Advania logo
    Kontakta oss
    Gå tillbaka

    Lateral Movement

    Vad är Lateral Movement?

    Lateral Movement (rörelse i sidled) är en teknik som cyberkriminella använder efter att de lyckats ta sig in i ett nätverk. Istället för att nöja sig med den första datorn de infekterat, försöker de röra sig vidare till andra servrar, datorer och konton inom organisationen. Målet är att hitta värdefull data, få högre behörigheter eller placera ut ransomware på så många ställen som möjligt.

    Varför Lateral Movement är en risk

    Ett intrång börjar ofta på en "oviktig" enhet, kanske via ett nätfiske (phishing) mot en anställd. Men genom lateral movement kan angriparen leta sig fram till de verkligt kritiska systemen, som domänkontrollanten i Active Directory eller databasen med kundregister. Det är i denna fas som ett litet intrång förvandlas till en total katastrof.

    Hur fungerar Lateral Movement i praktiken?

    Processen kan liknas vid en inbrottstjuv som hittar en nyckel i hallen och använder den för att prova dörrarna till resten av huset.

    • Rekognosering: Angriparen skannar nätverket för att se vad som finns.
    • Stöld av inloggningsuppgifter: Genom tekniker som "credential dumping" försöker de stjäla lösenord och identiteter.
    • Privilege Escalation: De försöker uppgradera sina rättigheter för att ta över administratörskonton.

    Vanliga frågor om Lateral Movement

    Hur upptäcker man Lateral Movement?

    Det kan vara svårt eftersom angriparen ofta använder legitima verktyg och inloggningar. För att upptäcka det krävs avancerad övervakning som Intrångsdetektionssystem (IDS), SIEM eller Managed Detection and Response (MDR) som analyserar onormala trafikmönster.

    Hur stoppar man det?

    Det effektivaste sättet är nätverkssegmentering (att dela upp nätverket i zoner), strikt IAM (Identity and Access Management) med MFA (flerfaktorsautentisering), och principen om "minsta möjliga behörighet" (Zero Trust).

    Viktiga punkter att ta med sig:

    • Lateral Movement är när angripare sprider sig från en enhet till hela nätverket.
    • Det är nödvändigt för att angripare ska nå "kronjuvelerna" i IT-miljön.
    • Skydd kräver segmentering, stark identitetshantering och övervakning.