Zehn Best Practices zum Schutz vor Bedrohungen durch Lateral Movement

Network Lateral Movement bezieht sich auf Aktivitäten von Bedrohungsakteuren, die schrittweise IT-Systeme in Netzwerken kompromittieren wollen. Nach einem erfolgreichen Erstzugriff auf ein Gerät oder Netzwerk, beginnt der Angreifer damit, Schwachstellen verbundener IT-Assets aufzuspüren und auszunutzen, um zusätzliche Ressourcen unter Kontrolle zu bringen. Berechtigungen werden sukzessive erweitert, um auf sensible Daten zugreifen oder weitere Malware einsetzen zu können.

Als Ausgangspunkt für solche Angriffe dienen in der Regel bekannte Schwachstellen. Im nächsten Schritt nutzen Bedrohungsakteure die kompromittierten Einstiegspunkte für weitere Angriffe auf benachbarte Systeme. Diese lateralen Bewegungen führen dazu, dass weiterte IT-Assets im Netzwerk kontrolliert, Ressourcen fehlgenutzt und Berechtigungen eskaliert werden, um Zugriff auf wertvollere Identitäten und Konten zu erhalten. Diese Angriffskette soll aus Hackersicht möglichst unentdeckt bleiben, um die Durchdringung und Monetarisierung kompromittierter Systeme maximieren zu können.

Sobald in eine Umgebung eingedrungen wurde, wenden Bedrohungsakteure verschiedene Lateral-Movement-Techniken an:

• Credential-Dumping: Diebstahl von Anmeldeinformationen kompromittierter Systeme, um auf andere Systeme innerhalb des Netzwerks zuzugreifen.
• Pass-the-Hash (PtH): Verwendung von gehashten Passwörtern zur Authentifizierung, ohne das tatsächliche Klartextkennwort zu kennen.
• Ausnutzung von Vertrauensverhältnissen: Ausnutzung identitätsbasierten Vertrauens über Kontenverbindungen hinweg, um Netzwerksegmente zu überspringen, ohne Alarm auszulösen.
• Remote-Dienste: Verwendung legitimer Remote-Desktop-Dienste oder anderer Remote-Zugriffstools für wechselnde Zugriffe über unterschiedliche Systeme.
• WMI und PowerShell: Verwendung von Windows Management Instrumentation (WMI) und PowerShell-Skripten zum Ausführen von Befehlen und zur Remote-Übertragung von Dateien zwischen Systemen.
• Ausnutzung von Schwachstellen: Missbrauch bekannter (Zero-Day-)Schwachstellen in Softwareprogrammen, um Code aus der Ferne auszuführen oder Informationen für die Aufrechterhaltung einer dauerhaften Präsenz bereitzustellen.
• Fehlkonfigurationen: Falsche Konfigurationen oder fehlende Systemhärtung erleichtern Seitwärtsbewegungen über Anwendungen und Dienste mit Standardanmeldeinformationen und schlechter Cybersicherheitshygiene.

Angesichts der Raffinesse moderner Angriffe greifen herkömmliche Erkennungsmethoden häufig zu kurz. Zur Erkennung lateraler Bewegungen müssen Unternehmen fortschrittliche Techniken wie künstliche Intelligenz, Verhaltensanalyse und Echtzeitüberwachung nutzen.

1. Identitätsbasierte Verhaltensanalyse: Voraussetzung für die Identifizierung ungewöhnlichen Benutzerverhaltens ist die Definition des normalen Verhaltens menschlicher und maschineller Identitäten. Beispiele für verdächtiges Verhalten können digitale Identitäten sein, die auf mehrere Systeme nacheinander zugreifen, oder wenn maschinelle Identitäten den Zugriff auf benachbarte Systeme anfordern. Solche Bedrohungen werden normalerweise von SIEM- oder ITDR-Lösungen (Identity Threat Detection and Response) erkannt.
2. Endpoint Detection and Response (EDR): Der Einsatz von EDR-Lösungen, die Endpunktaktivitäten in Echtzeit überwachen und aufzeichnen, ist entscheidend für die Erkennung und Eindämmung lateraler Bewegungen. Diese Tools können Anomalien erkennen, z. B. ungewöhnliche Prozessausführungen, unerwartete Dateiänderungen oder neue Netzwerkverbindungen, die häufig auf laterale Bewegungen hinweisen.
3. Analyse des Netzwerkverkehrs: Die Verwendung von Tools zur Analyse und Überwachung des Netzwerkverkehrs in einem VLAN oder Subnetz trägt dazu bei, Seitwärtsbewegungen zu identifizieren, insbesondere wenn IT-Assets nicht am gleichen Standort, sondern logisch miteinander verbunden sind. Durch die Analyse des Datenflusses zwischen verschiedenen Systemen lassen sich ungewöhnliche Verhaltensmuster erkennen und auf unerwartete Verbindungen oder auffällige Portnutzung hinweisen.
4. Deception-Technologie: Deception-Lösungen wie Honeypot- und Köder-Systeme oder andere Tools sollen Bedrohungsakteure in die Irre führen und daran hindern, tiefer in das Netzwerk einzudringen. Die Technologien sind darauf ausgelegt, durch Interaktion mit den Angreifern möglichst viele Informationen zu sammeln. Deception-Technologien können auch Warnungen auslösen und so Sicherheitsteams ermöglichen, laufende Angriffsversuche zu beobachten und gegebenenfalls einzugreifen.

Während die Erkennung von entscheidender Bedeutung ist, ist die Verhinderung von lateralen Bewegungen das ultimative Ziel. Dies erfordert eine Kombination aus proaktiven Sicherheitsmaßnahmen, einschließlich Netzwerksegmentierung, Least-Privilege-Zugriff und kontinuierlicher Überwachung.

1. Ausgereifte Zero-Trust-Sicherheitskontrollen

Die Weiterentwicklung von Zero-Trust-Prinzipien und die Implementierung einer Zero-Trust-Architektur (ZTA) sind Hochsicherheitsstrategien, die eine grundlegende Reduzierung der Angriffsfläche und Beschränkung lateraler Bewegungen bewirken. Zero-Trust-Prinzipien ermöglichen Kontrollen zur kontinuierlichen Überwachung und beschleunigten die Erkennung und Behebung von Risiken. Best-Practice-Vorgaben spielen eine Schlüsselrolle bei der Umsetzung von Zero-Trust-Sicherheitskontrollen.

2. Netzwerk-Segmentierung

Segmentieren Sie Ihr Netzwerk in verschiedene Zonen mit strengen Zugriffskontrollen. Das schränkt die Fähigkeit der Angreifer ein, sich lateral zu bewegen, da Sicherheitsverletzungen auf ein einzelnes Netzwerk, ein logisches Segment oder sogar eine einzelne Ressource isoliert werden können. Vermeiden Sie die Verwendung von RDP, SSH und HTTPS zwischen verschiedenen Netzwerkzonen. Ist der Einsatz dieser Protokolle unbedingt erforderlich, sollten die Verbindungen über eine geeignete Gateway-Technologie laufen.

3. Least Privilege

Stellen Sie sicher, dass Identitäten, Konten, Benutzer und Computer mit minimalen Berechtigungen arbeiten, die zur Erledigung von Arbeiten erforderlich sind. Das reduziert die Auswirkungen, falls ein Konto kompromittiert wird. Überprüfen Sie regelmäßig die zugewiesenen Privilegien und Berechtigungen, insbesondere bei Administratorkonten, und justieren Sie die Zugriffsrechte über eine PAM-Lösung (Privileged Access Management). Soweit möglich sollte das Prinzip der geringsten Rechte durch Implementierung von Just-in-Time-Zugriffen (JIT) und ZSP-Strategien (Zero Standing Privileges) durchgesetzt werden.

4. Privileged Accounts and Session Management (PASM)

Sichern Sie Passwörter, Schlüssel und DevOps-Geheimnisse in einem zentralen Passworttresor, der nach Best-Practice-Vorgaben für die Sicherheit betrieben wird. PASM (privilegierte Passwortverwaltung) verhindert identitätsbasierte Angriffe und Account-Hijacking-Bedrohungen oder reduziert die Gefahren. So kann die Implementierung von Einmalpasswörtern (OTPs) für Konten mit hohen Berechtigungen beispielsweise Angriffe über widerverwendete Passwörter verhindern.

Die häufige Rotation von Anmeldedaten oder die dynamische Generierung von Secrets ermöglicht eine zeitliche Begrenzung durch Bedrohungen. PASM-Lösungen können zudem die aktive Verwaltung von Zugangsdaten mit Echtzeit-Überwachung und -Verwaltung privilegierter Sitzungen kombinieren und Funktionen zur Erkennung und Reaktion auf Bedrohungen nutzen, um Angriffe zu stoppen.

5. Paths to Privilege™

Ein Hauptziel von Bedrohungsakteuren besteht darin, Konten auf niedriger Ebene (Standardbenutzer) zu privilegierten Konten, wie Super-User oder lokale Administratoren, heraufzustufen. Können Bedrohungsakteure die gewünschten Berechtigungen erhöhen, sind laterale Bewegungen und eine vollständige Kompromittierung der gesamten Umgebung möglich.

Leider sind viele Wege zu Berechtigungen versteckt und erfordern erweiterte Erkennungsfunktionen, um die Konten auf der Grundlage gemeinsamer Identitäten zu verknüpfen und privilegierte Zugriffsmöglichkeiten offenzulegen. Durch die proaktive Erkennung dieser „Paths to Privilege“ können Unternehmen ihre Identitätssicherheit stärken und Risiken sowie Angriffe reduzieren.

6. Implementierung von Multi-Faktor-Authentifizierung (MFA)

Erzwingen Sie unbedingt MFA für alle Benutzer. Wenn dies nicht möglich ist, erzwingen Sie zumindest MFA für alle Remote-Zugriffe auf privilegierte Konten und kritische Systeme. Multi-Faktor-Authentifizierung reduziert das Risiko von Seitwärtsbewegungen mit geraubten Anmeldeinformationen erheblich, da ein zusätzlicher Verifizierungsschritt erforderlich ist.

7. Regelmäßige Audits und Überwachung

Führen Sie regelmäßige Audits von Identitäten durch. Identifizieren Sie Konten, Berechtigungen und Netzwerkkonfigurationen, um potenzielle Software-Fehlkonfigurationen außerhalb geplanter Schwachstellenbewertungsscans erfassen und beheben zu können. Die kontinuierliche Überwachung der Netzwerkaktivität in Kombination mit Echtzeitwarnungen hilft bei der frühzeitigen Erkennung verdächtiger Aktivitäten.

8. Schwachstellen-, Konfigurations- und Patch-Management

Halten Sie Systeme und Software so schnell wie möglich mit den aktuellsten Sicherheitspatches auf dem neuesten Stand. Verschiedene Lateral-Movement-Techniken nutzen häufig bekannte Schwachstellen aus. Durch rechtzeitiges Patchen und Konfigurationsmanagement können diese Schwachstellenlücken geschlossen werden. Berücksichtigen Sie außerdem die oben genannte Empfehlung bei diesen Bemühungen. Monatliche Schwachstellenbewertungen sind eine gängige Praxis, aber was passiert zwischen diesen Scans? Erwägen Sie gestaffelte Bewertungen, statistische Ad-hoc-Bewertungen und Echtzeit-Scans, um Lücken in der Überwachung zu schließen, die andernfalls für laterale Bewegungen ausgenutzt werden könnten.

9. Identitätssicherheit

Identitätssicherheit umfasst eine breite Palette von Kontrollen zum Schutz digitaler Identitäten. Schlechte Identitätshygiene und Sicherheitslücken verschaffen Angreifern den notwendigen Zugriff, um einen Angriff erfolgreich durchzuführen und sich lateral im Netzwerk zu bewegen. Zum Schutz vor Lateral-Movement-Angriffen müssen Organisationen über ein Identity-Governance-Programm, Identitätsverzeichnisdienste und eine starke PAM-Lösung (einschließlich PASM) verfügen. Darüber hinaus sollten alle nicht-menschlichen Integrationen und privilegierten Konten verwaltet und auf potenziellen Missbrauch überprüft werden.

ITDR-Funktionen werden auch in modernen Umgebungen immer wichtiger. Eine ganzheitliche Transparenz zur Sicherheit und Verwaltung digitaler Identitäten sowie Bedrohungserkennung und -reaktion erfordern eine starke und umfassende Integration mit PAM-Produkten und anderen Lösungen.

10. Effektive Reaktion auf Vorfälle

Entwickeln Sie einen Incident-Response-Plan, um die schnelle und effektive Reaktion auf identifizierte Lateral-Movement-Aktivitäten zu gewährleisten. Dazu gehören vordefinierte Ablaufpläne für die Isolierung betroffener Systeme, die Durchführung forensischer Analysen, die Empfehlung von Updates und die Wiederherstellung des Normalbetriebs.

Das Erkennen und Verhindern unbefugter lateraler Bewegungen ist für jede moderne Cybersicherheitsstrategie von entscheidender Bedeutung. Da Bedrohungsakteure immer besser bei der Umgehung herkömmlicher Abwehrmaßnahmen werden, müssen Unternehmen fortschrittliche Erkennungstechniken einsetzen, um laterale Bewegungen schnell erkennen und eindämmen zu können. Die Minimierung der Verweildauer von Bedrohungsaktivitäten ist entscheidend, um umfassende Sicherheitsverletzungen zu verhindern.

Durch die Erkennung von Anzeichen nicht autorisierter Seitwärtsbewegungen, den Einsatz intelligenter Überwachungslösungen, die Überwachung der Paths to Privilege™ und die Einhaltung von Best Practices für die Identitätssicherheit und das Schwachstellenmanagement können Unternehmen laterale Bewegungen von Bedrohungsakteuren frühzeitig unterbinden.

Die BeyondTrust-Plattform kann selbst hochentwickelte, mehrstufige Lateral-Movement-Angriffe verhindern, erkennen und bekämpfen. BeyondTrust steigert die Cyber-Resilienz Ihres Unternehmens erheblich, indem digitale Identitäten und Zugriffe geschützt, unnötige Privilegien beseitigt, Zugriffe auf Privilegien abgesichert und überwacht sowie identitätsbasierte Risiken und Angriffe erkannt und beendet werden. Besuchen Sie unsere Webseite für weitere Informationen oder nehmen Sie direkt mit uns Kontakt auf.