Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Lateral Movement/ Laterale beweging

Aanvallen

Technieken die aanvallers gebruiken om geleidelijk door een netwerk te bewegen. Terwijl ze door het netwerk bewegen, zoeken ze naar informatie met als doel hogere gebruikersrechten te verkrijgen.

Lateral movement is een fase in een cyberaanval waarbij de aanvaller zich horizontaal door een netwerk beweegt om toegang te krijgen tot aanvullende systemen en gegevens na een eerste compromittering. Na het verkrijgen van initieel toegang tot een systeem, meestal via phishing, een exploit of gestolen credentials, beweegt de aanvaller lateraal om waardevollere doelen te bereiken zoals domeincontrollers, databaseservers of systemen met gevoelige gegevens. Lateral movement is een kritieke fase in vrijwel elke geavanceerde aanval en vormt de brug tussen de eerste inbraak en het uiteindelijke doel van de aanvaller.

Volgens het MITRE ATT&CK framework is lateral movement geregistreerd als tactiek TA0008 en omvat het meerdere technieken die aanvallers gebruiken om zich door netwerken te verplaatsen. Onderzoek uit 2025 toont aan dat lateral movement bijna 90 procent van de organisaties treft en dat aanvallers zich in slechts 18 minuten na initieel toegang naar kritieke systemen kunnen verplaatsen. Dit maakt vroegtijdige detectie en effectieve netwerksegmentatie essentieel voor het beperken van de impact van een aanval op je organisatie.

Hoe werkt lateral movement?

Lateral movement begint zodra een aanvaller voet aan de grond heeft in een netwerk, typisch via een gecompromitteerd werkstation of server. Vanuit het gecompromitteerde systeem verzamelt de aanvaller eerst informatie over het netwerk: welke andere systemen zijn bereikbaar, welke gebruikersaccounts bestaan, welke services draaien en welke beveiligingsmaatregelen actief zijn. Dit wordt reconnaissance of discovery genoemd. De aanvaller gebruikt tools zoals netwerk-scanners, Active Directory queries en credential dumping tools om een gedetailleerde kaart te bouwen van het netwerk en mogelijke paden naar waardevolle doelen te identificeren.

Met de verzamelde informatie probeert de aanvaller toegang te krijgen tot andere systemen via meerdere technieken. Pass the Hash (T1550.002) is een veelgebruikte techniek waarbij gestolen wachtwoord-hashes worden gebruikt om toegang te krijgen tot andere systemen zonder het wachtwoord zelf te kennen. Remote Desktop Protocol (RDP), SSH, Windows Management Instrumentation (WMI) en PowerShell Remoting zijn legitieme beheerstools die aanvallers misbruiken voor laterale beweging door het netwerk. De aanvaller kopieert ook tools en malware naar andere systemen via SMB-shares of geautoriseerde netwerkverbindingen om zijn aanwezigheid uit te breiden.

Het verraderlijke aan lateral movement is dat het vaak gebruik maakt van legitieme credentials en standaard beheerstools, waardoor het moeilijk te onderscheiden is van normaal systeembeheer. Een aanvaller die gestolen domein-credentials gebruikt om via RDP verbinding te maken met een server, genereert dezelfde logs als een systeembeheerder die hetzelfde doet. Daarom is het detecteren van lateral movement een van de grootste uitdagingen in cybersecurity, en vereist het geavanceerde analyse van gebruikersgedrag, strikte netwerksegmentatie en het consequent toepassen van het principe van least privilege op alle accounts en systemen.

Hoe herken je lateral movement?

Lateral movement herken je aan afwijkende patronen in authenticatie- en netwerklogs. Accounts die plotseling inloggen op systemen waar ze normaal geen toegang toe hebben, logins op ongebruikelijke tijdstippen en het gebruik van beheerstools door gebruikers die geen beheerder zijn, zijn sterke indicatoren van mogelijke laterale beweging. SIEM-systemen kunnen deze patronen detecteren door baseline-gedrag per gebruiker en per systeem op te bouwen en afwijkingen daarvan automatisch te signaleren.

Op netwerkniveau zoek je naar ongebruikelijke verbindingen tussen systemen die normaal niet met elkaar communiceren. Werkstations die direct verbinding maken met andere werkstations via SMB of RDP, servers die plotseling grote hoeveelheden data naar onbekende bestemmingen sturen en het gebruik van beheersprotocollen vanuit onverwachte bronnen zijn allemaal signalen van mogelijke laterale beweging. User and Entity Behavior Analytics (UEBA) combineert deze signalen met machine learning en detecteert complexe aanvalspatronen die individuele alerts missen doordat ze de context van meerdere gebeurtenissen samenvoegen tot een coherent beeld.

Hoe bescherm je je tegen lateral movement?

De effectiefste bescherming tegen lateral movement is netwerksegmentatie gecombineerd met het principe van least privilege. Door je netwerk op te delen in zones met strikte toegangscontroles beperk je de mogelijkheden voor een aanvaller om zich lateraal te bewegen na een initieel compromis. Microsegmentatie gaat een stap verder door toegangsbeleid te definiieren op het niveau van individuele workloads en applicaties, onafhankelijk van hun fysieke netwerklocatie, waardoor zelfs binnen een zone de bewegingsvrijheid van een aanvaller drastisch wordt beperkt.

Implementeer multifactor authenticatie op alle systemen, vooral op beheersinterfaces en privileged accounts die de meeste schade kunnen aanrichten bij misbruik. Beperk het gebruik van domein-admin accounts tot specifieke beheerwerkstations en gebruik just-in-time access waarbij verhoogde rechten alleen tijdelijk worden toegekend wanneer ze nodig zijn. Schakel onnodig bereikbare services en protocollen uit op elk systeem. Monitor actief op credential misbruik en implementeer Privileged Access Management (PAM) om beheersrechten gecontroleerd en tijdgebonden toe te kennen. Een Zero Trust architectuur, waarbij geen enkel systeem of gebruiker standaard wordt vertrouwd ongeacht hun netwerklocatie, is de meest effectieve strategie tegen laterale beweging in moderne netwerken.

Lateral movement en ransomware

Lateral movement speelt een centrale rol in moderne ransomware-aanvallen. Waar vroege ransomware-varianten individuele systemen versleutelden, bewegen hedendaagse ransomware-groepen eerst lateraal door het netwerk om zoveel mogelijk systemen te compromitteren voordat ze de versleuteling activeren. Dit maximaliseert de impact en verhoogt de druk op het slachtoffer om het losgeld te betalen. Ransomware-groepen besteden vaak dagen tot weken aan laterale beweging, waarbij ze domeincontrollers compromitteren, backupsystemen uitschakelen en gevoelige data exfiltreren voordat ze de ransomware uitrollen over alle bereikbare systemen tegelijkertijd. Het detecteren en stoppen van laterale beweging is daarom een van de meest effectieve methoden om de schade van ransomware-aanvallen te beperken.

Veelgestelde vragen over lateral movement

Wat is het verschil tussen lateral movement en privilege escalation?

Lateral movement is horizontale beweging naar andere systemen op hetzelfde privilegeniveau. Privilege escalation is verticale beweging naar hogere rechten op hetzelfde systeem. Aanvallers combineren beide technieken: ze escaleren rechten op een systeem en gebruiken die hogere rechten om lateraal naar meer systemen te bewegen en hun bereik uit te breiden.

Hoe snel kan een aanvaller lateraal bewegen?

Onderzoek toont aan dat aanvallers zich in slechts 18 minuten na initieel toegang naar kritieke systemen kunnen verplaatsen. Bij geautomatiseerde aanvallen en ransomware kan dit nog sneller gaan. Dit benadrukt het belang van snelle detectie en geautomatiseerde respons om de schade te beperken voordat de aanvaller zijn doel bereikt.

Kan netwerksegmentatie lateral movement volledig stoppen?

Netwerksegmentatie vertraagt en bemoeilijkt laterale beweging significant maar stopt het niet altijd volledig. Aanvallers kunnen segmentatiegrenzen overschrijden via gecompromitteerde accounts met cross-segment rechten of via kwetsbaarheden in segmentatie-apparatuur. Combineer segmentatie met least privilege, PAM en continue monitoring voor maximale effectiviteit.

Welke tools gebruiken aanvallers voor lateral movement?

Aanvallers gebruiken vaak legitieme beheerstools zoals RDP, PowerShell, WMI, PsExec en SSH. Daarnaast gebruiken ze specialistische tools zoals Mimikatz voor credential dumping, BloodHound voor Active Directory analyse en Cobalt Strike voor command-and-control. Het gebruik van legitieme tools maakt detectie extra uitdagend voor beveiligingsteams.

Hoe past lateral movement in de kill chain?

Lateral movement vindt plaats na de initiiele compromittering en het vestigen van persistence. In het MITRE ATT&CK framework volgt het typisch op Initial Access, Execution en Persistence. Het doel is om van het eerste gecompromitteerde systeem naar de daadwerkelijke doelwitten te bewegen waar waardevolle data of kritieke systemen zich bevinden.

Bescherm je netwerk tegen lateral movement. Vind de juiste aanbieder via Segmentation & Microsegmentation aanbieders op IBgidsNL.