Seitliche Bewegung

Wichtige Erkenntnisse

Bei mehr als 70 % der erfolgreichen Einbrüche wurden Techniken der Seitwärtsbewegung eingesetzt, was deren Verbreitung bei Cyberangriffen unterstreicht. (Quelle: CrowdStrike 2020 Global Threat Report)
Unternehmen, die aktiv nach Bedrohungen suchen, einschließlich lateraler Bewegungen, können die Verweildauer von Angriffen um bis zu 70 % reduzieren. (Quelle: SANS Institute)

Techniken der seitlichen Bewegung

Pass-the-Hash (PtH): Bei dieser Technik werden gestohlene Kennwort-Hashes verwendet, um Benutzer auf anderen Systemen zu authentifizieren und sich als solche auszugeben, um so unbefugten Zugang zu gewähren.
Pass-the-Ticket (PtT): Angreifer nutzen das Kerberos-Ticket (TGT) aus, um sich seitlich innerhalb eines Netzwerks zu bewegen und die Authentifizierungsdaten des Opfers auszunutzen.
Overpass-the-Hash (OtH): Ähnlich wie bei PtH geht es bei OtH um die Manipulation von Passwort-Hashes, aber anstatt sie direkt zu verwenden, überschreiben Angreifer bestehende Hashes, um ihre Rechte zu erhöhen.
Goldenes Ticket: Durch die Kompromittierung der Active Directory-Datenbank können Angreifer TGS-Tickets (Ticket Granting Service) fälschen, die ihnen uneingeschränkten Zugriff auf das gesamte Netzwerk ermöglichen.
Remote Desktop Protocol (RDP) Hijacking: Bei dieser Technik werden aktive RDP-Sitzungen gekapert, um die Kontrolle über entfernte Systeme zu erlangen, was eine seitliche Bewegung im Netzwerk ermöglicht.

Aufspüren und Verhindern von Seitenverschiebungen

Die Verhinderung und Abschwächung von Seitwärtsbewegungen erfordert einen mehrschichtigen Sicherheitsansatz. Hier sind einige wichtige Maßnahmen, die zu berücksichtigen sind:

Netzwerksegmentierung: Die Aufteilung des Netzwerks in kleinere, isolierte Segmente schränkt die potenziellen Auswirkungen von Seitwärtsbewegungen ein und minimiert die Möglichkeiten eines Angreifers, das Netzwerk unentdeckt zu durchqueren.
Endpoint : Die Implementierung robuster Sicherheitslösungen für endpoint , einschließlich Firewalls, Antivirensoftware und Systemen zur Erkennung von Eindringlingen, hilft bei der Erkennung und Blockierung von Seitwärtsbewegungen.
Abschwächung der Privilegieneskalation: Die Durchsetzung des Prinzips der geringsten Privilegien (PoLP) und regelmäßige Aktualisierungen und Patches für Systeme verringern die Wahrscheinlichkeit, dass Angreifer ihre Privilegien erfolgreich ausweiten.
Analyse des Benutzer- und Entitätsverhaltens (UEBA): Der Einsatz von UEBA-Lösungen hilft bei der Identifizierung anomaler Verhaltensmuster, wie z. B. ungewöhnliche Kontozugriffe oder ungewöhnliche Datenübertragungen, und ermöglicht so die frühzeitige Erkennung von Seitwärtsbewegungen.

Berühmt-berüchtigte Angriffe in der Seitwärtsbewegung

Operation Aurora: Im Jahr 2009 wurden große Technologieunternehmen Ziel einer Reihe raffinierter Cyberangriffe. Die Angreifer setzten eine Kombination aus phishing, Watering-Hole-Angriffen und Lateral-Movement-Techniken ein, um in das Unternehmen einzudringen und geistiges Eigentum zu stehlen.
WannaCry Ransomware: WannaCry wurde 2017 freigesetzt und nutzte eine Schwachstelle im Windows-Betriebssystem aus, um weltweit Hunderttausende von Systemen zu infizieren. Sobald sie sich in einem Netzwerk befand, breitete sie sich schnell aus, verschlüsselte Dateien und forderte Lösegeldzahlungen.
NotPetya: NotPetya, ein destruktiver malware , richtete im Jahr 2017 großen Schaden an. Er nutzte Techniken der lateralen Ausbreitung, um sich in Netzwerken zu verbreiten, und richtete bei zahlreichen Organisationen weltweit großen Schaden an.

Seitliche Bewegung: Neue Bedrohungen und Abhilfestrategien

Zero Trust : Die Einführung eines zero trust , bei dem kein Benutzer oder System von Natur aus vertrauenswürdig ist, bietet einen vielversprechenden Schutz gegen Seitwärtsbewegungen, indem alle Netzwerkaktivitäten kontinuierlich überprüft und authentifiziert werden.
>Lesen Sie mehr über Zero Trust
‍
Threat Hunting: Bei der proaktiven threat hunting wird aktiv nach Indikatoren für eine Gefährdung und Anzeichen für seitliche Bewegungen innerhalb eines Netzwerks gesucht, um eine rechtzeitige Erkennung und Eindämmung zu ermöglichen.
>Lesen Sie mehr über Threat Hunting
‍
Täuschungstechnologien: Durch den Einsatz von Täuschungssystemen, Honeypots und anderen Täuschungstechniken können Angreifer dazu gebracht werden, ihre Anwesenheit und ihre Absichten preiszugeben, um so eine seitliche Bewegung zu verhindern.

Erkennen und verhindern Sie seitliche Bewegungen mit Vectra AI

Vectra bietet fortschrittliche Funktionen zur Erkennung von und Reaktion auf Bedrohungen und nutzt künstliche Intelligenz und Algorithmen des maschinellen Lernens, um Versuche von Seitwärtsbewegungen in Echtzeit zu erkennen und zu vereiteln. Mit seinem umfassenden Einblick in Ihr Netzwerk bietet Vectra verwertbare Erkenntnisse und priorisierte Warnungen, sodass Sicherheitsteams potenzielle Bedrohungen schnell untersuchen und darauf reagieren können.

Durch die Nutzung der fortschrittlichen Analyse- und Erkennungsfunktionen von Vectra können Sie Ihre Sicherheitslage verbessern und das Risiko erfolgreicher Lateral Movement-Angriffe erheblich reduzieren. Mit der leistungsstarken Vectra Threat Detection Platform schützen Sie die kritischen Ressourcen Ihres Unternehmens und sind Cyber-Angreifern immer einen Schritt voraus.

Weitere Grundlagen der Cybersicherheit

Häufig gestellte Fragen

Was versteht man unter Seitwärtsbewegung in der Cybersicherheit?

Seitliche Bewegungen beziehen sich auf die Techniken, die Cyber-Angreifer einsetzen, um sich in einem Netzwerk zu bewegen, nachdem sie den ersten Zugang erhalten haben. Ziel ist es, wertvolle Daten zu finden und zu exfiltrieren oder die Kontrolle über kritische Systeme zu erlangen, oft durch Ausweitung von Privilegien oder Ausnutzung von Schwachstellen innerhalb des Netzwerks.

Wie führen Angreifer seitliche Bewegungen aus?

Angreifer bewegen sich seitwärts, indem sie kompromittierte Anmeldeinformationen ausnutzen, Schwachstellen ausbeuten, Tools wie PsExec oder Mimikatz für das Dumping von Anmeldeinformationen verwenden, sich von einem kompromittierten Host zu einem anderen bewegen und legitime Netzwerkadministrations-Tools einsetzen, um eine Entdeckung zu vermeiden.

Was sind die üblichen Indikatoren für eine Seitwärtsbewegung?

Zu den üblichen Indikatoren gehören ungewöhnliche Anmeldeversuche, insbesondere zu ungeraden Uhrzeiten, Spitzen im Netzwerkverkehr, unerwarteter Zugriff auf sensible Bereiche, die Verwendung von Remote-Desktop-Protokollen und die Erkennung bekannter Tools, die zur Netzwerkerkennung, zum Dumping von Anmeldeinformationen oder zur Ausweitung von Berechtigungen verwendet werden.

Wie können Unternehmen Querbewegungen erkennen?

Unternehmen können Seitwärtsbewegungen erkennen, indem sie eine Netzwerksegmentierung vornehmen, den Netzwerkverkehr auf ungewöhnliche Muster überwachen und analysieren, fortschrittliche EDR-Lösungen ( endpoint Detection and Response) einsetzen und SIEM-Systeme (Security Information and Event Management) für die Protokollanalyse und -korrelation verwenden.

Welche Strategien können helfen, seitliche Bewegungen zu verhindern?

Zu den Präventivstrategien gehören: Durchsetzung einer starken Authentifizierung und Zugangskontrolle. Implementierung einer Netzwerksegmentierung, um die Bewegungsfreiheit von Angreifern einzuschränken. Regelmäßige Aktualisierung und Patching der Systeme, um Schwachstellen zu beseitigen. Anwendung des Prinzips der geringsten Privilegien für Benutzerkonten und Dienste. Kontinuierliche Überwachung auf verdächtige Aktivitäten. Schulung der Mitarbeiter in der Erkennung von phishing und anderen Social-Engineering-Methoden.

Kann zero trust eine Seitwärtsbewegung verhindern?

Ja, eine zero trust kann Querbewegungen erheblich verhindern, da sie eine kontinuierliche Überprüfung aller Benutzer und Geräte unabhängig von ihrem Standort oder ihrer Netzzugangsstufe erfordert. Dieser Ansatz minimiert die Möglichkeiten der Angreifer, sich innerhalb eines Netzwerks frei zu bewegen.

Wie wichtig ist die Reaktion auf Zwischenfälle bei der Eindämmung von Seitwärtsbewegungen?

Die Reaktion auf Vorfälle spielt eine entscheidende Rolle bei der Eindämmung von Seitwärtsbewegungen, indem sie sicherstellt, dass jede anfängliche Kompromittierung schnell entdeckt, eingedämmt und beseitigt wird, so dass Angreifer daran gehindert werden, seitlich auf andere Teile des Netzwerks überzugreifen.

Welche Rolle spielt die threat hunting bei der Aufdeckung von Seitwärtsbewegungen?

Bei der Threat hunting geht es um die proaktive Suche nach Cyber-Bedrohungen, die sich den bestehenden Sicherheitsmaßnahmen entziehen, einschließlich Anzeichen für seitliche Bewegungen. Erfahrene Bedrohungsjäger können subtile Anzeichen für eine Kompromittierung erkennen und dabei helfen, heimliche Angreiferbewegungen innerhalb des Netzwerks aufzudecken und zu bekämpfen.

Wie können Unternehmen ihre Abwehrmaßnahmen gegen Seitwärtsbewegungen verbessern?

Unternehmen können ihren Schutz verbessern, indem sie in fortschrittliche Cybersecurity-Tools investieren, eine ganzheitliche Sicherheitsstrategie einführen, die regelmäßige Sicherheitsbewertungen, Bedrohungsdaten, einen robusten endpoint und die Förderung einer Kultur des Sicherheitsbewusstseins bei allen Mitarbeitern umfasst.

Welche zukünftigen Entwicklungen sind zu erwarten, um den Schutz gegen seitliche Bewegungen zu verbessern?

Künftige Entwicklungen könnten Fortschritte bei der KI und bei Technologien des maschinellen Lernens zur besseren Erkennung anormaler Aktivitäten, eine breitere Einführung von zero trust und einen verbesserten Austausch von Bedrohungsdaten zwischen Organisationen umfassen, um Taktiken der Querbewegung effektiver zu erkennen und zu entschärfen.