Was ist laterale Ausbreitung?

Wie wird laterale Bewegungsfreiheit missbraucht?

In vielen Fällen geht der lateralen Ausbreitung von Bedrohungen die Kompromittierung eines mit dem Netzwerk verbundenen Endgeräts voraus, das nicht durch ausreichende Zugriffskontrollen geschützt ist. Dabei bedienen die Angreifer sich verschiedener Methoden wie z. B. Missbrauch von Anmeldedaten, Ausnutzung von Schwachstellen in Servern oder Anwendungen, Einsatz von Malware zur Erstellung einer Backdoor usw. Mit herkömmlichen Netzwerksicherheitsmaßnahmen lassen sich diese böswilligen Aktivitäten oft nicht erkennen, da sie scheinbar von legitimen Usern ausgehen.

Wie läuft die laterale Ausbreitung von Bedrohungen konkret ab?

Phasen der lateralen Ausbreitung

Ein Angriff mit lateraler Ausbreitung erfolgt in drei Hauptschritten:

1. Aufklärung: Der Bedrohungsakteur erkundet das Netzwerk. In dieser Phase verschafft der Angreifer sich einen Einblick in Namenskonventionen und Netzwerkhierarchien, lokalisiert Schwachstellen wie z. B. offene Firewall-Ports und kann dann anhand dieser Informationen einen Plan entwickeln, um tiefer ins Netzwerk vorzudringen.
2. Infiltration

: Mithilfe von Anmeldedaten, die häufig durch Phishing-Angriffe oder andere Social-Engineering-Methoden erlangt werden, verschafft der Angreifer sich mittels Credential Dumping und Rechteerhöhung Zugriff auf verschiedene Bereiche des Systems.

Zugriff: Sobald der Angreifer das Zielsystem oder die Zieldaten gefunden hat, kann er seinen Angriff ernsthaft starten – eine Malware-Payload bereitstellen, Daten exfiltrieren oder zerstören oder verschiedene andere mögliche Ziele verfolgen.

Bei welchen Angriffsarten kommt laterale Ausbreitung zum Einsatz?

Laterale Ausbreitungstechniken werden bei der Mehrzahl der Angriffsarten eingesetzt, u. a. bei Ransomware-Angriffen und anderer Malware, Phishing usw. Sobald sie sich in einem Netzwerk eingenistet haben, können Angreifer diese Position als Basis für weitere Angriffe nutzen.

Mithilfe von Techniken wie Hijacking und Spear-Phishing können sich Angreifer ungehindert im Netzwerk bewegen, ohne dass herkömmliche Cybersicherheitsmaßnahmen ihre Anwesenheit erkennen.

Beispiele für laterale Ausbreitung bei Cyberangriffen

Laterale Ausbreitung ist keine einzelne Technik im eigentlichen Sinn. Vielmehr bezeichnet der Begriff ein strategisches Element eines Angriffs, das je nach den Bedürfnissen des Angreifers viele Formen annehmen kann. Zu den gängigen Taktiken für Angriffe mit lateralen Bewegungen gehören:

• Pass the Hash (PtH): Anstatt ein Klartextkennwort zur Authentifizierung zu verwenden, gibt ein Angreifer einen gestohlenen Kennwort-Hash ein – dieselbe verschlüsselte Zeichenfolge, die im Authentifikator gespeichert ist – und erhält Zugriff.
• Pass the Ticket (PtT): Ein Angreifer verwendet gestohlene Tickets aus dem standardmäßigen Windows-Authentifizierungsprotokoll Kerberos, um sich zu authentifizieren, ohne das Kennwort des Users kennen zu müssen.
• Ausnutzung von Remote-Services: Sobald ein Angreifer sich Zugang zu einem System verschafft hat, kann er Schwachstellen oder falsch konfigurierte Berechtigungen in verbundenen Remote-Services ausnutzen, um Zugriff auf andere Teile des Netzwerks zu erhalten.
• Internes Spearphishing: Ein Angreifer, der bereits Zugriff auf das Konto eines legitimen Users hat, kann Spearphishing-Angriffe verwenden, um sich gemeinsam genutzte Anmeldedaten, Zugriffscodes und dergleichen zu verschaffen. Angriffsopfer, die vermeintlich wissen, mit wem sie sprechen, schöpfen nicht so schnell Verdacht.
• SSH-Hijacking: Angreifer können Verbindungen kapern, die über Secure Shell (SSH), ein gängiges Fernzugriffsprotokoll in macOS und Linux, hergestellt wurden, um die Authentifizierung zu umgehen und über den verschlüsselten SSH-Tunnel auf ein anderes System zuzugreifen.
• Windows-Administratorfreigaben: Die meisten Windows-Systeme aktivieren Administratorfreigaben standardmäßig. Wenn ein Bedrohungsakteur Administratorzugriff erhält, können Administratorfreigaben ihm eine schnelle laterale Ausbreitung ermöglichen, indem er seine Berechtigungen zum Verwalten und Zugreifen auf andere Hosts ausnutzt.

Welche Sicherheitsrisiken entstehen durch laterale Bewegungsfreiheit?

In einer Netzwerktopologie, die uneingeschränkte laterale Bewegungsfreiheit ermöglicht, kann sich Malware schnell von Host zu Host bewegen – oft, ohne dass eine Warnmeldung ausgelöst wird. Häufig geschieht dies mit einer so rapiden Geschwindigkeit, dass Sicherheitsexperten keine Chance haben, den Angriff einzudämmen – erst recht nicht, wenn die vorhandenen Sicherheitsmechanismen erst nachträglich Alarm schlagen.

Der anhaltende Trend zu Hybrid- und Remote-Arbeit bringt neue Probleme und Risiken mit sich. User greifen über alle möglichen Endgeräte mit jeweils eigenen Sicherheitskontrollen auf Unternehmensressourcen zu. Dadurch entsteht eine kaum noch überschaubare Vielzahl potenzieller Schwachstellen, die als Angriffsvektoren ausgenutzt werden können.

Die größte Gefahr geht jedoch von Advanced Persistent Threats (APTs) aus – raffinierte Angreifer, die sich monatelang unbemerkt im Netzwerk einer Organisation einnisten können, wo sie auf hochgradig vertrauliche Informationen zugreifen und Daten exfiltrieren.

Maßnahmen zur Prävention und Erkennung lateraler Bewegungen

Eine effektive Abwehrstrategie umfasst sowohl Maßnahmen zur Prävention als auch zur Erkennung lateraler Bewegungen.

Laterale Bewegungen in Echtzeit verhindern

Einerseits müssen Sie laterale Bewegungen im Voraus verhindern. Dazu sollten Sie folgende Maßnahmen ergreifen:

• Verwenden Sie effektive, moderne Endgerätesicherheit. Hybridarbeit wird sich weiter durchsetzen. Um die Sicherheit und Produktivität der Mitarbeiter zu gewährleisten, benötigen Sie Lösungen zur Absicherung von End- und Mobilgeräten, die eine durchgängige Zero-Trust-Zugriffskontrolle, Bedrohungserkennung und Reaktion auf einer Vielzahl von Geräten ermöglichen.
• Schützen Sie hochwertige Ziele. Durch die Kompromittierung eines Kontos mit Administratorrechten erhält ein Angreifer Zugriff auf Ihre wertvollsten und vertraulichsten Daten. Schützen Sie diese Konten mit den höchsten Sicherheitsstufen und reservieren Sie ihre Verwendung nur für die Aufgaben, die die höchsten Berechtigungen erfordern.
• Implementieren Sie Mikrosegmentierung. Mikrosegmentierung erstellt sichere Zonen, in denen Sie Workloads voneinander isolieren und einzeln sichern können. Granulare Segmente können auf die Anforderungen unterschiedlichen Traffics zugeschnitten werden, wodurch Kontrollen erstellt werden, die Netzwerk- und Anwendungsflüsse zwischen Workloads auf das beschränken, was ausdrücklich erlaubt ist.
• Setzen Sie einen Zero-Trust-Ansatz durch, bei dem Sicherheit an erster Stelle steht. Die Verantwortung für die Sicherheit muss bei sämtlichen Mitarbeitern Ihrer Organisation liegen – nicht nur der IT oder einem kleinen Sicherheitsteam. Stellen Sie sicher, dass alle Mitarbeiter die gängigen Sicherheitsprotokolle verstehen und einhalten, und implementieren Sie einen Zero-Trust-Ansatz, um Ihr Risiko von Cyberangriffen effektiv zu verringern.

Laterale Bewegungen erkennen

Andererseits müssen Sie in der Lage sein, einen erfolgreichen Angriff zu stoppen. Dazu empfehlen wir folgende Maßnahmen:

• Anmeldeaktivitäten überwachen. Wenn Sie den Authentifizierungs-Traffic engmaschig überwachen, können Sie direkte Kompromittierungen und Diebstahl von Anmeldedaten erkennen, bevor Angreifer Schaden anrichten können.
• Verhaltensanalysen durchführen. Analysen auf Basis maschinellen Lernens können eine Baseline normalen User-Verhaltens erstellen und Abweichungen kennzeichnen, die auf einen Cyberangriff hindeuten könnten.
• Deception-Technologie einsetzen. Durch Einsatz realistischer Decoys in Ihrem Netzwerk können Sie Cyberkriminelle ködern. Sobald Angreifer mit einem Decoy interagieren, wird eine stille Warnmeldung ausgelöst.
• Proaktive Bedrohungssuche: Mit einem proaktiven Ansatz zur Identifizierung bislang unbekannter oder bestehender Bedrohungen in Ihrem Netzwerk ist Threat Hunting – im Regelfalls als verwalteter Service – eine wirksame Maßnahme zur Abwehr komplexer Angriffe.

Vorteile von Zero Trust zur Prävention und Kontrolle lateraler Bewegungen

Vertrauensmissbrauch zählt zu den ältesten Tricks im Arsenal von Cyberkriminellen. Dabei werden nicht nur technische Maßnahmen zur Authentifizierung, sondern auch die menschliche Gutgläubigkeit als Angriffsvektoren ausgenutzt. Nachdem sich ein Angreifer unbefugten Zugang zu Ihrer IT-Umgebung verschafft hat, kann er das dort herrschende implizite Vertrauen missbrauchen, um sich ungehindert lateral durchs Netzwerk zu bewegen. Diese Möglichkeit müssen Sie ihm verwehren, indem Sie auf eine Zero-Trust-Architektur umstellen, in der keine einzige Verbindung automatisch als vertrauenswürdig eingestuft wird.

Zero-Trust-Architekturen zeichnen sich aus durch die kontextbasierte Durchsetzung von Richtlinien unter Berücksichtigung von Informationen zu Rolle und Standort des Users, seinem Gerät und den jeweils angeforderten Daten. Dadurch können unbefugte Zugriffe und laterale Bewegungen innerhalb Ihrer gesamten Datenumgebung blockiert werden.

Das Zero-Trust-Konzept setzt Transparenz und Kontrolle über alle User und den gesamten – verschlüsselten und unverschlüsselten – Traffic in einer Datenumgebung voraus. Außerdem muss der Traffic innerhalb der Umgebung überwacht und überprüft werden. Als weitere Voraussetzung sind zuverlässige Methoden zur mehrstufigen Authentifizierung erforderlich, da Passwörter allein nicht ausreichen.

Entscheidend ist, dass in einer Zero-Trust-Architektur der Sicherheitsstatus einer Ressource nicht mehr anhand ihres Netzwerkstandorts ermittelt wird. Anstelle einer starren Netzwerksegmentierungwerden Ihre Daten, Workflows, Dienste usw. durch softwaredefinierte Mikrosegmentierung geschützt, sodass Sie sie überall sicher aufbewahren können.

Schutz vor lateralen Bewegungen mit Zscaler

Durch veraltete Netzwerksicherheitslösungen wie Firewalls und VPNs wird das Problem nur verschärft. Sie führen zur Entstehung einer riesigen Angriffsfläche, die Bedrohungsakteure leicht erkennen und ausnutzen können, um sich unbefugten Zugang zu Ihrer IT-Umgebung zu verschaffen. Schlimmer noch: Sie platzieren User – inklusive böswilliger Akteure – direkt im Netzwerk, wo sie Zugriff auf vertrauliche Daten haben.

Deshalb haben wir Zscaler Private Access™entwickelt. Als Modul der weltweit am besten bewerteten und am häufigsten eingesetzten Security Service Edge Platform bietet es:

• Unvergleichliche Sicherheit, die über herkömmliche VPNs und Firewalls hinausgeht: User stellen eine direkte Verbindung zu Apps her – nicht zum Netzwerk –, wodurch die Angriffsfläche minimiert und laterale Bewegungen eliminiert werden.
• Keine Kompromittierung privater Unternehmensanwendungen: Der einzigartige App-Schutz mit Inline-Prävention, Deception-Technologie und Bedrohungsisolierung minimiert das Risiko durch kompromittierte User.
• Überlegene Produktivität für hybride Belegschaften: Der blitzschnelle Zugriff auf private Unternehmensanwendungen erstreckt sich nahtlos auf Remote-User, die Zentrale, Zweigstellen und externe Geschäftspartner.
• Einheitliche ZTNA-Plattform für User, Workloads und IoT/OT: Sichere Verbindung zu privaten Unternehmensanwendungen und OT/IoT-Geräten mit der branchenweit funktionsreichsten ZTNA-Plattform.

Zscaler Private Access beruht auf dem Prinzip der minimalen Rechtevergabe, um Usern sichere Direktverbindungen zu privaten Unternehmensanwendungen zu ermöglichen und gleichzeitig unbefugten Zugriff und laterale Bewegungen zu verhindern. Als cloudnativer Dienst kann ZPA innerhalb von Stunden bereitgestellt werden, um Legacy-VPNs und Remote-Zugriffstools durch eine ganzheitliche Zero-Trust-Plattform zu ersetzen.