:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Lateral Movement Paths (LMPs) Wie sich Hacker in einem Netzwerk ausbreiten
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/a2/60a27b8f295c3/txone-logos-rgb-rgb.png "txone-logos-rgb-rgb (TXOne Networks)")
Über Lateral Movements erkunden Hacker ein von ihnen infiziertes Netzwerk, um weitere Schwachstellen zu finden, Zugriffsrechte zu erweitern und letztlich ihr eigentliches Ziel zu erreichen. Welche Möglichkeiten der Erkennung und Vermeidung gibt es?
Unter Lateral Movement versteht man eine Reihe von Methoden, mit denen Hacker auf Geräte, Apps oder Assets in einem Netzwerk zugreifen, nachdem sie zum ersten Mal einen Endpunkt erfolgreich kompromittiert haben. Mithilfe gestohlener Anmeldedaten oder anderen Vorgehensweisen der Rechteausweitung bewegen sich Hacker dann durch ein Netzwerk, um an sensible Daten zu gelangen. Indem diese Aktivitäten als erlaubter Netzwerkverkehr getarnt bleiben, können sie der Entdeckung meist noch lange entgehen und ihre Angriffe ausweiten.
Ziele und Varianten der Angriffe
Hacker streben über die Methode der Lateral Movements zwei Hauptziele an: Zugriff auf Daten bzw. ein bestimmtes Konto oder Steuerung so vieler Geräte wie möglich. Ob es um finanziellen Profit, den Diebstahl von Daten bzw. geschützten Informationen oder um weitere kriminelle Aktivitäten geht, die Art des Angriffs weist in der Regel auf das Endziel des Täters hin. Dazu gehören:
- Ransomware: Hacker erpressen ihre Opfer, indem sie damit drohen, ihre gekaperten Daten zu löschen oder zu veröffentlichen, wenn die Zahlung eines Lösegelds nicht innerhalb einer bestimmten Frist erfolgt.
- Übertragung von Daten: Diebstahl vertraulicher oder sensibler Informationen – mit oder ohne Lösegeldforderung.
- Spionage: In der Regel stiehlt der Angreifer nichts und stellt auch keine Forderungen. Der größtmögliche Informationsgewinn wird im Grunde dadurch erzielt, dass er so lange wie möglich im Verborgenen bleiben kann.
- Botnet-Infektion: Manchmal ist die Infektion eines Netzwerks nur der erste Schritt. Botnet ist ein Netzwerk von Computern mit ausreichend Rechenleistung, um einen schwerwiegenderen Angriff zu starten, beispielsweise einen DDoS-Angriff (Distributed Denial of Service).
Strategien zur Erkennung
Lateral Movements können lange Zeit unentdeckt bleiben. Daher sollten IT-Security-Teams ihre Erkennungsstrategien optimieren. Folgende Maßnahmen bieten sich an:
- Schwachstellen entdecken: Überprüfung der Infrastruktur nach anfälligen Verbindungen zwischen Geräten, Daten und Systemen. Sie können vielleicht nicht entfernt, aber zuverlässig überwacht und gesichert werden.
- Reporting-Tools nutzen: Tools zur Überwachung und für das Reporting sind für die Erkennung verdächtiger Aktivitäten unerlässlich.
- Benutzerverhalten analysieren: Die Analyse von Verhaltensmustern durch maschinelles Lernen (ML) kann dabei helfen, Anomalien zu isolieren und zu untersuchen. Auch wenn einige ungewöhnliche Verhaltensweisen keinen Anlass zur Sorge geben, können solche Analysen dazu führen, dass unbefugte Aktivitäten aufgedeckt werden.
- Überwachung unbekannter Geräte: Mittlerweile ist es üblich, dass sich unbekannte Geräte (Bring Your Own Device - BYOD) der Mitarbeiter in Netzwerken registrieren. Daraus lässt sich aber nicht vorschnell schließen, dass es sich tatsächlich um einen Mitarbeiter handelt.
- Anomalien bei Dateifreigaben und Verwaltungsaufgaben detektieren: Hacker werden versuchen, die Erkennung durch den Einsatz nativer Tools zu vermeiden, was jedoch zu erkennbaren Anomalien führt. Darüber hinaus testen Hacker oftmals Zugriffe auf Server mit vertraulichen Daten, sodass Diskrepanzen beim File-Sharing-Zugriff ein Indikator für Lateral Movements sein können.
- Anmeldungen überwachen: Dies gilt insbesondere für Geräte mit mehreren Anmelde-Informationen. Grundsätzlich können Anmeldungen zu ungewöhnlichen Zeiten bzw. außerhalb der Geschäftszeiten oder mehrere Anmeldungen auf einem einzigen Gerät Hinweise für Lateral Movements sein.
- Port-Scans und ungewöhnliche Netzwerkprotokolle erkennen: Hacker führen im Rahmen ihrer Spionage Port-Scans durch. Diese Scans können jedoch von Intrusion-Detection-Systemen erkannt werden. Darüber hinaus kann es zu Anomalien zwischen einem für eine Verbindung verwendeten Protokoll und den gesendeten oder empfangenen Daten kommen. Dies deutet darauf hin, dass keine Verschlüsselung verwendet wurde.
Lateral Movements verhindern
Sicherheitsvorkehrungen, die Eindringlinge verhindert, sind jenen vorzuziehen, die lediglich eine Erkennung und Reaktion ermöglichen. Selbst wenn dies nicht immer für jede Organisation praktikabel ist, gibt es doch einige Ansatzpunkte, um solche Angriffe so weit wie möglich zu verhindern.
- Regelmäßig Software-Updates und System-Patches installieren: Alle Betriebssysteme, Anwendungen, Dienste, Endpunkte und Systeme müssen stets auf dem neuesten Stand gehalten werden.
- Endpoint-Sicherheitslösungen aktualisieren: Endpunkte sind am anfälligsten für unbefugten Zugriff, daher sind Tools zu ihrer Überwachung und Sicherung wichtig. Kein Endpunkt darf angreifbar bleiben.
- Prinzip der geringsten Privilegien (PoLP): Nutzer dürfen nur Zugriff auf das haben, was sie zur Ausführung der ihnen zugewiesenen Aufgaben benötigen.
- Multi-Faktor-Authentifizierung (MFA) nutzen: Für eine MFA - als Kernkomponente einer starken Identity and Access Management (IAM)-Richtlinie - muss ein Nutzer zwei oder mehr Verifizierungsfaktoren angeben, um einen Zugriff zu erhalten.
- Netzwerksegmentierung vornehmen: Mithilfe einer Segmentierung bzw. Mikrosegmentierung wird sichergestellt, dass sensible Teile eines Netzwerks vom Rest des Systems isoliert sind.
- Kritische Daten sichern: Durch eine Datensicherung lassen sich Daten selbst im Falle einer Systemkompromittierung vollständig wiederherstellen.
- Zero-Trust-Sicherheit implementieren: Da bei einer Zero-Trust-Lösung davon ausgegangen wird, dass jeder User potenziell eine Bedrohung darstellen kann, bis das Gegenteil bewiesen ist, werden Lateral Movements deutlich erschwert.
(ID:49736040)
:quality(80)/p7i.vogel.de/wcms/e6/57/e6574acfc8cdb3be097a2e72f8e5341e/0111094277.jpeg "Angriffe auf das Active Directory sicher abzuwehren ist praktisch unmöglich! Die neue Strategie lautet, alles für die Absicherung zu tun, aber mit erfolgreichen Hacks und Breaches zu rechnen und den Schaden über die Faktoren Aufmerksamkeit und Schnelligkeit gering zu halten. (Bild: © flashmovie - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/5a/1b5acd2776165dbfefc5978188c219fa/0113115126.jpeg "Bei Schwachstellen-Analysen kommen häufig automatisierte Test-Tools wie Netzwerk-Sicherheits-Scanner zum Einsatz. (Bild: freshidea - stock.adobe.com)")