Lateral-Movement-Detection-Engine verhindert unautorisierte Netzwerkzugriffe

hacking-2077124_1920SentinelOne erweitert seine Endpoint Protection-Plattform ab sofort um eine Lateral-Movement-Detection-Engine, mit der Angreifer identifiziert und daran gehindert werden können, auf weitere Teile eines Netzwerks zuzugreifen.

Ein beliebtes Vorgehen von Cyberkriminellen ist das sogenannte Lateral-Movement. Die Angreifer bewegen sich dabei nach dem ersten Eindringen innerhalb der Netzwerke weiter vor, um nach bestimmten wertvollen Inhalten zu suchen bzw. um die Infektion über mehrere Hosts hinweg auszubreiten. Aber auch für das Abgreifen von sensiblen Berechtigungsnachweisen, etwa Passwörtern, wird Lateral-Movement gerne eingesetzt.

In der Regel erfolgen Lateral-Movement-Attacken über einen Angreifer, der das Netzwerk live durchforstet, oder aber einen bösartigen Code, der in der Lage ist, sich automatisch auszubreiten, wie beispielsweise ein Wurm. Dabei machen sich die Angreifer Exploits wie Eternalblue zunutze, verwenden Remote-Desktop-Protokolle, nutzen ausgelesene Berechtigungsnachweise und führen Code auf einem Remote-Gerät aus.

Da die überwiegende Mehrheit dieser genannten Angriffstechniken dateilose Methoden sind, fällt es den meisten traditionellen Sicherheitskontrollen schwer, einen Angreifer oder ein Stück eines schädlichen Codes, das sich innerhalb eines Netzwerks bewegt, überhaupt zu identifizieren. Aufgrund ihrer raffinierten Verschleierung sind Angriffe dieser Art also nicht nur hocheffizient und äußerst lukrativ, sondern eignen sich auch bestens für Masseninfektionen.

Die Lateral-Movement-Detection-Engine von SentinelOne macht sich die Low-Level-Überwachung der Plattform zunutze, um Einblick in sämtliche Geräteaktivitäten – einschließlich der oben genannten Skriptsprachen und Protokolle – zu gewinnen. Das neue Feature ist in der Lage, Lateral-Movement-Angriffe in Echtzeit zu erkennen und zu entschärfen, indem es einen Ausführungskontext erstellt und verhaltensbasierte künstliche Intelligenz anwendet. Jegliche Anomalien bei der Nutzung dieser verschiedenen Techniken können so effektiv erkannt und die Verbreitung von Malware oder sogenannte „Roaming“-Angreifer wirksam blockiert werden.

Das Ausmaß an Erkennung und Sichtbarkeit, die die Lateral-Movement-Detection bietet, stellt viele andere EDR-Tools in den Schatten. In der SentinelOne -Plattform 2.0 ist die Lateral-Movement-Detection-Engine ab sofort automatisch integriert – ohne weiteren Konfigurationsaufwand.

 

#Netzpalaver #SentinelOne