Wat is een laterale beweging in cyberbeveiliging?

Een zijwaartse stap in cybersecurity vindt plaats wanneer een aanvaller één account of apparaat in gevaar brengt en het compromis gebruikt om toegang te krijgen tot andere accounts of apparaten. Laterale beweging en escalatie van privileges gaan meestal hand in hand wanneer een aanvaller door het netwerk beweegt en steeds meer toegang blijft krijgen met steeds hogere privileges totdat gevoelige data worden gestolen. Aanvallers kunnen zijwaartse beweging verkrijgen zonder detectie als het netwerk geen monitoringtools heeft. Om laterale beweging te stoppen, hebben organisaties een veerkrachtige beveiligingsinfrastructuur nodig die afwijkende patronen kan detecteren. 

Inzicht in laterale beweging

Gevoelige data zijn meestal alleen toegankelijk met bevoorrechte gebruikersaccounts, die weinig in aantal zijn. Aan de andere kant zijn gebruikersaccounts met weinig privileges veel talrijker, waardoor aanvallers meer kansen krijgen wanneer ze een account nodig hebben voor een eerste compromittering. Zo zijn bedrijfsbelastingdocumenten doorgaans alleen toegankelijk voor accountants, CFO's en financiële analisten. Hoewel er slechts een paar van deze accounts zijn, kunnen accounts met een lager privileges worden gebruikt om malware in het netwerk te injecteren of phishing-e-mails naar financiële werknemers te sturen om hun accountgegevens te verkrijgen.

Laterale beweging kan aanvallers ook toegang geven tot andere apparaten. Een aanvaller compromittert bijvoorbeeld een account op een werkstation met lokale machinetoegang tot een server. Malware kan vervolgens op de server worden geïnstalleerd. De malware kan ransomware, een tool voor toegang op afstand (RAT) of een script zijn dat wordt gebruikt om data te exfiltreren. Bij de meeste laterale bewegingen is het doel om gevoelige data te verkrijgen. 

Technieken gebruikt in laterale beweging

In de meeste laterale bewegingen is het aanvankelijke compromis een zakelijk gebruikersaccount. Aanvallers krijgen toegang tot deze accounts met behulp van een paar strategieën: referentiesprays, passeer de hash, phishing of malware-injectie. Hier is een korte beschrijving van elke strategie:

• Referentiesprays: Aanvallers script authenticatieverzoeken met behulp van bekende referenties. Als gebruikers hetzelfde wachtwoord aan meerdere accounts toewijzen, is het mogelijk dat gestolen inloggegevens van één website een aanvaller op de zakelijke accounts van de gebruiker kunnen verifiëren, vooral als tweefactorauthenticatie niet is geconfigureerd.
• Passeer de hash: Hoewel een database met wachtwoordhashs geen waarde voor platte tekst onthult, kunnen brute-force woordenboekaanvallen de waarde voor platte tekst achter een hash blootleggen.
• Phishing: Bij BEC (Business Email Compromise) compromitteren aanvallers een e-mailaccount en sturen ze phishing-e-mails naar gebruikers met een hoger recht.
• Malware-injectie: Tools voor toegang op afstand en het afluisteren van malware op data kunnen toegang bieden tot andere machines of accounts op het netwerk.

Aanvallers gebruiken vaak phishing of malware om eerst toegang te krijgen tot een account met weinig privileges. Met behulp van het e-mailaccount van die gebruiker stuurt de aanvaller een bericht naar een andere gebruiker in financiën, human resources of in het executive team om toegang tot een specifieke resource te vragen. Als het phishing-doel dit verplicht, heeft de aanvaller nu toegang tot gevoelige data.

Tools en technologieën die laterale beweging vergemakkelijken

Cybercriminelen maken gebruik van een set tools om verschillende aanvallen uit te voeren. Groepen aanvallers bouwen misschien hun eigen, maar de hackinggemeenschap heeft eigen open, gratis te gebruiken applicaties. Hier zijn een paar voorbeelden:

• Mimikatz: Sommige programma's cachen referenties in het geheugen. Mimikatz doorzoekt het computergeheugen voor gecachede referenties om toegang te krijgen tot andere servers of werkstations.
• PsExec: Microsoft ontwikkelde PsExec voor netwerkbeheerders. Hiermee kunnen beheerders diensten op externe servers starten of stoppen. In de verkeerde handen kan PsExec worden gebruikt om malware op een externe server te starten. De malware kan worden gebruikt om data of inloggegevens te stelen.
• PowerShell: PowerShell is de Microsoft-versie van scripting en scripttalen, maar kan worden gebruikt om toegang te krijgen tot computers op afstand, malware te downloaden naar een lokaal apparaat of kwaadaardige activiteiten op het netwerk uit te voeren.

Detecteren en voorkomen van laterale beweging

Na een eerste compromittering heeft een aanvaller beperkte tijd om privileges te verhogen of zich lateraal over het netwerk te verplaatsen. Vóór de breakout van het low-privileged account moeten organisaties vreemd netwerkgedrag detecteren om extra schade te voorkomen na een eerste datalek. Organisaties hebben verschillende strategieën om afwijkende activiteit te detecteren en laterale beweging te stoppen:

• Gebruik endpointbescherming: Agenten die draaien op eindpunten (bijv. cloudinfrastructuur of apparaten op afstand) werken automatisch software bij, zorgen ervoor dat antivirus draait en voorkomen dat malware wordt geïnstalleerd.
• Netwerkmonitoring mogelijk maken: Gebruik oplossingen voor netwerkmonitoring om voortdurend gedragspatronen van gebruikersaccounts te bekijken. Een verhoogd aantal toegangsverzoeken op een belastingdocument na het belastingseizoen kan bijvoorbeeld wijzen op een compromis. Netwerkmonitoring waarschuwt beheerders om de activiteit te bekijken.
• Bied beveiligingstraining aan: Train bevoorrechte gebruikers om phishing en social engineering te identificeren.
• Configureer netwerksegmentatie: Het segmenteren van uw netwerk blokkeert de toegang van het ene segment naar het andere segment dat gevoelige informatie opslaat. Het financiële segment moet bijvoorbeeld verzoeken van het verkoopsegment blokkeren. Deze strategie vermindert de mobiliteit van een laterale beweging.
• Versleutel data: Als u lijdt aan een datalek, zijn versleutelde data onleesbaar voor een aanvaller.

Conclusie

Om laterale beweging te stoppen, is proactieve detectie en monitoring de sleutel tot succes, het segmenteren van uw netwerk en het beschermen van apparaten. Nalevingsvoorschriften vereisen ook het monitoren en controleren van verzoeken om toegang tot gevoelige data. SIEM (beveiligingsinformatie en eventmanagement) is een goede oplossing voor het monitoren en waarschuwen van beheerders voor ongewoon gedrag. Als aanvulling op uw beveiligingsinfrastructuur moet u training geven aan werknemers en aannemers om hen te helpen potentiële aanvallen zoals phishing te identificeren en te melden.