Laterale beweging, of lateraal verkeer, is de voortgang van een netwerkaanvaller door het netwerk zodra ze het hebben doorbroken. Zijwaartse beweging is ook bekend als oost-west verkeer, wat horizontale voortgang aangeeft door een reeds doorbroken netwerk, en staat in contrast met noord-zuid verkeer, of als eerste het netwerk binnenkomen. Zijwaartse beweging is voor organisaties een uitdaging om te volgen, omdat zodra een aanvaller een netwerk is binnengekomen, zijn verkeer normaal lijkt. Het is moeilijk om onderscheid te maken tussen een aanvaller en geautoriseerde gebruikers omdat ze al toegang hebben gekregen.
Redenen voor zijwaartse beweging
Aanvallers kunnen in eerste instantie toegang krijgen tot een netwerk met behulp van:
- Apparaten van werknemers, met name in het internet der dingen. IoT-apparaten hebben minder beveiligingsprotocollen dan smartphones en computers. Als een aanvaller toegang krijgt tot een IoT-apparaat dat verbinding maakt met het bedrijfsnetwerk, kan hij zich een weg banen naar het netwerk.
- Bedrijf e-mail. Social engineering is sterk afhankelijk van frauduleuze e-mails, die een werknemer om hun inloggegevens kunnen vragen of malware kunnen bevatten. Zodra de aanvaller die informatie heeft, kan hij het netwerk binnengaan als een vertrouwde gebruiker.
- Kwaadaardig software geïnstalleerd op een bedrijfscomputer: als een aanvaller een medewerker overtuigt om op een link te klikken, kan malware zich op die computer installeren en de aanvaller vervolgens een pad naar het netwerk geven.
Traditionele netwerkbeveiliging kan laterale bewegingen niet goed verwerken, omdat het geen goede methoden heeft om de binnenkant van het particuliere netwerk te beschermen. Iedereen die door de firewall aan de perimeter wordt toegelaten, kan dan op zijn gemak door het netwerk dwalen. Dit maakt het ook moeilijker voor organisaties om een bedreiging te vinden als deze eenmaal binnen is, vooral als de aanvaller de inloggegevens van een medewerker heeft gestolen. Alle gegevens zowel handmatig als efficiënt sorteren is voor de meeste IT-teams onmogelijk.
Zijwaartse beweging bestrijden met XDR
In traditionele netwerkbeveiligingsoplossingen zijn afzonderlijke software en systemen niet gecentraliseerd: ze zijn in silo’s. Het is moeilijker voor een bedrijf om zijn netwerkbeveiliging te beheren wanneer meerdere applicaties gegevens analyseren. Een gecentraliseerde oplossing voor het detecteren en reageren van bedreigingen die alle gegevens kan analyseren en patronen kan opmerken, is een betere manier om een netwerk te bewaken.
Uitgebreide detectie en respons (XDR) is een van de beste keuzes voor grote organisaties omdat het de silo’s tussen beveiligingsoplossingen wegneemt. XDR bewaakt alle gegevens van applicaties en servers. Een XDR-oplossing omvat automatisering, waardoor IT- en engineeringteams tijd besparen.
Sommige XDR-oplossingen implementeren machine learning, dat patronen in gegevens bestudeert en uiteindelijk leert anomalieën op te merken en prioriteit te geven aan waarschuwingen voor technologieteams, vergelijkbaar met gebruikers- en entiteitsgedragsanalyses (UEBA). Als ze voldoende getraind zijn, kunnen machines woorden en ook hun context interpreteren om een situatie beter te begrijpen. Als een bepaalde computer, account of server zich ongewoon gedraagt, zal een goede netwerkdetectie- en responsoplossing dat opmerken en proactieve maatregelen nemen om de oorzaak te achterhalen. XDR detecteert niet alleen bedreigingen, maar volgt ze ook op en lost ze snel op.
Zero trust en microsegmentatie zijn andere technologieën die zijn ontworpen om de toegang te beperken in het geval van een inbreuk of gestolen inloggegevens.