Articles
Feb 11, 2026

Lateralno kretanje u modernim napadima

Faza napada koja širi kompromis mrežom

Lateralno kretanje u modernim napadima

Lateralno kretanje: faza napada koja se najčešće previdi

Kada govorimo o kibernetičkim napadima većina pažnje usmjerena je na dvije točke: kako je napadač ušao i kakvu je štetu na kraju napravio. Analizira se phishing poruka, ranjivost koja je iskorištena ili trenutak kada su sustavi zaključani ransomwareom. No, između početnog kompromisa i završne štete postoji ključna faza koja često prolazi ispod radara – lateralno kretanje.

Upravo u toj fazi napad prestaje biti izolirani incident na jednom računalu i postaje sustavni problem. Lateralno kretanje je trenutak kada napadač širi svoj doseg, traži dodatne privilegije i kreće prema resursima koji imaju stvarnu poslovnu vrijednost. Ako se napad ne zaustavi prije ili tijekom ove faze, posljedice su gotovo uvijek ozbiljnije, skuplje i dugotrajnije.

Razumijevanje lateralnog kretanja zato nije samo tehničko pitanje. To je pitanje zrelosti obrane.

Što je lateralno kretanje

Lateralno kretanje (lateral movement) označava proces u kojem napadač, nakon inicijalne kompromitacije jednog sustava ili računa, pokušava pristupiti drugim sustavima unutar iste mreže ili okruženja.

Inicijalni upad može biti relativno bezazlen: kompromitiran korisnički račun putem phishinga ili iskorištena ranjivost na jednom poslužitelju. No taj prvi sustav rijetko je krajnji cilj. On je odskočna daska.

Napadač tada pokušava:

  • identificirati dodatne sustave u mreži
  • pronaći račune s višim privilegijama
  • pristupiti serverima, bazama podataka ili kontrolnim sustavima
  • doći do identiteta s administrativnim ovlastima

Drugim riječima, lateralno kretanje je proces širenja pristupa. Ono pretvara izolirani incident u kompromis cijelog okruženja.

Zašto je ova faza toliko važna

Inicijalna kompromitacija često zahvaća samo jedno računalo ili jednog korisnika. U tom trenutku šteta može biti minimalna i ograničena. No lateralno kretanje omogućuje napadaču da poveća “blast radius” – opseg utjecaja napada.

Tek kada napadač:

  • dođe do administratorskih računa
  • pristupi domeni ili identitetskoj infrastrukturi
  • dođe do backup sustava
  • dobije pristup centralnim file serverima

incident postaje organizacijski problem.

Drugim riječima, lateralno kretanje je faza u kojoj napad prelazi iz taktičkog u strateški problem.

Zašto se lateralno kretanje često ne detektira

Unatoč svojoj važnosti, lateralno kretanje jedna je od najčešće propuštenih faza napada. Razloga je nekoliko.

1. Koriste se legitimni alati

Napadači rijetko koriste “egzotične” tehnike. Umjesto toga, oslanjaju se na alate koji već postoje u sustavu. RDP, SMB, PowerShell remoting, WMI, PsExec i slični alati dizajnirani su upravo za administraciju i udaljeni pristup.

Sama činjenica da se netko prijavio putem RDP-a ili koristio PowerShell nije znak kompromitacije. U mnogim organizacijama to je svakodnevna praksa.

Problem nastaje kada se ti alati koriste izvano čekivanog konteksta, ali taj kontekst često nije jasno definiran niti nadziran.

2. Aktivnosti izgledaju kao administrativni rad

Lateralno kretanje često uključuje korištenje valjanih korisničkih računa. Napadač koji kompromitira račun s administrativnim privilegijama ne mora “razbijati” sustave, on jednostavno koristi postojeće ovlasti.

Iz perspektive logova, to može izgledati kao:

  • uspješna autentikacija
  • pokretanje administrativnog alata
  • pristup serveru

Sve su to legitimne aktivnosti. Ono što ih čini opasnima nije tehnički detalj, nego šira slika.

3. Fokus na inicijalne alarme

SOC timovi prirodno reagiraju na ono što je najuočljivije. Phishing alarm, malware detekcija ili exploit pokušaj često generiraju jasne, visoko prioritetne sigurnosne alarme.

No kada se napadač “smiri” i počne lateralno kretanje, aktivnost postaje suptilnija. Alarm više nije glasan. U takvom okruženju lako je fokusirati se na ono što “gori”, a previdjeti ono što se tiho razvija.

Kako lateralno kretanje izgleda u stvarnosti

Zamislimo scenarij u kojem je kompromitiran jedan korisnički račun.

U prvoj fazi, napadač pristupa korisničkom računalu. Možda ne čini ništa spektakularno: provjerava konfiguraciju, pregledava dostupne resurse i pokušava razumjeti okruženje.

Zatim dolazi do kredencijala pohranjenih u memoriji ili konfiguraciji sustava. S tim informacijama testira pristup drugim sustavima. Prijavljuje se na server na kojem taj korisnik inače rijetko ili nikada nije bio.

Nakon toga pronalazi račun s višim privilegijama ili kompromitira servisni račun koji ima šire ovlasti. Tek tada započinje ozbiljnija aktivnost, postavljanje perzistencije ili priprema za eksfiltraciju podataka.

Svaki od tih koraka zasebno može izgledati bezopasno. No zajedno čine jasan obrazac napredovanja.

Zašto je ova faza presudna za obranu

Ako organizacija detektira napad u fazi lateralnog kretanja, još uvijek postoji mogućnost ograničavanja štete. Sustavi se mogu izolirati, računi resetirati, a napadač izbaciti iz okruženja prije nego što dođe do kritičnih resursa.

Ako se lateralno kretanje ne primijeti, napadač dobiva vrijeme. A vrijeme je jedan od najvažnijih faktora uspjeha napada.

Što dulje napadač ostane neotkriven, to više uči o sustavu i to bolje može planirati završnu fazu napada.

Uloga konteksta i ponašajnih obrazaca

Detekcija lateralnog kretanja zahtijeva drugačiji pristup. Nije dovoljno znati da se dogodila autentikacija ili da je pokrenut administrativni alat. Potrebno je razumjeti je li ta aktivnost očekivana.

To uključuje pitanja poput:

  • Je li korisnik ranije pristupao tom sustavu?
  • Je li vrijeme pristupa u skladu s uobičajenim radnim obrascem?
  • Je li izvorna lokacija prijave uobičajena?
  • Koristi li se alat na način koji odstupa od standardne prakse?

Bez tih odgovora, alarm ostaje samo tehnički zapis bez značenja.

Tipične slabosti koje omogućuju lateralno kretanje

Mnoge organizacije imaju strukturalne slabosti koje olakšavaju širenje napada.

Jedna od njih je prevelik broj računa s administrativnim privilegijama. Kada veliki broj korisnika ima lokalne ili domenske admin ovlasti, kompromitacija jednog računa može brzo dovesti do kompromitacije cijele infrastrukture.

Druga slabost je nedostatak segmentacije. Ako svi sustavi mogu komunicirati sa svima, napadač ima slobodu kretanja bez većih prepreka.

Treći problem je nedostatak praćenja internih autentikacija. Organizacije često prate vanjski promet i ulazne prijetnje, ali interni promet smatraju “sigurnim”.

U modernim napadima, upravo je interni promet najvažniji indikator kompromitacije.

Povezanost s threat huntingom

Lateralno kretanje je jedan od glavnih razloga zašto je threat hunting postao ključni dio zrele obrane.

Klasični alarmi rijetko će detektirati ovu fazu ako ne postoji jasna zloupotreba. No proaktivna analiza obrazaca, odstupanja i konteksta može otkriti anomalije prije nego što postanu incident.

Threat hunting omogućuje sigurnosnim timovima da postave hipotezu: “Ako je račun kompromitiran, pokušat će se proširiti na druge sustave.” Zatim se aktivno traže dokazi koji podupiru ili opovrgavaju tu pretpostavku.

Takav pristup smanjuje ovisnost o pojedinačnim alarmima i povećava sposobnost ranog otkrivanja napada.

Lateralno kretanje i identitet kao nova granica obrane

U modernim okruženjima identitet je postao nova sigurnosna granica. Kada napadač kompromitira identitet, dobiva pristup sustavima bez potrebe za tehničkim exploitom.

Lateralno kretanje u takvom kontekstu često je zapravo kretanje kroz identitete i privilegije. Napadač ne “razbija” sustave, nego koristi postojeće ovlasti.

To znači da obrana mora uključivati:

  • strožu kontrolu privilegija
  • praćenje korištenja administrativnih računa
  • redovite revizije pristupa
  • ograničavanje trajnih privilegija

Bez toga, lateralno kretanje postaje prirodni nastavak svakog inicijalnog kompromitiranja sustava.

Zaključno

Lateralno kretanje nije spektakularna faza napada. Nema eksplozivnih trenutaka ni dramatičnih alarma. Upravo zato je opasno.

To je faza u kojoj napad prelazi iz ograničenog incidenta u kompromitaciju cijelog sustava. Faza u kojoj napadač dobiva stvarnu kontrolu nad okruženjem. Faza u kojoj obrana još uvijek ima priliku reagirati, ali samo ako gleda širu sliku.

Organizacije koje se fokusiraju isključivo na sprječavanje inicijalnog upada uvijek će kasniti. One koje razumiju dinamiku lateralnog kretanja i aktivno ga traže imaju priliku prekinuti napad prije nego što postane poslovna katastrofa.

U svijetu modernih prijetnji, pitanje više nije hoće li netko ući nego hoćemo li primijetiti kada se počne kretati.

 

Recent posts

Purple Team suradnja koja jača obranu

Articles
Feb 17, 2026

Notepad++ kompromitacija updatea

Advisory
Feb 3, 2026

Living off the Land i moderna obrana

Articles
Jan 28, 2026
// Newsletter //

Prijava na newsletter

Budite u toku s najnovijim sigurnosnim upozorenjima, analizama i praktičnim savjetima naših stručnjaka.

Thanks for joining our newsletter.
Oops! Something went wrong.
Subscribe To Our Weekly Newsletter - Cybersecurity X Webflow Template

Relevatne teme

Pogledaj sve objave
Purple Team suradnja koja jača obranu

Purple Team suradnja koja jača obranu

Suradnja Red i Blue tima u praksi

Articles
Feb 17, 2026
Notepad++ kompromitacija updatea

Notepad++ kompromitacija updatea

Napad na Notepad++ update mehanizam 2026

Advisory
Feb 3, 2026