Arten von Seitwärtsbewegungstechniken
Sobald Cyberkriminelle in die Umgebung eines Unternehmens eingedrungen sind, können sie ihren Zugriff auf verschiedene Weise erweitern.
Zu den gängigen Techniken gehören die folgenden:
- Diebstahl von Anmeldedaten: Sobald ein Angreifer Zugriff auf Unternehmenssysteme hat, versucht er häufig, Passwort-Hashes zu stehlen und den Netzwerkverkehr abzuhören. Dies kann ihnen über das Knacken von Passwörtern, Pass-the-Hash- und Pass-the-Ticket-Angriffen Zugriff auf zusätzliche Konten verschaffen.
- Intern Spear Phishing: Anti-Phishing-Schulungen konzentrieren sich häufig auf die Identifizierung schädlicher Nachrichten, die von außerhalb des Unternehmens stammen. Wenn ein Angreifer auf die Konten eines legitimen Benutzers zugreifen kann, kann er viel plausiblere Spear-Phishing-E-Mails, Slack-Nachrichten oder andere Nachrichten senden.
- Ausnutzung von Schwachstellen: Genau wie die nach außen gerichteten Anwendungen einer Organisation können auch interne Anwendungen und Systeme ausnutzbare Schwachstellen aufweisen. Angreifer können diese Schwachstelle ausnutzen, um Zugriff auf weitere Systeme und Daten zu erhalten.
Stadien der Seitwärtsbewegung
Während Angreifer mehrere Techniken für die laterale Bewegung verwenden können, bleibt der Gesamtprozess weitgehend gleich.
Zu den drei Hauptphasen der Seitwärtsbewegung gehören:
- Reconnaissance: Firewalls und andere Netzwerksicherheitslösungen schränken die Fähigkeit eines externen Angreifers ein, etwas über die interne Struktur des Unternehmensnetzwerks zu erfahren. Sobald sich Cyber-Bedrohungsakteure im Netzwerk befinden, beginnen sie in der Regel damit, Aufklärungsarbeit zu leisten und dabei das System, das sie kompromittiert haben, sowie die Struktur des restlichen Netzwerks zu untersuchen. Basierend auf diesen Informationen können sie einen Plan zur Erreichung ihrer Ziele entwickeln.
- Diebstahl von Anmeldeinformationen: Lateral Movement beinhaltet oft den Diebstahl und die Verwendung legitimer Anmeldeinformationen. Angreifer können auf Zugangsdaten zugreifen, indem sie diese von kompromittierten Systemen auslagern, Keylogger verwenden, den Netzwerkverkehr ausspionieren oder Phishing-Angriffe durchführen. Oft werden Anmeldeinformationen in Form von Passwort-Hashes gestohlen, die geknackt werden müssen, um sich bei einigen Systemen anzumelden.
- Zugriff erlangen: Nachdem ein Angreifer ein neues System identifiziert, ein Benutzerkonto kompromittiert oder eine ausnutzbare Schwachstelle gefunden hat, kann er seitlich vordringen oder seinen Zugriff erweitern. Von ihrem neuen Standbein aus können sie vielleicht ihre Ziele erreichen oder den Prozess von vorne beginnen.
Erkennen und Verhindern von seitlichen Bewegungen
Unternehmen können verschiedene Maßnahmen ergreifen, um Angreifer, die sich seitlich durch ihr Netzwerk bewegen, zu verhindern oder zu erkennen.
Zu den Best Practices gehören die folgenden:
- Sichere Authentifizierung – MFA: Cyberkriminelle verwenden häufig kompromittierte Anmeldeinformationen, um sich lateral durch die Systeme eines Unternehmens zu bewegen. Die Implementierung einer starken Passwortrichtlinie und die Durchsetzung der Verwendung der mehrstufigen Authentifizierung (MFA) können zum Schutz vor dieser Bedrohung beitragen.
- Zero-Trust-Sicherheit: Eine Zero-Trust-Sicherheitsrichtlinie gewährt Benutzern, Anwendungen usw. nur den Zugriff und die Berechtigungen, die für die Ausführung ihrer Aufgaben erforderlich sind. Durch die Zugriffsbeschränkung wird es für einen Angreifer schwieriger, sich über ein kompromittiertes Konto seitlich im Netzwerk zu bewegen.
- Erweiterte Erkennung und Reaktion (XDR): Cyber-Bedrohungsakteure versuchen häufig, unter dem Radar zu fliegen, wenn sie sich durch die Systeme eines Unternehmens bewegen. Der Kontext und die zentralisierte Transparenz, die XDR bietet, können von unschätzbarem Wert sein, um potenzielle Indikatoren für laterale Bewegungen zu identifizieren.
- E-Mail-Sicherheit: Phishing-Angriffe sind eine gängige Möglichkeit für Angreifer, sich ersten Zugriff zu verschaffen und sich seitlich durch die Systeme eines Unternehmens zu bewegen. E-Mail-Sicherheitslösungen können dabei helfen, verdächtige Nachrichten zu identifizieren und zu warnen.
- Endpoint Detection and Response (EDR): Lateral Movement beginnt üblicherweise mit der Kompromittierung eines Endgeräts und dem Diebstahl sensibler Informationen (Anmeldeinformationen usw.). EDR kann zum Schutz vor dem ersten Eindringen beitragen und das Ablegen von Anmeldeinformationen, die Installation von Keyloggern und ähnliche Bedrohungen erkennen.
- Analyse des Netzwerkverkehrs: Über das Netzwerk erfolgt eine seitliche Bewegung. Die Analyse des Netzwerkverkehrs kann dabei helfen, anomalen Verkehr zu identifizieren, der auf Aufklärung oder seitliche Bewegung hinweisen könnte.
Querbewegungssicherung mit Check Point
Im Idealfall wird ein Angreifer identifiziert und blockiert, bevor er Zugriff auf die Systeme eines Unternehmens erhält. Wenn dies jedoch nicht geschieht, ist es das Nächstbeste, ihren Zugang zu sperren und sie daran zu hindern, ihre Ziele zu erreichen.
Check Point-Lösungen bieten Unternehmen die Transparenz und Datenanalyse, die sie benötigen, um laterale Bewegungen in ihrem Netzwerk zu erkennen und dagegen vorzugehen. Check Point Horizon Erfahren Sie mehr über den Schutz Ihres Netzwerks mit Check Point, indem Sie sich noch heute für das Horizon XDR Early Availability Program anmelden .
Feedback