® 
Lateral Movement (Zijwaartse Beweging)
Definitie
Lateral movement is een aanvalstechniek waarbij een aanvaller zich na initiële toegang tot een systeem verspreidt door het netwerk. Het doel is om aanvullende systemen te compromitteren en privileges te verhogen.
Lateral movement (zijwaartse beweging) is een aanvalstechniek waarbij een aanvaller zich na initiele toegang tot een systeem door het interne netwerk verspreidt naar andere systemen om aanvullende resources te compromitteren, privileges te verhogen en uiteindelijk waardevolle data te bereiken. Volgens het MITRE ATT&CK-framework is lateral movement een van de meest kritieke fasen in een cyberaanval.
Hoe werkt lateral movement?
Na de initiele infectie van een enkel systeem begint de aanvaller met interne verkenning: welke andere systemen zijn bereikbaar, welke credentials zijn beschikbaar in het geheugen of op schijf, welke netwerkadressen en shares zijn actief? Vervolgens beweegt de aanvaller zijwaarts naar andere systemen met behulp van gestolen credentials, kwetsbaarheden in interne diensten of misbruik van vertrouwensrelaties. Het doel is het bereiken van systemen met waardevolle data of het verkrijgen van hogere rechten.
Technieken voor lateral movement
Pass the Hash gebruikt gestolen password-hashes om te authenticeren zonder het daadwerkelijke wachtwoord te kennen. Pass the Ticket misbruikt Kerberos-tickets voor authenticatie. Remote services zoals RDP, SMB, WMI en SSH worden gebruikt om verbinding te maken met andere systemen. PsExec en vergelijkbare tools voeren code uit op remote systemen. Gecompromitteerde serviceaccounts met brede netwerktoegang bieden een eenvoudige route. Living off the Land-technieken gebruiken legitieme beheertools zoals PowerShell en WMI voor kwaadaardige doeleinden.
Impact voor organisaties
Lateral movement stelt aanvallers in staat een initiele compromittering van een enkel systeem uit te bouwen tot een volledige netwerkcompromittering. Ransomware-operators gebruiken lateral movement om zo veel mogelijk systemen te bereiken voor maximale impact. APT-groepen bewegen lateraal naar systemen met waardevolle data. NIS2 vereist netwerksegmentatie en detectiecapaciteiten die lateral movement beperken en detecteren.
Bescherming
Netwerksegmentatie en microsegmentatie beperken laterale beweging. PAM-oplossingen beschermen beheerdersaccounts. EDR en XDR detecteren verdachte interne verbindingen en credential-misbruik. SIEM correleert events over meerdere systemen om laterale patronen te herkennen. Least privilege-principes beperken wat een gecompromitteerd account kan bereiken.
Hoe DEFION helpt
DEFION simuleert lateral movement als onderdeel van Red Teaming en Internal Pentests om te testen hoe ver een aanvaller kan komen na initiele toegang. Het SOC-team monitort actief op indicators of lateral movement.