Angriff aus dem Hintergrund
Arctic Wolf: Lateral Movement verstehen und erkennen
Bedrohungsakteure verschaffen sich durch Phishing oder die Ausnutzung von ungepatchten Schwachstellen Zugang zu einer Unternehmensanwendung, nehmen nach diesem „Initial Access“ die Identität eines legitimen Users an und dringen immer tiefer in verschiedenste Teile des Netzwerks ein.
Dort können sie Daten exfiltrieren, Systeme und Datenbanken lahmlegen und manipulieren oder andere Angriffe durchführen. Diese Angriffstaktik, bei der Angreifer sich sukzessive in tiefe Netzwerkschichten vorarbeiten, ist in der Branche als „Lateral Movement“ bekannt, was wörtlich so viel bedeutet wie „seitliche Bewegung“.
Die Bedrohungsakteure schlagen also nicht direkt zu, sondern versuchen möglichst lange unbemerkt im Hintergrund zu operieren. Ziel der meisten Cyberkriminellen ist es, Daten zu stehlen oder zu verschlüsseln, um Lösegelder zu erpressen – sprich Ransomware-Attacken. Je mehr Zeit die Angreifer unbemerkt im Netzwerk ihrer Opfer verbringen, desto mehr Daten, Informationen und Zugangsrechte können sie sich zu eigen machen und desto größer ist der potenzielle Schaden.
Ein beliebtes Vorgehen ist dabei das sogenannte Vulnerability Chaining, also die Verkettung mehrerer Schwachstellen. Arctic Wolf, Anbieter von Security Operations as a Service, hat in seinem aktuellen Labs Threat Report die am häufigsten ausgenutzten Schwachstellen zusammengefasst, die Unternehmen auf dem Schirm haben und patchen sollten.
Beim Lateral Movement kommen unterschiedliche Techniken zum Einsatz. Dazu gehören unter anderem das Ausnutzen von Remote-Diensten, internes Spear-Phishing oder das sogenannte Remote-Hijacking. Die Zeitspanne bis zum sogenannten Lateral Movement wird als „Breakout Time“ bezeichnet. Lässt sich ein Angriff innerhalb dieses Zeitfensters stoppen, können Kosten, Schäden und mögliche Geschäftsunterbrechungen oder Ausfallzeiten erheblich reduziert oder ganz vermieden werden.
Als Gegenmaßnahme empfiehlt Arctic Wolf unter anderem eine Überwachung der IT-Umgebung in Echtzeit sowie moderne Monitoring-Lösungen wie Managed Detection and Response (MDR). Sie können ungewöhnliche Aktivitäten erkennen (etwa die Anmeldung eines Users bei einer Anwendung, bei der er sich normalerweise nicht einloggt), Regeländerungen innerhalb von Applikationen oder plötzliche Aktivitäten eines einzelnen Nutzers innerhalb der IT-Infrastruktur.
Unternehmen können diese Aktivitäten überwachen und sie mit den genannten Techniken und entsprechenden Verhaltensmustern abgleichen, um Fälle von Lateral Movement frühzeitig zu erkennen und Angreifer, die sich unbefugt in der IT-Umgebung bewegen, zu stoppen.
Lateral Movement zu erkennen und zu stoppen, ist nicht einfach, so die Fachleute von Arctic Wolf. Aber gerade, weil sich Cyberkriminelle über diese Taktik jedoch Zugang zu tiefen Schichten der IT verschaffen können, sind Schutzvorkehrungen gegen diese Angriffe eine wichtige Komponente der Cybersicherheit. Sie können den Unterschied ausmachen, ob ein Sicherheitsvorfall lediglich eine versuchte Attacke ist, die früh im Keim erstickt wurde, oder ein erfolgreicher Hack, der Unternehmen lahmlegt oder die Angreifer in die Lage versetzt, Systeme und Daten zu verschlüsseln und ein Lösegeld zu erpressen.
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
