplacement latéral à travers un réseau cible nécessitent un certain type de reconnaissance. Une fois la présence établie, il est possible d’accéder à des systèmes sensibles et de voler des données sensibles ou de lancer des attaques supplémentaires. En tant que tel, le mouvement latéral est un élément clé de la surveillance de la sécurité du réseau et constitue une étape d’activité permettant d’identifier une attaque et d’y répondre.
La défense contre les mouvements latéraux nécessite une approche de sécurité globale, comprenant l'authentification multifactorielle, la segmentation des comptes privilégiés, l'application de correctifs sécurisés et la surveillance des tentatives de mouvements latéraux à l'aide d'analyses avancées et de renseignements sur les menaces. Les entreprises doivent s’assurer d’auditer toutes les activités du système pour détecter tout comportement suspect et rechercher les vecteurs d’attaque malveillants couramment utilisés dans leur environnement.
