Lateral Movement erkennen und verstehen

B2B Cyber Security ShortNews

Beitrag teilen

Bedrohungsakteure verschaffen sich durch Phishing oder die Ausnutzung von ungepatchten Schwachstellen Zugang zu einer Unternehmensanwendung, nehmen die Identität eines legitimen Users an und dringen mit Lateral Movement immer tiefer in verschiedenste Teile des Netzwerkwerks ein.

Dort können sie Daten exfiltrieren, Systeme und Datenbanken lahmlegen und manipulieren oder andere Angriffe durchführen. Die Bedrohungsakteure schlagen nicht direkt zu, sondern versuchen möglichst lange unbemerkt im Hintergrund zu operieren. Ziel der meisten Cyberkriminellen ist es, Daten zu stehlen oder zu verschlüsseln, um Lösegelder zu erpressen – sprich Ransomware-Attacken. Je mehr Zeit die Angreifer unbemerkt im Netzwerk ihrer Opfer verbringen, desto mehr Daten, Informationen und Zugangsrechte können sie sich zu eigen machen und desto größer ist der potenzielle Schaden. Ein beliebtes Vorgehen ist dabei Vulnerability Chaining, also die Verkettung mehrerer Schwachstellen. Arctic Wolf hat in seinem Labs Threat Report die am häufigsten ausgenutzten Schwachstellen zusammengefasst, die Unternehmen auf dem Schirm haben und patchen sollten.Beim Lateral Movement kommen unterschiedliche Techniken zum Einsatz:

Anzeige
  • Ausnutzung von Remote-Diensten
  • Internes Spear-Phishing
  • Lateral Tool-Transfer
  • Remote-Hijacking
  • Remote-Desktop-Protokoll
  • Cloud-Service-Login
  • Application Access Token

Die Zeitspanne bis zum Lateral Movement wird als „Breakout Time“ bezeichnet. Kann ein Angriff innerhalb dieses Zeitfensters gestoppt werden, können Kosten, Schäden und mögliche Geschäftsunterbrechungen oder Ausfallzeiten erheblich reduziert oder ganz vermieden werden.

Lateral Movement erkennen und stoppen

  • Überwachung der IT-Umgebung in Echtzeit: Moderne Monitoring-Lösungen, wie z. B. Managed Detection and Response (MDR), können ungewöhnliche Aktivitäten (z. B. die Anmeldung eines Users bei einer Anwendung, bei der er sich normalerweise nicht einloggt), Regeländerungen innerhalb von Applikationen oder plötzliche Aktivitäten eines einzelnen Nutzers innerhalb der IT-Infrastruktur erkennen. Unternehmen können diese Aktivitäten überwachen und sie mit den oben genannten Techniken und entsprechenden Verhaltensmustern abgleichen, um Fälle von Lateral Movement frühzeitig zu erkennen und Angreifer, die sich unbefugt in der IT-Umgebung bewegen, zu stoppen.
  • Verhaltensanalyse: Da viele TTPs breit zugängliche Tools und kompromittierte Benutzerkonten beinhalten, braucht es eine fortschrittliche Verhaltensanalyse, um Anomalien und böswillige Absichten zuverlässig zu identifizieren.

Lateral Movement zu erkennen und zu stoppen, ist nicht einfach. Aber gerade, weil sich Cyberkriminelle über diese Taktik jedoch Zugang zu tiefen Schichten der IT verschaffen können, sind Schutzvorkehrungen gegen diese Angriffe eine wichtige Komponente der Cybersicherheit. Sie können den Unterschied ausmachen, ob ein Sicherheitsvorfall lediglich eine versuchte Attacke ist, die früh im Keim erstickt wurde, oder ein erfolgreicher Hack, der Unternehmen lahmlegt oder die Angreifer in die Lage versetzt, Systeme und Daten zu verschlüsseln und Lösegeld zu erpressen.

Mehr bei ArcticWolf.com

 


Über Arctic Wolf

Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.


 

Passende Artikel zum Thema

Vishing-Angriffe mit KI

Menschen am Telefon sind äußerst anfällig für KI-gestützte Vishing-Angriffe. Die Bedrohung durch solche modernen Technologien wird besonders deutlich, wenn man ➡ Weiterlesen

Ransomware-Studie: Vier-Jahres-Hoch im Gesundheitswesen

In seinem Report „The State of Ransomware in Healthcare 2024“ veröffentlicht Sophos seine aktuellen Ergebnisse über die steigenden Angriffe auf ➡ Weiterlesen

Datendiebstahl: CeranaKeeper missbraucht Dropbox, OneDrive & Co

Noch treibt der Bedrohungsakteur CeranaKeeper nur Datendiebstahl in Asien. Dort nutzt er Dienste wie Pastebin, Dropbox, OneDrive und GitHub für ➡ Weiterlesen

FBI vs. Star Blizzard: Russische APT-Gruppe verliert 100 Domains

Nach der offiziellen Meldung des US-Justizministerium hat das FBI die Spear-Phishing-Bemühungen des russischen Geheimdienstes stark beschnitten, in dem es 41 ➡ Weiterlesen

BSI: Tausende Exchange-Server weiterhin verwundbar

Die aktuellen Zahlen des CERT bezüglich veralteter Microsoft Exchange-Server in Deutschland sind alarmierend. Laut dem Bericht sind 28 % der ➡ Weiterlesen

Root Zertifikats-Störung: 80 % Fortune-500-Unternehmen betroffen

Der Ausfall eines ServiceNow SSL Root Zertifikat führte zu Störungen bei 600 Unternehmen. Davon sollen 80 Prozent zu den Fortune-500-Unternehmen ➡ Weiterlesen

Hochgefährliche Schwachstelle in Linux CUPS

Das CUPS (Common Unix Printing System) ist ein Printspooler der nun eine hochgefährliche Schwachstelle aufweist. Das BSI gibt an, dass ➡ Weiterlesen

Webinar 08. Oktober: Countdown für NIS2

Ab 18. Oktober 2024 müssen Unternehmen die NIS2-Richtlinie einhalten. Uniscom mit idgard lädt zum kostenlosen Webinar am 08. Oktober 2024 ➡ Weiterlesen