Lateral-Movement verstehen und erkennen

Bedrohungsakteure verschaffen sich durch Phishing oder die Ausnutzung von ungepatchten Schwachstellen Zugang zu einer Unternehmensanwendung, nehmen nach diesem „Initial Access“ die Identität eines legitimen Users an und dringen immer tiefer in verschiedenste Teile des Netzwerkwerks ein. Dort können sie Daten exfiltrieren, Systeme und Datenbanken lahmlegen und manipulieren oder andere Angriffe durchführen. Diese Angriffstaktik, bei der Angreifer sich sukzessive in tiefe Netzwerkschichten vorarbeiten, nennt man „Lateral Movement“, was wörtlich so viel bedeutet wie „seitliche Bewegung“.

Die Bedrohungsakteure schlagen also nicht direkt zu, sondern versuchen möglichst lange unbemerkt im Hintergrund zu operieren. Ziel der meisten Cyberkriminellen ist es, Daten zu stehlen oder zu verschlüsseln, um Lösegelder zu erpressen – sprich Ransomware-Attacken. Je mehr Zeit die Angreifer unbemerkt im Netzwerk ihrer Opfer verbringen, desto mehr Daten, Informationen und Zugangsrechte können sie sich zu eigen machen und desto größer ist der potenzielle Schaden. Ein beliebtes Vorgehen ist dabei Vulnerability-Chaining, also die Verkettung mehrerer Schwachstellen. Arctic Wolf, Anbieter von Security-Operations as a Service, hat in seinem aktuellen Labs-Threat-Report die am häufigsten ausgenutzten Schwachstellen zusammengefasst, die Unternehmen auf dem Schirm haben und patchen sollten.

Beim Lateral-Movement kommen unterschiedlichste Techniken zum Einsatz, darunter

  • Ausnutzung von Remote-Diensten,
  • internes Spear-Phishing,
  • Lateral-Tool-Transfer,
  • Remote-Hijacking,
  • Remote-Desktop-Protokoll,
  • Cloud-Service-Login oder
  • Application-Access-Token.

Die Zeitspanne bis zum sogenannten Lateral-Movement wird als „Breakout Time“ bezeichnet. Kann ein Angriff innerhalb dieses Zeitfensters gestoppt werden, können Kosten, Schäden und mögliche Geschäftsunterbrechungen oder Ausfallzeiten erheblich reduziert oder ganz vermieden werden.

So können Unternehmen die hochentwickelten Lateral-Movement-TTPs (Tactics, Techniques und Procedures) erkennen und stoppen:

  • Überwachung der IT-Umgebung in Echtzeit: Moderne Monitoring-Lösungen, wie Managed-Detection and Response (MDR), können ungewöhnliche Aktivitäten (z. B. die Anmeldung eines Users bei einer Anwendung, bei der er sich normalerweise nicht einloggt), Regeländerungen innerhalb von Applikationen oder plötzliche Aktivitäten eines einzelnen Nutzers innerhalb der IT-Infrastruktur erkennen. Unternehmen können diese Aktivitäten überwachen und sie mit den oben genannten Techniken und entsprechenden Verhaltensmustern abgleichen, um Fälle von Lateral-Movement frühzeitig zu erkennen und Angreifer, die sich unbefugt in der IT-Umgebung bewegen, zu stoppen.
  • Verhaltensanalyse: Da viele TTPs breit zugängliche Tools und kompromittierte Benutzerkonten beinhalten, braucht es eine fortschrittliche Verhaltensanalyse, um Anomalien und böswillige Absichten zuverlässig zu identifizieren.

Lateral-Movement zu erkennen und zu stoppen, ist nicht einfach. Aber gerade, weil sich Cyberkriminelle über diese Taktik jedoch Zugang zu tiefen Schichten der IT verschaffen können, sind Schutzvorkehrungen gegen diese Angriffe eine wichtige Komponente der Cybersicherheit. Sie können den Unterschied ausmachen, ob ein Sicherheitsvorfall lediglich eine versuchte Attacke ist, die früh im Keim erstickt wurde, oder ein erfolgreicher Hack, der Unternehmen lahmlegt oder die Angreifer in die Lage versetzt, Systeme und Daten zu verschlüsseln und ein Lösegeld zu erpressen.

Hat sich ein Angreifer doch unbemerkt in die „Eingeweide“ von Unternehmenssystemen gegraben und wird erst später entdeckt, ist dennoch Schnelligkeit gefragt. Es braucht umfassende Incident-Response-Maßnahmen, um Schäden zu begrenzen, die Business-Continuity aufrechtzuerhalten, betriebliche Downtimes zu vermeiden und finanzielle Auswirkungen zu minimieren.

Weitere Erkenntnisse zur aktuellen Cybersecurity-Lage und Informationen, wie Unternehmen sich vor Lateral-Movement und anderen Bedrohungen schützen können, finden Sie im aktuellen Arctic Wolf Labs Threat Report unter arcticwolf.com.

#ArcticWolf