Sobald Cyberkriminelle eine Schwachstelle im Unternehmensnetzwerk entdeckt haben, nutzen sie diese gezielt aus, um sich lateral im System auszubreiten. Dabei verschaffen sie sich Zugriff auf sensible Daten, erweitern ihre Berechtigungen und vergrößern schrittweise die Angriffsfläche. Kay Ernst, Experte für Mikrosegmentierung bei Zero Networks, erläutert, wie laterale Bewegungen im Netzwerk funktionieren und welche Maßnahmen zu ihrer Eindämmung beitragen können.
Ein erfolgreicher Cyberangriff beginnt selten mit der endgültigen Katastrophe. Meist ist es eine unscheinbare Sicherheitslücke, welche dem Angreifer einen ersten Zugriff auf das Unternehmensnetzwerk ermöglicht. Was daraufhin folgt, ist oft entscheidend: Mittels lateraler Bewegungen agieren die Hacker vorerst unbemerkt im Netzwerk, stehlen sensible Daten, vergrößern ihre Berechtigungen und versuchen die Kontrolle über immer mehr Systeme zu übernehmen. Unternehmen, die diese Bewegungen rechtzeitig erkennen, können den Schaden deutlich begrenzen oder gänzlich verhindern.
„Laterale Bewegungen sind die Grundlage vieler moderner Angriffe. Wenn sie unterbunden werden, verliert der Angreifer die Möglichkeit, aus einem kleinen Vorfall einen großflächigen Angriff zu machen.“ – so Kay Ernst, Experte für Mikrosegmentierung bei Zero Networks.
Taktiken der lateralen Bewegung
Im MITRE ATT&CK-Framework werden laterale Bewegungen als Kernstrategie für moderne Cyberangriffe definiert. Für die Fortbewegung innerhalb des Netzwerkes verwenden Angreifer nach dem Erstzugriff verschiedene Techniken. Dabei gibt es drei grundlegende Kategorien, in die laterale Bewegungen unterteilt werden.
- Session-Hijacking: Aktive Sitzungen werden übernommen, um vorhandene Verbindungen zu missbrauchen.
- Remote-Dienste: Über gestohlene Zugangsdaten loggen sich Angreifer bei Diensten ein und übernehmen Benutzerrechte.
- Alternative Authentifizierung: Hier umgehen Angreifer normale Kontrollen, indem sie Passwort-Hashes, Zugriffstoken und Kerberos-Ticktes verwenden.
Daneben gibt es weitere Techniken, die dieser Gruppe nicht angehören, deren verursachter Schaden jedoch ebenso groß ist. Cyberkriminelle nutzen zudem vorzugsweise eine Kombination diverser Taktiken. Viele davon basieren auf legitimen Tools und Prozessen, was ihre Erkennung erschwert. Einige der häufigsten Taktiken sind:
- Pass-the-Hash (PtH)/Pass-the-Ticket (PtT): Mit gestohlenen Hashes oder Tickets verschaffen sich Angreifer Zugang, ohne das Klartext-Passwort zu kennen.
- Living off the Land (LotL): Eingebaute Tools wie PowerShell oder Windows Management Instrumentation (WMI) dienen als unauffällige Werkzeuge zur Bewegung im Netzwerk.
- Credential Dumping: Anmeldedaten werden aus Speicher, lokalen Dateien oder der Registrierung extrahiert und für weitere Zugriffe genutzt.
- Kerberoasting: Schwach geschützte Servicekonten mit Administratorenrechten werden zum Ziel, indem Tickets offline geknackt werden.
- Internes Spear-Phishing: Nach dem Angreifer Zugriff auf ein internes Konto erlangt haben, versenden sie darüber glaubwürdige Phishing-E-Mails innerhalb des Unternehmens.
- SMB und SSH-Hijacking: Angreifer übernehmen bestehende Sitzungen oder Netzwerkfreigaben, um lateral auf Systeme zuzugreifen.
Erkennung allein reicht nicht aus
Zur Erkennung von lateralen Bewegungen setzen die meisten Unternehmen auf Tools wie EDR-Systeme oder SIEM-Plattformen. Allerdings erfassen diese oftmals nur nachträglich Ereignisse und sind daher als alleinige Strategie zur Unterbindung von lateralen Bewegungen ungeeignet.
António Vasconcelos, Customer Engineer bei Zero Networks, erklärt: „Natürlich wird viel Aufwand betrieben, um Dinge zu verhindern, aber letztendlich sind Maßnahmen erforderlich, um den Punkt zu erreichen, an dem eine Warnung ausgegeben wird. Mehr Sichtbarkeit bietet Möglichkeiten, potenzielle Angriffsvektoren und -pfade zu verstehen, in die Unternehmen investieren müssen, um ihre Sicherheit zu erhöhen. Leider verfügen Unternehmen in den meisten Fällen nicht über eine solche Strategie, bei der die Erkennung Teil eines Zyklus des kontinuierlichen Lernens und der Verbesserung ist.“
Sobald ein Angreifer in ein Netzwerk eingedrungen ist, beginnt er bereits 30 Minuten nach der ersten Kompromittierung mit der lateralen Bewegungen, um sich weiter auszubreiten. Da sie dabei häufig auf legitime Systemtools oder gültige Zugangsdaten zurückgreifen, lassen sich ihre Aktivitäten kaum von regulärem Verhalten unterscheiden. Klassische Erkennungsmaßnahmen kommen oft zu spät, um Schäden effektiv zu verhindern. Unternehmen müssen daher Sicherheitsstrategien verfolgen, die laterale Bewegungen gar nicht erst zulassen
Laterale Bewegungen blockieren
Statt sich nur auf die Erkennung zu verlassen, müssen Unternehmen die Bewegungsfreiheit von Angreifern aktiv einschränken. Ziel ist es, die Wege zu blockieren, bevor sie genutzt werden können. Effektive Gegenmaßnahmen beinhalten:
- Mikrosegmentierung: Die Kommunikation zwischen Systemen wird strikt auf das Notwendige beschränkt. Es sind nur explizit erlaubte Verbindungen möglich.
- Multi-Faktor-Authentifizierung (MFA): Der Zugriff auf sensible Dienste und Ports wird durch zusätzliche Authentifizierung, auch innerhalb des Netzwerkes, gesichert.
- Identitätsbasierte Zugriffskontrollen: Den Zugriff gilt es basierend auf verifizierter Identität und Zweck, nicht nur auf IP-Adresse oder Standort zu gewähren.
- Automatisierte Richtlinienverwaltung: Dynamisch generierte Regeln auf Basis des Verhaltens sorgen für anpassungsfähige Sicherheitsmaßnahmen.
Vorbeugen statt reagieren
Eine unkomplizierte Mikrosegmentierung macht Wege für laterale Bewegungen zu Sackgassen. Durch die Orchestrierung nativer Firewalls zur Sicherung aller Assets, die Anwendung von Just-in-Time-MFA auf der Netzwerkebene und die automatische Durchsetzung adaptiver Richtlinien, die sich mit dem Netzwerk weiterentwickeln, beendet Zero die Eskalation von Berechtigungen und sorgt für dynamische, granulare Kontrollen. Das bedeutet, dass Unternehmen ihr Netzwerk vor den heute gängigsten Techniken für laterale Bewegungen schützen und gleichzeitig ihre Sicherheitsstrategie gegen neue Bedrohungen zukunftssicher machen können.
