Lateral Movement – avansert cyberkriminalitet

Lateral Movement er en teknikk cyberkriminelle benytter seg av for å bevege seg i et kompromittert nettverk. Bevegelsene ser ut som vanlig applikasjon-/nettverkstrafikk og vil ikke uten videre lyse opp som unormal eller mistenkelig trafikk. Dette gjør at de kan bevege seg mer eller mindre uhemmet i søken på informasjon de ønsker å hente ut.

Angriperen benytter seg av ulike verktøy og teknikker for å oppnå høyere privileger og tilgang. Etter hvert som de blir kjent med nettet kan de ende opp med en mer nøyaktig dokumentasjon på applikasjoner, avhengigheter og nettverk enn IT-avdelingen.

Når angriperne får full systemtilgang

Hvis administrative rettigheter blir kompromittert, slik at angriperen har full systemtilgang, vil det være nesten umulig å oppdage at systemet er under fremmed kontroll. Hvis angrepet oppdages er det ofte avsluttet og angriperne har allerede forlatt systemet med den informasjonen de var ute etter.

Daglig blir nye systemer angrepet og kompromittert. Angriperne kan være sofistikerte og målrettede eller benytte seg av automatiserte programmer som benytter seg av kjente feil og svakheter i maskiner, i programvare og hos sluttbrukere.

Det er viktigere enn noen gang å ha et sikkerhetsteam som raskt og presist kan oppdage «lateral movement».

Hvordan oppdage og skadebegrense Lateral Movement?

De tradisjonelle sikkerhetsverktøyene genererer store mengder logger, noe som gjør at viktig informasjon kan bli oversett. Angrepsmønstre blir ikke oppdaget så utbrudd og spredning av skadelig programvare blir ikke stoppet.

Ved å komplettere den tradisjonelle perimeter sikkerheten med verktøy som korrelerer og analyserer applikasjonsoppførsel både i nettverket og på endepunktet vil en få mulighet til å oppdage unormal trafikk. En kan også innføre maskinlæring/AI i større eller mindre grad for å automatisere respons på en trussel som er oppdaget. Et siste grep er å ta i bruk mikrosegmentering.

Ved å opprette en profil på hvordan normaltilstanden på et nettverk er, vil en lettere kunne oppdage avvik og adressere de fortløpende. Et eksempel er at hvis et endepunkt blir identifisert som infisert, kan det automatisk settes i en karantene samtidig som det opprettes regler i nettet for å stoppe tilsvarende angrep. Karantene sonen har begrenset tilgang og vil tillate en administrator å rette/friskmelde endepunktet og flytte det tilbake til full drift.

Vil du vite mer?

Ta kontakt


Jon-Anders Frigård er Senior IT Architect og sikkerhetsekspert hos Conscia Norge.