Ein Lateral Movement-Angriff liegt vor, wenn sich der Cyberkriminelle Zugang zu einem ursprünglichen Ziel verschafft, um sich unbemerkt zwischen Geräten innerhalb des Netzwerks zu bewegen.
In diesem Artikel erklären wir im Detail, was laterale Bedrohungen sind und wie man sie vermeiden kann. Möchten Sie mehr darüber erfahren? Lesen Sie unseren Text bis zum Ende.
Ein Angriff von der Seite kann sich auf unterschiedliche Weise und zu unterschiedlichen Zwecken darstellen.
In der Praxis geht es bei dieser Art von Aktion darum, sich Zugang zu einem Einstiegspunkt zu verschaffen, der dem ursprünglichen Ziel entspricht, so dass der Angreifer später Zugang zu anderen Stellen im Netzwerk erlangen kann, um z. B. Daten zu stehlen oder Geräte zu infizieren und eine Lösegeldzahlung zu verlangen.
Es ist jedoch möglich, laterale Bedrohungen mit Hilfe eines IT-Teams, das darauf vorbereitet ist, sie rechtzeitig zu erkennen, und mit der Unterstützung leistungsstarker Cybersicherheitslösungen wie PAM zu vermeiden.
In diesem Artikel geben wir Ihnen die wichtigsten Informationen über einen Angriff mit seitlichen Bewegungen. Um die Lektüre zu erleichtern, haben wir unseren Text nach Themen gegliedert.
Diese sind:
1. Was ist ein Lateral Movement-Angriff?
2. Wie läuft ein Angriff mit lateraler Bewegung ab?
3. Beispiele für Angriffe mit lateraler Bewegung
4. Wie erkennt man einen Angriff mit lateraler Bewegung?
5. Wie kann man einen Angriff mit lateraler Bewegung verhindern?
6. PAM senhasegura: die ideale Lösung zur Verhinderung von Angriffen mit lateralen Bewegungen
7. Über senhasegura
8. Schlussfolgerung
1. Was ist ein Lateral Movement Angriff?
Ein Lateral Movement-Angriff liegt vor, wenn Cyberkriminelle den aktuellen Zugang nutzen, um sich im restlichen Netz zu bewegen und Computer und interne Server zu infizieren, bis sie unerkannt ihr Ziel erreichen.
Nach dem Eindringen nutzt der böswillige Angreifer verschiedene Ressourcen, um seine Privilegien zu erhöhen und Zugang zu sensiblen Daten und anderen wertvollen Ressourcen zu erhalten.
Da diese Art von Angriffen die Entdeckung von Cyberkriminellen verhindert, können sie lange Zeit in der IT-Umgebung verbleiben, und es kann Wochen oder sogar Monate dauern, bis sie entdeckt werden.
2. Wie läuft ein Lateral Movement Angriff ab?
Ein Lateral-Movement-Angriff geht von einem Einstiegspunkt aus, bei dem es sich um einen gestohlenen Zugangscode, einen mit Malware infizierten Computer oder eine andere Einbruchsstrategie handeln kann.
Dieser Punkt ist in der Regel mit dem Command-and-Control-Server (C&C-Server) des Angreifers verbunden, der es ihm ermöglicht, Informationen zu speichern, die von Geräten gestohlen wurden, auf die aus der Ferne zugegriffen wurde und die mit Malware infiziert sind.
An diesem Punkt erkundet der Angreifer das Netzwerk und beobachtet dessen Benutzer und Geräte. Daher verstehen sie die Host-Nomenklaturen und Netzwerkhierarchien, identifizieren Betriebssysteme und stellen einen Plan für gezielte Angriffe zusammen.
Böswillige Agenten nutzen nach wie vor Ressourcen, die es ihnen ermöglichen, herauszufinden, wo sie sich im Netz befinden, worauf sie zugreifen können und welche Art von Schutz in Kraft ist.
3. Beispiele für Angriffe mit seitlichen Bewegungen
Es gibt mehrere Arten von Cyberangriffen, die mit einer Seitwärtsbewegung in Verbindung gebracht werden können. Zu nennen sind hier: Spionage, Datenexfiltration, Botnet und Ransomware-Infektion.
Im Falle von Spionage können Hacker, die mit rivalisierenden Nationen und Gruppen oder konkurrierenden Unternehmen verbunden sind, einen Querschlägerangriff durchführen, um die Aktivitäten einer Regierung oder Organisation zu überwachen.
Wenn die Motivation für die Straftat nicht auf finanziellem Gewinn beruht, versuchen böswillige Angreifer in der Praxis meist, lange Zeit im Verborgenen zu bleiben.
Bei der Datenexfiltration verschiebt oder kopiert der Angreifer unbefugt Informationen, die einem Unternehmen gehören. Für diese Art von Angriffen gibt es verschiedene Motive, darunter der Diebstahl geistigen Eigentums, die Forderung nach Lösegeld für gestohlene Daten oder Identitätsdiebstahl.
Botnet-Infektionen treten in der Regel bei verteilten Denial-of-Service-Angriffen auf. In diesem Sinne nutzen die Hacker die laterale Bewegung, um viele Geräte zu ihrem Botnet hinzuzufügen und dessen Leistung zu erhöhen1.
Schließlich könnte der Angriff durch laterale Bewegungen auch mit Ransomware zusammenhängen, die Cyberkriminelle dazu veranlasst, so viele Geräte wie möglich zu infizieren, um Lösegeldzahlungen zu fordern.
4. Wie erkennt man einen Lateral Movement-Angriff?
Die Handlungen böswilliger Akteure können für ein IT-Team, das auf einen Angriff mit seitlichen Bewegungen vorbereitet ist, verdächtig wirken.
Denn diese Fachleute müssen bei jedem ungewöhnlichen Ereignis wachsam bleiben und alle Bewegungen in der IT-Umgebung untersuchen, um nicht Gefahr zu laufen, Anomalien zu übersehen, die eine Bedrohung durch eine seitliche Bewegung darstellen.
Um die IT-Teams bei dieser Aufgabe zu unterstützen, ist es für Unternehmen ratsam, über automatisierte Lösungen zu verfügen, die die Interaktionen zwischen Geräten und/oder Computern überwachen und Informationen über gefundene Schwachstellen liefern.
Durch das Sammeln der erforderlichen Daten beginnt die Anwendung, die Software zu kontrollieren und bietet Netzwerksicherheit, um den Zugriff böswilliger Angreifer zu verhindern, die daran gehindert werden, sich seitlich zu bewegen oder Privilegien zu erlangen.
Die wichtigsten Schritte eines Angriffs mit seitlichen Bewegungen sind die Ausnutzung eines ersten Ziels, die Herstellung der Kommunikation zwischen dem Cyberkriminellen und dem Ziel, das Festhalten am ersten Ziel und die Identifizierung und Ausnutzung anderer Ziele im Netz.
5. Wie kann man einen Angriff mit lateralen Bewegungen verhindern?
Die meisten Organisationen sind mit Angriffen von böswilligen Akteuren konfrontiert oder werden es unweigerlich sein. Daher ist es ideal, wenn sie darauf vorbereitet sind, diese Bedrohungen so schnell wie möglich einzudämmen und finanzielle Verluste zu vermeiden.
Eine Möglichkeit, die seitliche Ausbreitung von Ransomware und anderen Arten von Angriffen zu stoppen, ist die Mikrosegmentierung, die es ermöglicht, Anlagen und Anwendungen zu isolieren und böswillige Angreifer und Ransomware daran zu hindern, sich über das Netzwerk auszubreiten.
Es ist auch möglich, anfällige Teile des Netzwerks zu schließen, indem man einen ethischen Hacker beauftragt, einen Penetrationstest durchzuführen, der zeigt, wie weit ein Cyberkrimineller in das Netzwerk eindringen kann, ohne entdeckt zu werden.
Anhand der vom Hacker gewonnenen Erkenntnisse kann das Unternehmen die Schwachstellen beheben, die zu Unsicherheiten führen.
Wenn es Ihr Ziel ist, einen Angriff auf Ihr Unternehmen zu verhindern, ist es auch wichtig, die Zero-Trust-Philosophie für die Netzwerksicherheit zu übernehmen, bei der kein Benutzer, keine Verbindung und kein Gerät standardmäßig vertrauenswürdig sein sollte.
Auch die Endpunktsicherheit sollte nicht außer Acht gelassen werden. Daher ist es sehr empfehlenswert, Sicherheitstechnologien auf Geräte wie Smartphones, Notebooks und Desktop-Computer anzuwenden.
Empfehlenswert ist auch die Verwendung mehrerer Authentifizierungsfaktoren, die es einem böswilligen Angreifer erschweren, zu agieren, da er zusätzlich zu den Anmeldedaten weitere Authentifizierungsfaktoren wie ein Token oder sogar den Fingerabdruck des Benutzers benötigt, um agieren zu können.
Schließlich ist es wichtig, die Benutzerprivilegien durch PAM einzuschränken, da dies die beste Lösung für Unternehmen ist, die Angriffe von außen verhindern wollen.
In der Praxis besteht die Rolle von PAM darin, den regulären Benutzerkonten hohe Privilegien zu entziehen und administrative Konten mit begrenztem Zugriff auf bestimmte Aktivitäten zu verwenden. Dies kann die Wahrscheinlichkeit eines erfolgreichen Lateral Movement-Angriffs verringern, wenn der böswillige Angreifer das Konto eines nicht privilegierten Benutzers kompromittiert.
In der Regel unterhalten Unternehmen zahlreiche privilegierte Konten, die administrative Aufgaben in der IT-Umgebung ermöglichen, was ein Risiko für ihre digitale Sicherheit darstellt. Daher sollte PAM eingeführt werden, um die Angriffsfläche zu verringern und Systeme und Daten unter anderem vor Lateral Movement-Angriffen zu schützen.
6. PAM senhasegura: die ideale Lösung zur Verhinderung von Angriffen mit lateralen Bewegungen
Wie bereits erwähnt, ist PAM eine unverzichtbare Lösung zur Verhinderung erfolgreicher Lateral Movement Attacken.
Seit 2001 bieten wir von senhasegura dem globalen Markt eine PAM-Lösung mit Funktionen, die die digitale Sicherheit von Organisationen auf der ganzen Welt gewährleisten. Unter den Vorteilen sind folgende hervorzuheben:
- Schnelle Bereitstellung und einfache Wartung
- Vollständige Verwaltung der privilegierten Zugänge über den gesamten Lebenszyklus
- Keine zusätzlichen Kosten
- Personalisiertes Angebot an leistungsstarken Hardware-Appliances
- Verwaltung von DevOps-Geheimnissen
- Integrierte Verwaltung von digitalen Zertifikaten
- Lösungen für Cloud-Infrastrukturen, etc.
7. Über senhasegura
Wir bei senhasegura sind bei unseren Kunden und IT-Beratungsunternehmen weltweit als führend im Bereich Cybersicherheit anerkannt.
Unsere Mission ist es, die Souveränität von Organisationen über ihre privilegierten Informationen durch PAM zu gewährleisten und Datendiebstahl und -verluste sowie Zeiten der Inaktivität zu verhindern, die sich auf die Unternehmensleistung auswirken.
Zu diesem Zweck verfolgen wir den Lebenszyklus des Privileged Access Management mit Hilfe von Maschinenautomatisierung vor, während und nach dem Zugriff.
Neben der automatischen Überprüfung der Nutzung von Privilegien untersuchen wir privilegierte Aktionen, um Missbrauch zu verhindern, Cyber-Risiken zu reduzieren und Organisationen in Übereinstimmung mit Audit-Kriterien und Standards wie HIPAA, PCI DSS, ISO 27001 und Sarbanes-Oxley zu bringen.
8. Fazit
In diesem Artikel haben Sie gesehen, dass:
- Ein Lateral Movement-Angriff kann sich auf verschiedene Weise äußern
- Hacker verschaffen sich Zugang zu einem Einstiegspunkt und nutzen diesen, um sich durch den Rest des Netzwerks zu bewegen und Computer und interne Server zu infizieren, bis sie ihr Ziel erreichen.
- Es kann Wochen oder sogar Monate dauern, bis bösartige Agenten entdeckt werden.
- Beispiele für Lateral Movement-Angriffe sind Spionage, Datenexfiltration, Botnet-Infektionen und Ransomware
- Um einen Lateral Movement-Angriff zu erkennen, sind qualifizierte Fachleute und wirksame Lösungen erforderlich.
- Um diese Art von Angriffen zu verhindern, werden folgende Maßnahmen empfohlen: Mikrosegmentierung, Penetrationstests, Einführung der Zero-Trust-Sicherheitsphilosophie1 und Endpunktsicherheit sowie Investitionen in eine PAM-Lösung, die jedem Benutzer nur den für die Ausführung seiner Aufgaben erforderlichen Zugriff gewährt.
Source: senhasegura-Blog
Fachartikel
Cloudflare enthüllt ein komplexes KI-System zur Abwehr automatisierter Angriffe
Vorsicht vor der Absicht-Ökonomie: Sammlung und Kommerzialisierung von Absichten über große Sprachmodelle
Sicherung von SAP BTP – Die Grundlagen: Stärkung des Unternehmens ohne Einbußen bei der Sicherheit
Ghost Ransomware: Diese Sofortmaßnahmen sind nötig
Sichere und schnelle Identitätsprüfung: So gelingt effizientes Onboarding
Studien
Digitaler Verbraucherschutz: BSI-Jahresrückblick 2024
Keyfactor-Studie: 18 Prozent aller Online-Zertifikate bergen Sicherheitsrisiken – Unternehmen müssen handeln
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
Whitepaper
Adversarial Machine Learning: Eine Klassifizierung und Terminologie von Angriffen und Gegenmaßnahmen
HP warnt: „Ich bin kein Roboter“ CAPTCHAs können Malware verbreiten
Sysdig Usage Report zeigt: 40.000-mal mehr maschinelle als menschliche Identitäten – eine Herausforderung für die Unternehmenssicherheit
eBook: Cybersicherheit für SAP
