Worawut - stock.adobe.com
Angriffe durch Seitwärtsbewegungen erkennen und abwehren
Unternehmen können die Risiken von Angriffen mit Seitwärtsbewegungen reduzieren, wenn sie diese Security-Maßnahmen auf strategischer, operativer und proaktiver Ebene durchführen.
Angriffe auf Daten sollten nicht nur daran gemessen werden, wie Angreifer in ein System eindringen, sondern auch daran, was passiert, wenn sie erst einmal drin sind. Damit Angriffe letztlich erfolgreich sind, müssen sich Angreifer innerhalb einer IT-Umgebung frei bewegen können, um weitere Ressourcen zu infizieren und zu kontrollieren. CISOs müssen Sicherheitsstrategien und -prozesse entwickeln, die verhindern, dass böswillige Akteure tiefer in ein Netzwerk eindringen und mehr Schaden anrichten.
Was ist eine Seitwärtsbewegung?
Der erste Schritt bei einem Cyberangriff ist es, in einem Netzwerk Fuß zu fassen. Als Nächstes versuchen Cyberkriminelle, ihre Reichweite zu vergrößern, indem sie sich Zugang zu neuen Systemen verschaffen und ihre Berechtigungen erhöhen, was zu weiteren Möglichkeiten führt, ihre Position im Netzwerk zu festigen.
Seitwärtsbewegungen beinhalten den Zugriff auf mehr Rechner, die Erhöhung der Autorisierung durch die Erlangung zusätzlicher Rechte unter Verwendung legitimer Anmeldedaten und die Verbesserung der Überlebensfähigkeit durch die Installation zusätzlicher bösartiger Software. So können Angreifer innerhalb des Netzwerks unsichtbar bleiben, nach wertvollen Ressourcen suchen, Zugang zu Daten erhalten und einen Extraktionspfad schaffen.
Die Durchführung von Seitwärtsbewegungen ist ein charakteristisches Merkmal moderner, hochentwickelter bösartiger Akteure. Im Global Incident Response Threat Report 2022 (PDF) von VMware wurde festgestellt, dass bei 25 Prozent aller Angriffe eine seitliche Verlagerung vorgenommen wurde. Diese Taktik ist auch eine der 14 Angriffstaktiken für Unternehmen, die im Mitre ATT&CK Framework identifiziert wurden. Zu den spezifischen Techniken der Seitwärtsbewegung gehören das Hijacking von Fernzugängen und die Ausnutzung gültiger Konten.
Vorbeugung, Erkennung und Abwehr von Angriffen mit Seitwärtsbewegungen
Seitwärtsbewegungen sind schwer zu erkennen und zu verhindern, da sich die Angreifer hinter legitimen Anmeldedaten verstecken und sich auf mehreren Systemen aufhalten können. Viele Unternehmen haben ihre Security-Maßnahmen nicht angepasst und verbessert, um diese Angriffe zu erkennen und zu stoppen. Die Tools und Maßnahmen, die erforderlich sind, um Seitwärtsbewegungen zu stoppen oder zumindest einzudämmen, sind jedoch durchaus bekannt und können in Sicherheitsprogramme integriert werden.
Aspekte der Seitwärtsbewegung sollten in strategischer, operativer und proaktiver Hinsicht behandelt werden.
Strategisch
Analysieren Sie die Angriffsfläche. Ermitteln Sie die potenziellen Pfade, die Angreifer innerhalb Ihres Netzwerks einschlagen können, indem Sie eine Bestandsaufnahme aller Systeme und Geräte und ihrer Verbindungen durchführen.
Integrieren Sie Zero Trust. Die Grundsätze von Zero Trust wirken Seitwärtsbewegungen entgegen. Zero Trust geht davon aus, dass Ihr Netzwerk bereits durchbrochen ist und alle Identitäten, Geräte und Verbindungen als nicht vertrauenswürdig gelten, bis sie ausdrücklich und wiederholt überprüft werden. Zero Trust erfordert außerdem eine Netzwerksegmentierung und eine ständige Überwachung des Netzwerkverkehrs.
Operativ
Nutzen Sie Endpoint Detection and Response (EDR). EDR warnt frühzeitig vor verdächtigen Aktivitäten. Durch das Sammeln und Analysieren von Endpunktdaten über Prozesse, Verbindungen und Datenübertragungen kann EDR Systeminfektionen erkennen und blockieren und Daten bereitstellen, die bei der Suche nach der Ursache helfen.
Befolgen Sie grundlegende Cyberhygiene. Der Zugriff auf neue Systeme innerhalb eines Netzes erfordert die Ausnutzung von Schwachstellen auf Geräten. Führen Sie regelmäßig Patches und Systemaktualisierungen durch, um potenzielle Sicherheitslücken zu vermeiden.
Segmentieren Sie das Netz. Die Segmentierung eines Netzes in viele kleine Teile schränkt die Möglichkeiten für Seitwärtsbewegungen ein. Die Segmentierung verbessert auch die Zugangsverwaltung, Überwachung und Isolierung sensibler Daten.
Implementierung von identitätsbasierten Zugriffskontrollen. Die Durchsetzung strenger Zugriffskontrollen, einschließlich der Anwendung des Prinzips der geringsten Rechte und des Einsatzes von Tools zur Verwaltung von Zugriffsrechten, reduziert die Anzahl der Berechtigungen, die eine Person oder ein Gerät besitzt. Dadurch wird die Zahl der Personen, die auf bestimmte Daten, Geräte oder Systeme zugreifen können, begrenzt, was auch die Überwachung der Zugriffsaktivitäten erleichtert.
Proaktiv
Überwachung mit User and Entity Behavior Analytics (UEBA). UEBA überwacht das Benutzerverhalten kontinuierlich anhand einer Basislinie mit normalen Aktivitätsmustern und markiert sofort Aktivitäten, die vom erwarteten Muster abweichen. Die Entdeckung untypischer Musterabweichungen kann auf bösartige Aktivitäten und potenziell gefährdete Konten hinweisen, die weitere Untersuchungen erfordern.
Bedrohungssuche durchführen (Threat Hunting). Durchsuchen Sie Ihre IT-Umgebung proaktiv nach Bedrohungsaktivitäten und -mustern. Threat Hunter, die sich auf Bedrohungsdaten und risikobasierte Datenanalysen stützen, sollten nach Indikatoren für eine Gefährdung suchen, um Probleme aufzudecken, die sich allen anderen Formen der Erkennung entziehen.