Veel organisaties moeten nog investeren in een PAM-oplossing, omdat ze duur en complex kunnen zijn. Hoewel dit geldt voor sommige verouderde PAM-oplossingen, houden deze organisaties geen
Om laterale beweging te detecteren, moeten organisaties abnormale netwerkactiviteit identificeren, laterale bewegingspaden in kaart brengen, gebruikersgedrag analyseren en onbekende apparaten verifiëren. Wanneer dit onopgemerkt blijft, kan laterale beweging vaak leiden tot gegevenslekken en het verlies van zeer gevoelige gegevens. Organisaties kunnen laterale bewegingen binnen hun netwerk voorkomen door toegang met minimale privileges af te dwingen, zero trust te implementeren, netwerken te segmenteren en te investeren in een PAM-oplossing.
Lees verder voor meer informatie over laterale beweging, hoe het werkt, hoe u het detecteert en hoe u laterale beweging binnen een netwerk voorkomt.
Wat is laterale beweging en hoe werkt het?
Laterale beweging is een techniek die cybercriminelen gebruiken om dieper in een netwerk te infiltreren nadat ze de eerste toegang hebben verkregen. Cybercriminelen gebruiken laterale beweging om meerdere apparaten en accounts te infecteren, continu toegang te hebben tot het hele netwerk en meer privileges te krijgen om toegang te krijgen tot gevoelige gegevens. Ze zijn afhankelijk van een organisatie met een slecht geprivilegieerd toegangsbeheer (PAM, Privileged Access Management) waarbij privileges niet goed worden bijgehouden of toegewezen.
Cybercriminelen krijgen eerst toegang door inloggegevens te stelen of misbruik te maken van beveiligingsproblemen. Zodra cybercriminelen ongemerkt toegang tot het netwerk van een organisatie hebben, proberen ze meer privileges te verkrijgen door andere apparaten binnen het netwerk te infecteren, inloggegevens van geprivilegieerde gebruikers te stelen en autorisatie met privileged accounts te omzeilen. Cybercriminelen bewegen zich lateraal door het netwerk totdat ze administratieve privileges krijgen, zodat ze het hele netwerk kunnen controleren en toegang krijgen tot waardevolle assets.
Zo detecteert u laterale bewegingen
Cybercriminelen proberen onzichtbaar te blijven wanneer ze zich toegang verkrijgen tot een netwerk en er lateraal in bewegen. Organisaties kunnen echter laterale beweging detecteren door gebruikers- en netwerkgedrag in realtime te controleren. Dit zijn de manieren waarop organisaties real-time monitoring kunnen implementeren om laterale beweging binnen hun netwerk te detecteren.
Abnormale netwerkactiviteit identificeren
Cybercriminelen proberen voornamelijk onopgemerkt te blijven door beveiligingsinstellingen en antivirussoftware uit te schakelen. Om laterale beweging te identificeren, moeten organisaties letten op abnormale netwerkactiviteiten, waaronder het wijzigen van beveiligingsinstellingen, verbindingen met externe poorten, gebruik van abnormale protocollen en ongebruikelijke verkeersactiviteit op het netwerk. Als een organisatie een van deze abnormale netwerkactiviteiten opmerkt, heeft een cybercrimineel hoogstwaarschijnlijk een account met beheerrechten gecompromitteerd.
Laterale bewegingspaden in kaart brengen
Organisaties moeten laterale bewegingspaden in kaart brengen, zodat ze eenvoudig kunnen vaststellen of er sprake is van laterale beweging in hun netwerk en of privileged accounts zijn gecompromitteerd. Ze moeten hun gegevensinfrastructuur bekijken en een lijst maken van accounts die een mogelijk doelwit zijn, zoals accounts met geprivilegieerde toegang, slechte authenticatie en slecht beheerde privileges. Organisaties moeten ook op zoek gaan naar andere kwetsbaarheden die kunnen leiden tot laterale beweging.
Gebruikersgedrag analyseren
Organisaties moeten het gedrag van gebruikers analyseren om laterale beweging te detecteren. Ze moeten letten op abnormaal gebruikersgedrag zoals:
- Meerdere inlogpogingen van privileged accounts
- Abnormale inlogtijden, -locaties en -apparaten
- Onbevoegde toegang tot zeer gevoelige gegevens
- Onbevoegd delen van bestanden
Onbekende apparaten verifiëren
Sommige organisaties verplichten hun werknemers om hun eigen apparaten te gebruiken op het werk. Hierdoor maken veel onbekende apparaten verbinding met het netwerk van systemen en middelen van een organisatie. Organisaties mogen niet impliciet elk apparaat vertrouwen dat verbinding maakt met hun netwerk. Ze moeten elk onbekend apparaat controleren dat verbinding maakt met hun netwerk om er zeker van te zijn dat geen van de apparaten wordt gebruikt door een cybercrimineel. Ze moeten de eigenaar van het apparaat verifiëren en de activiteit ervan controleren om te bevestigen dat het van een werknemer is en niet van een cybercrimineel.
6 manieren om laterale bewegingen te voorkomen
Hoewel organisaties laterale beweging binnen hun netwerk kunnen detecteren, is het niet altijd eenvoudig om onbevoegde gebruikers te verwijderen, afhankelijk van het aantal apparaten dat cybercriminelen hebben overgenomen. Organisaties moeten voorkomen dat cybercriminelen toegang krijgen tot hun netwerk en er lateraal in bewegen. Hier zijn zes manieren waarop organisaties laterale bewegingen kunnen voorkomen.
Dwing toegang met minimale privileges af
Het principe van minimale privileges is een cybersecurity-concept dat stelt dat gebruikers net genoeg netwerktoegang moeten krijgen tot de gegevens en systemen die ze nodig hebben om hun werk te doen, maar niet meer. Door toegang met minimale privileges te implementeren, beperken organisaties de toegang tot gevoelige gegevens en beschermen ze deze tegen misbruik. Toegang met minimale privileges vermindert de potentiële paden voor een beveiligingslek en voorkomt laterale beweging. Als de account van een gebruiker gecompromitteerd is, heeft de cybercrimineel alleen de privileges van die gebruiker en kan hij geen verdere toegang krijgen tot het netwerk van de organisatie.
Voer zero trust in
Zero trust is een beveiligingsraamwerk dat vereist dat alle gebruikers en apparaten continu hun identiteit verifiëren en hun toegang tot netwerksystemen en gegevens beperkt. Het maakt komaf met impliciet vertrouwen en gaat ervan uit dat elk apparaat is gecompromitteerd. Zero trust is gebaseerd op drie principes:
- Uitgaan van een inbreuk: zero trust gaat ervan uit dat elke gebruiker die toegang probeert te krijgen tot het netwerk van een organisatie, mens of machine, mogelijk is gecompromitteerd en kan leiden tot een inbreuk op de beveiliging.
- Expliciet verifiëren: bij zero trust moeten alle mensen en machines hun identiteit bewijzen voordat ze toegang krijgen tot het netwerk en de systemen van een organisatie.
- Minimale privileges toekennen: wanneer een gebruiker toegang krijgt tot het netwerk van een organisatie, dan heeft hij alleen voldoende toegang om zijn werk te doen, niet meer en niet minder.
Door een zero-trust raamwerk te volgen, kunnen organisaties hun aanvalsoppervlak verkleinen en voorkomen dat cybercriminelen de eerste toegang tot hun netwerk krijgen. Met zero trust kunnen cybercriminelen bovendien moeilijker lateraal bewegen zonder te worden ontdekt.
Vereis MFA
Multifactorauthenticatie (MFA) is een beveiligingsprotocol dat meer dan één authenticatiefactor vereist om toegang te krijgen tot het netwerk van een organisatie. Een authenticatiefactor kan iets zijn dat de gebruiker kent, iets dat hij heeft of is. Wanneer MFA is ingeschakeld, verstrekken gebruikers meestal hun inloggegevens samen met een extra vorm van identificatie zoals een eenmalige code.
Organisaties moeten MFA vereisen voor geprivilegieerde accounttoegang om een extra beveiligingsniveau te bieden en ervoor te zorgen dat alleen bevoegde gebruikers toegang krijgen tot deze gevoelige accounts. Het vereisen van MFA beschermt organisaties tegen laterale beweging, omdat cybercriminelen niet de extra authenticatie kunnen bieden die nodig is om toegang te krijgen tot privileged accounts.
Segmenteer netwerken
Netwerksegmentatie verdeelt en isoleert delen van het netwerk om te controleren wie toegang heeft tot gevoelige gegevens. Deze segmenten zijn afgestemd op de behoeften van de verschillende gebruikers en kunnen alleen met elkaar communiceren voor zakelijke functies. Het segmenteren van netwerken beperkt de toegang tot het hele netwerk en voorkomt dat cybercriminelen zich door het netwerk bewegen. Organisaties kunnen ook microsegmentaties creëren. Dit zijn geïsoleerde delen van het netwerk binnen een gesegmenteerd netwerk.
Houd software up-to-date
Cybercriminelen proberen eerst toegang te krijgen tot een organisatie door misbruik te maken van beveiligingsproblemen in de beveiligingsinfrastructuur van de organisatie. Vaak zoeken ze naar zwakke schakels in verouderde software. Organisaties moeten hun software up-to-date houden om beveiligingsfouten te patchen en beveiligingsfuncties toe te voegen waardoor hun apparaten beter worden beschermd. Dit vermindert de kans op laterale beweging.
Investeer in een PAM-oplossing
Een PAM-oplossing is een tool dat accounts beheert en beveiligt die toegang hebben tot zeer gevoelige gegevens en systemen. Met een PAM-oplossing hebben organisaties volledig inzicht in hun volledige gegevensinfrastructuur en kunnen ze bepalen hoeveel toegang elke gebruiker heeft tot gevoelige gegevens. Een PAM-oplossing kan organisaties ook inzicht geven in de wachtwoordpraktijken van werknemers. Organisaties kunnen ervoor zorgen dat werknemers sterke wachtwoorden gebruiken om hun accounts te beschermen en wachtwoorden alleen delen met bevoegde gebruikers.
Voorkom laterale bewegingen met Keeper®
Het is niet altijd eenvoudig om laterale beweging aan te pakken als een organisatie een slecht geprivilegieerd toegangsbeheer heeft. Zonder toezicht kunnen cybercriminelen geprivilegieerde toegang krijgen tot zeer gevoelige gegevens en de meest waardevolle assets van een organisatie stelen. Om laterale beweging te voorkomen, moeten organisaties investeren in een PAM-oplossing en hiermee toegang met minimale privileges en zero trust beveiliging implementeren.
Met een PAM-oplossing kunnen organisaties hun privileged accounts beheren, controleren wie toegang heeft tot gevoelige gegevens en beveiligingsmaatregelen implementeren om gevoelige gegevens te beschermen. KeeperPAM™ is een zero-trust en zero-knowledge oplossing voor geprivilegieerd toegangsbeheer die Keeper Enterprise wachtwoordmanager, Keeper Secrets Manager® en Keeper Connection Manager® combineert. Zo kunnen organisaties hun aanvalsoppervlak verkleinen en hun gevoelige gegevens beschermen tegen de schade die wordt veroorzaakt door laterale beweging.
Vraag een demo van KeeperPAM aan om te voorkomen dat cybercriminelen laterale beweging gebruiken om uw gevoelige gegevens te stelen.