Lateral movement uitgelegd

Lateral movement is de fase in een aanval waarin iemand die al binnen is zich oost-west door het netwerk beweegt: van het eerste systeem dat hij compromitteerde naar de plek waar voor hem de waarde zit. Niet de inbraak zelf, niet de exfiltratie, maar het stuk daartussen. Een aanvaller heeft initial access, en gebruikt vervolgens legitieme protocollen, applicaties en beheertools (Living off the Land, LOTL), geldige inloggegevens en bestaande beheerpaden om door te schakelen naar een server, een domeincontroller, een fileshare of een productiesysteem. MITRE ATT&CK catalogiseert dit in tactiek TA0008, met technieken als Remote Services, Pass the Hash, Use Alternate Authentication Material en Exploitation of Remote Services. De vraag op tafel is niet of dit op enig moment binnen jouw netwerk gebeurt. De vraag is hoe lang het duurt voor je het ziet en hoe ver hij dan al gekomen is.

Dit stuk legt uit wat lateral movement precies is, waarom segmentatie de standaard tegenmaatregel werd, en waarom segmentatie alleen niet genoeg is zonder detectie die naar oost-west-verkeer en identity-gedrag kijkt. Het sluit met de vraag die in de meeste organisaties zelden hardop wordt gesteld: hoeveel tijd zit er tussen het moment dat lateral movement begint en het moment dat jij er iets van weet.

Hoe ziet lateral movement er in de praktijk uit?

Een aanvaller die net binnen is op één werkstation heeft een probleem en een kans. Het probleem is dat dat werkstation hem zelden geeft wat hij komt halen. De kans is dat het werkstation deel is van een netwerk dat intern is ingericht op productiviteit, niet op argwaan. Hij moet bewegen. Wat hij vervolgens doet, lijkt opvallend weinig op wat in stockbeelden van cybersecurity wordt getoond. Het ziet eruit als normaal IT-werk.

Hij dumpt inloggegevens uit het geheugen van de machine waarop hij zit, gebruikt geldige beheer-tokens, opent een remote-sessie naar een tweede systeem via een protocol dat in het netwerk gangbaar is, en kijkt rond. Hij bevraagt Active Directory welke accounts en welke groepslidmaatschappen er zijn, welke service-accounts brede rechten hebben, en welke systemen die accounts gebruiken. Hij gebruikt scripts en command-line-tools die elke beheerder ook gebruikt. Hij plant een taak die over een week opnieuw afgaat zodat hij niet kwijt is wat hij heeft opgebouwd. Dit is de fase die in ATT&CK onder discovery, credential access en lateral movement valt, en het is precies de fase die niet opvalt op een dashboard dat is afgestemd op malware-signaturen en virusdetectie.

Wat een lateral movement-actie zichtbaar maakt is niet het feit dat er een verbinding wordt gemaakt; die verbindingen worden de hele dag gemaakt. Het zichtbare zit in afwijking. Een service-account dat normaal alleen door een back-up-proces wordt gebruikt, logt nu interactief in op een fileserver. Een werkstation dat doorgaans alleen met een internetproxy en een mailserver praat, opent ineens een SMB-sessie naar een domeincontroller. Een geldig inlogtoken duikt op vanaf een systeem dat dat token nooit eerder heeft gezien. Dat zijn de signalen. Ze zijn er, maar alleen als iemand ernaar kijkt op het juiste niveau, en als de telemetrie waarin ze opdoemen daadwerkelijk wordt verzameld en doorgezet naar de plek waar er een regel op draait.

Waarom is segmentatie de standaard tegenmaatregel geworden?

Het idee onder segmentatie is uit de oudere netwerkpraktijk al bekend: zet muren binnen het netwerk zodat één gecompromitteerd systeem niet alle andere systemen kan bereiken. Wat veranderd is, is de strakheid waarmee dat principe wordt uitgevoerd. Het Nationaal Cyber Security Centrum benoemt netwerksegmentatie consequent als basismaatregel om de impact van een inbraak te beperken, en de CISA-publicaties over post-compromise activity stellen het scherper: zonder segmentatie verandert elke initial access in een potentiële domeincompromise binnen uren.

De volwassen vorm van dit principe is zero trust. Het NIST SP 800-207-document beschrijft zero trust niet als een product en niet als een netwerk-topologie, maar als een architectuurprincipe: vertrouw geen verzoek op basis van zijn netwerklocatie alleen, valideer elk verzoek op identity, apparaatpositie en context, en herhaal die validatie bij elke gevoelige actie. Microsegmentatie is de uitvoering van dat principe op netwerkniveau, met segmenten die niet meer langs subnet- of VLAN-grenzen lopen maar langs applicatie, identity en doel. Voor een aanvaller betekent dat het volgende: één gecompromitteerd systeem geeft hem geen vrije baan, maar een nieuwe muur op elke volgende sprong, met een policy die toetst of dit verzoek vanuit deze identity op deze applicatie op dit moment iets is dat in jouw beleid voorkomt.

Het effect van strakke segmentatie is meetbaar, niet als preventie van inbraak, maar als verkleining van impactradius. Een ransomware-actor die in een platte omgeving in een nacht negentig procent van het netwerk versleutelt, krijgt in een gesegmenteerde omgeving twee servers en stuit op een muur. Dat is geen theoretisch verschil. Het is het verschil tussen een week productie-uitval en een ingedamd incident. Dat is ook waarom segmentatie hoog op de lijst van defensieve maatregelen is geklommen, en waarom verzekeraars er bij polisvernieuwing expliciet naar vragen.

Wat segmentatie wel en niet doet

Hier zit een denkfout die je in veel programma's terugziet. Segmentatie wordt soms verkocht als de oplossing, en daarna teruggevraagd als alibi: wij hebben gesegmenteerd, dus lateral movement is afgevangen. Dat klopt niet. Segmentatie verhoogt de kosten en de zichtbaarheid van lateral movement, maar elimineert hem niet. Een aanvaller met een geldig service-account dat over een segmentgrens heen mag, beweegt langs precies de routes die je beleid toestaat. Een aanvaller die een misconfiguratie in een policy vindt, vindt een opening. Een aanvaller die phishing-toegang heeft tot een gebruiker met administratieve rechten, beweegt mee met de rechten van die gebruiker.

Wat segmentatie wel doet, en goed doet, zijn drie dingen. Eén, het verkleint de aantal-paden-vraag: hoeveel systemen kan iemand bereiken vanaf elk willekeurig systeem zonder een expliciete toestemmingsregel te schenden. Twee, het maakt afwijking detecteerbaar: een verbinding die geen policy-regel matcht is een gebeurtenis, geen ruis. Drie, het dwingt expliciete documentatie van wie met wie mag praten en waarom, en die documentatie is zelf een vorm van regie. Wat segmentatie niet doet is een aanvaller buiten houden die binnen de policy beweegt. Daarvoor is een tweede laag nodig.

Wat ziet lateral movement, als je ernaar kijkt?

De tweede laag is detectie, en hij is anders dan de detectie waar de meeste SOC's standaard op zijn ingericht. Klassieke detectie kijkt naar perimeter-verkeer (noord-zuid) en naar endpoint-signaturen. Lateral movement zit elders. Het zit in oost-west-verkeer, in interne authenticatiepatronen, in afwijkingen op identity-gedrag, en in de samenhang tussen een netwerk-event en een directory-event op de dezelfde minuut.

Goede detectie op lateral movement leunt op vier datastromen die in samenhang worden gelezen:

Identity-events uit de directory. Inlogpogingen, ticket-verleningen, het gebruik van service-accounts, het wisselen van interactieve en niet-interactieve logon-types. Een service-account dat interactief inlogt, is een signaal. Een gebruikersaccount dat ineens beheer-tokens opvraagt, is een signaal.

Oost-west-netwerktelemetrie. Wie spreekt met wie, op welke poort, met welke frequentie, en hoe verhoudt zich dat tot de baseline. Niet alleen flow-records, ook protocol-context: een SMB-sessie tussen twee werkstations is iets anders dan een SMB-sessie tussen een werkstation en een fileserver.

Endpoint-process-events. Welk proces opent welke verbinding, welk proces draait welke command-line, welk script verschijnt op een systeem waar het niet thuishoort. Tooling als remote management software, dual-use beheerscripts en credential-dumping-utilities laten hier sporen achter.

Policy-events uit het segmentatieplatform. Welke verbinding werd door welk policy-element toegestaan of geblokkeerd, en welke afwijkt van wat hier eerder gangbaar was. Een verbinding die wel doorgang krijgt maar buiten elke historische baseline valt, is een onderzoekspunt, niet een groen vinkje.

Pas als deze vier in dezelfde plek samenkomen en aan elkaar gekoppeld worden, vertelt lateral movement zichzelf uit. Eén losse log-regel is bijna nooit genoeg. De combinatie van een ongebruikelijk identity-event, een ongebruikelijke oost-west-verbinding op dezelfde minuut, en een onbekend proces aan de bron, dat is wat een gebeurtenis maakt van een ruisregel.

Wat is de juiste meting?

In de meeste organisaties wordt detectie gemeten aan hoeveel alarmen er per dag binnenkomen, en hoe snel ze worden weggewerkt. Dat is een operationele meting, niet een effectiviteits-meting. Voor lateral movement is de juiste meting een andere: hoeveel tijd zit er tussen het moment dat een aanvaller op systeem A landt en het moment dat jij op de hoogte bent dat hij richting systeem B beweegt. Die tijd is in vakliteratuur bekend als dwell time of breakout time, en hij is de eerlijke meting voor de combinatie van segmentatie en detectie samen.

Dwell time is de tijd tussen het moment dat een aanvaller binnen is en het moment dat hij wordt gedetecteerd. Een lange dwell time is het gevolg van late of uitblijvende detectie: de aanvaller heeft rond kunnen kijken, inloggegevens kunnen verzamelen en zich kunnen ingraven, en dat het incident dat je straks behandelt geen incident is maar een schoonmaakoperatie. Een korte dwell time is het omgekeerde: hij is gestopt voor hij bij een kroonjuweel kwam. Het verschil tussen die twee is in euro's en in productie-uren uit te drukken, en het hangt rechtstreeks af van wat je in segmentatie en in oost-west-detectie hebt geïnvesteerd.

Dit verandert ook hoe je een red-team-toets leest. Een red team dat in een gesegmenteerde omgeving binnen een dag bij een domeincontroller staat, vertelt je niet dat je segmentatie niet werkt. Hij vertelt je dat ofwel de policy een opening had, ofwel de detectie de oost-west-stappen niet zag, ofwel beide. Dat is een veel preciezer antwoord dan "we hebben een gat", en het wijst direct aan welke laag aandacht nodig heeft.

Wat dit betekent voor de keuze die jij maakt

Voor de CISO die hiermee intern het gesprek opent, is de bruikbare samenvatting dat lateral movement geen losstaand vraagstuk is met één antwoord, maar de plek waar twee disciplines samenkomen: architectuur (de segmentatie die de muren plaatst) en detectie (de regie op identity en oost-west-verkeer die ziet wat ertussendoor probeert te glippen). Wie alleen op segmentatie inzet, koopt beperking van impactradius en blijft blind voor de bewegingen die binnen de policy plaatsvinden. Wie alleen op detectie inzet, kijkt naar een open netwerk met een betere camera.

Naar Operationele teams is de boodschap dat de telemetrie die lateral movement zichtbaar maakt anders is dan de telemetrie waar de meeste SOC's standaard op zijn ingericht, en dat de inrichting van die telemetrie geen tooling-keuze is maar een keten-keuze: identity, netwerk, endpoint en segmentatie-policy moeten in één plek samenkomen. Naar het bestuur of de CFO is de boodschap zakelijker: de meting die telt is dwell time, en die meting hangt aan twee investeringen tegelijk, niet aan één.

De logische volgende stap is geen architectuur-document en geen toolselectie. Het is een eerlijke vaststelling van waar je nu staat op die twee assen. Hoe strak is de segmentatie binnen je netwerk, gemeten in bereikbare paden vanaf een willekeurig werkstation. Hoe ver komt een gesimuleerde lateral-movement-actie voor jij iets ziet, gemeten in stappen en in minuten. Als een van die twee niet helder is, is dat het gesprek dat je eerst moet voeren, intern en eventueel met iemand die er naar kijkt. Pas met die twee assen op tafel is een keuze in segmentatie-platform, detectie-regel of identity-investering een keuze die iets oplost in plaats van iets toevoegt.