Bedrohungsakteure verschaffen sich durch Phishing oder die Ausnutzung von ungepatchten Schwachstellen Zugang zu einer Unternehmensanwendung, nehmen die Identität eines legitimen Users an und dringen mit Lateral Movement immer tiefer in verschiedenste Teile des Netzwerkwerks ein.
Dort können sie Daten exfiltrieren, Systeme und Datenbanken lahmlegen und manipulieren oder andere Angriffe durchführen. Die Bedrohungsakteure schlagen nicht direkt zu, sondern versuchen möglichst lange unbemerkt im Hintergrund zu operieren. Ziel der meisten Cyberkriminellen ist es, Daten zu stehlen oder zu verschlüsseln, um Lösegelder zu erpressen – sprich Ransomware-Attacken. Je mehr Zeit die Angreifer unbemerkt im Netzwerk ihrer Opfer verbringen, desto mehr Daten, Informationen und Zugangsrechte können sie sich zu eigen machen und desto größer ist der potenzielle Schaden. Ein beliebtes Vorgehen ist dabei Vulnerability Chaining, also die Verkettung mehrerer Schwachstellen. Arctic Wolf hat in seinem Labs Threat Report die am häufigsten ausgenutzten Schwachstellen zusammengefasst, die Unternehmen auf dem Schirm haben und patchen sollten.Beim Lateral Movement kommen unterschiedliche Techniken zum Einsatz:
- Ausnutzung von Remote-Diensten
- Internes Spear-Phishing
- Lateral Tool-Transfer
- Remote-Hijacking
- Remote-Desktop-Protokoll
- Cloud-Service-Login
- Application Access Token
Die Zeitspanne bis zum Lateral Movement wird als „Breakout Time“ bezeichnet. Kann ein Angriff innerhalb dieses Zeitfensters gestoppt werden, können Kosten, Schäden und mögliche Geschäftsunterbrechungen oder Ausfallzeiten erheblich reduziert oder ganz vermieden werden.
Lateral Movement erkennen und stoppen
- Überwachung der IT-Umgebung in Echtzeit: Moderne Monitoring-Lösungen, wie z. B. Managed Detection and Response (MDR), können ungewöhnliche Aktivitäten (z. B. die Anmeldung eines Users bei einer Anwendung, bei der er sich normalerweise nicht einloggt), Regeländerungen innerhalb von Applikationen oder plötzliche Aktivitäten eines einzelnen Nutzers innerhalb der IT-Infrastruktur erkennen. Unternehmen können diese Aktivitäten überwachen und sie mit den oben genannten Techniken und entsprechenden Verhaltensmustern abgleichen, um Fälle von Lateral Movement frühzeitig zu erkennen und Angreifer, die sich unbefugt in der IT-Umgebung bewegen, zu stoppen.
- Verhaltensanalyse: Da viele TTPs breit zugängliche Tools und kompromittierte Benutzerkonten beinhalten, braucht es eine fortschrittliche Verhaltensanalyse, um Anomalien und böswillige Absichten zuverlässig zu identifizieren.
Lateral Movement zu erkennen und zu stoppen, ist nicht einfach. Aber gerade, weil sich Cyberkriminelle über diese Taktik jedoch Zugang zu tiefen Schichten der IT verschaffen können, sind Schutzvorkehrungen gegen diese Angriffe eine wichtige Komponente der Cybersicherheit. Sie können den Unterschied ausmachen, ob ein Sicherheitsvorfall lediglich eine versuchte Attacke ist, die früh im Keim erstickt wurde, oder ein erfolgreicher Hack, der Unternehmen lahmlegt oder die Angreifer in die Lage versetzt, Systeme und Daten zu verschlüsseln und Lösegeld zu erpressen.
Mehr bei ArcticWolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.
Passende Artikel zum Thema