Lateral Movement är en teknik som cyberkriminella använder för att flytta sig i ett kapat nätverk. Rörelserna ser ut som normal nätverkstrafik vilket gör att de kan röra sig mer eller mindre obehindrat i sökningen efter den information de letar efter.
I Lateral Movement använder angriparen olika verktyg och tekniker för att få högre privilegier och åtkomst. I takt med att de lär känna nätverket kan de till slut få tillgång till mer exakt dokumentation av applikationer, beroenden och av nätverket än den egna IT-avdelningen.
Om de administrativa rättigheterna kapas så att angriparen får full systemåtkomst, är det nästan omöjligt att upptäcka att systemet är under någon utomståendes kontroll. Och om attacken upptäcks är den ofta redan avslutad och angriparna har redan lämnat systemet med den information de var ute efter.
Varje dag blir nya system attackerade och kapade. Angriparna kan vara sofistikerade och målinriktade eller använda automatiserade program som utnyttjar kända buggar och svagheter i maskiner, programvara och hos slutanvändare.
Det är viktigare än någonsin att ha ett säkerhetsteam som snabbt och säkert kan upptäcka lateral movement. Lateral Movement är en del av stegen i den attackkedja de flesta hackers behöver gå igenom – se filmen om Kill Chain vi gjort med Cisco här.
Hur kan du upptäcka och begränsa skadorna av Lateral Movement?
Traditionella säkerhetsverktyg genererar stora mängder loggar, vilket gör att man kan missa viktig information. Om man inte upptäcker angreppsmönster missar man också möjligheten att stoppa spridning av skadlig programvara.
Genom att komplettera det traditionella skalskyddet med verktyg som korrelerar och analyserar applikationsbeteenden både i nätverket och i ändpunkterna, får man möjlighet att upptäcka onormal trafik. Man kan också införa maskininlärning/AI i större eller mindre utsträckning för att automatisera svar på upptäckta hot.
Genom att skapa en profil för nätverkets normala tillstånd, blir det lättare att upptäcka avvikelser och att kontinuerligt adressera dem. Om exempelvis en ändpunkt identifieras som infekterad, kan den automatiskt sättas i karantän samtidigt som det skapas regler i nätverket för att stoppa liknande attacker. Karantänzonen har begränsad åtkomst och tillåter en administratör att åtgärda ändpunkten och flytta den tillbaka till full drift.
Fem grundläggande råd för att skydda sitt nätverk har vår Mikael Gustafsson nyligen publicerat i Techworld, läs dem här.
Har du en fråga till en av våra certifierade säkerhetskonsulter – är det kanske dags att göra en analys av er säkerhet? Hör av dig!
Jon-Anders Frigård, CCIE, är IT-arkitekt och säkerhetsekspert på Conscia i Norge.