Laterale Bewegung bedeutet, dass sich Angreifer über mehrere Teile eines Netzwerks ausbreiten.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
In der Netzwerksicherheit ist laterale Bewegung der Prozess, durch den sich Angreifer von einem Eintrittspunkt aus auf den Rest des Netzwerks ausbreiten. Dafür gibt es viele Methoden. Ein Angriff könnte zum Beispiel mit Malware auf dem Desktop-Computer eines Mitarbeiters starten. Von dort aus versucht der Angreifer, sich lateral zu bewegen, um andere Computer im Netzwerk zu infizieren, interne Server zu infizieren und immer weiter – bis er sein endgültiges Ziel erreicht.
Angreifer versuchen, sich lateral zu bewegen, ohne dabei entdeckt zu werden. Aber selbst wenn eine Infektion auf dem ersten Gerät entdeckt wird oder wenn ihre Aktivitäten erkannt werden, kann der Angreifer seine Präsenz im Netzwerk aufrechterhalten, wenn er bereits eine große Anzahl von Geräten infiziert hat.
Stellen Sie sich eine Gruppe von Einbrechern vor, die durch ein offenes Fenster in ein Haus eindringen und dann von einem Raum in den anderen gehen. Selbst wenn ein einzelner Einbrecher in einem Raum erwischt wird, können die anderen Einbrecher immer noch Gegenstände stehlen. In ähnlicher Weise ermöglicht laterale Bewegung einem Angreifer, in die verschiedenen „Räume“ eines Netzwerks einzudringen – Server, Endpunkte, Anwendungszugriff – dadurch ist der Angriff schwer einzudämmen.
Obwohl einige Aspekte automatisiert werden können, ist laterale Bewegung oft ein manueller Prozess, der von einem Angreifer oder einer Gruppe von Angreifern gesteuert wird. Dieser aktive Ansatz ermöglicht es den Angreifern, ihre Methoden auf das betreffende Netzwerk zuzuschneiden. Außerdem können sie dadurch rasch reagieren, wenn Netzwerk- und Sicherheitsadministratoren Gegenmaßnahmen ergreifen.
Laterale Bewegungen beginnen mit einem ersten Eintrittspunkt in das Netzwerk. Mögliche Einstiegspunkte sind ein mit Malware infizierter Rechner, der eine Verbindung zum Netzwerk herstellt, ein gestohlener Satz von Nutzer-Anmeldedaten (Benutzername und Kennwort), eine Sicherheitslücke, die über einen offenen Port eines Servers ausgenutzt wird, und eine Reihe anderer Angriffsmethoden.
Normalerweise stellt der Angreifer eine Verbindung zwischen dem Einstiegspunkt und seinem Command-and-Control (C&C)-Server her. Der C&C-Server gibt Befehle an die installierte Malware aus und speichert die gesammelten Daten von Geräten, die mit dieser Malware infiziert sind oder ferngesteuert werden.
Sobald der Angreifer auf einem Gerät innerhalb des Netzwerks Fuß gefasst hat, beginnt er mit der Aufklärungsarbeit. Er findet so viel wie möglich über das Netzwerk heraus, einschließlich der Daten, auf die das kompromittierte Gerät Zugriff hat, und – falls er ein Benutzerkonto kompromittiert hat –, über welche Rechte der Nutzer verfügt.
Der nächste Schritt der lateralen Bewegung des Angreifers ist ein Prozess, der „Rechteausweitung“ oder „Privilege Escalation“ genannt wird.
Von einer Rechteausweitung spricht man, wenn ein Nutzer (ob rechtmäßig oder unrechtmäßig) mehr Rechte (Privilegien) erhält, als er haben sollte. Eine Rechteausweitung erfolgt manchmal versehentlich im Rahmen der Identitäts- und Zugriffsverwaltung (IAM), wenn die Privilegien der Nutzer nicht korrekt getrackt und zugewiesen werden. Angreifer nutzen hingegen gezielt Schwachstellen in Systemen aus, um ihre Privilegien in einem Netzwerk zu erweitern.
Wenn der Angreifer über eine Sicherheitslücke oder eine Malware-Infektion in ein Netzwerk eingedrungen ist, kann er einen Keylogger verwenden (der die von Nutzern eingegebenen Tasten aufzeichnet) und so die Anmeldedaten der Nutzer stehlen. Oder er hat in einem Phishing-Angriff Anmeldedaten gestohlen und ist so in das Netzwerk gelangt. Wie auch immer er sich Zugang verschafft, der Angreifer beginnt mit einem Satz von Anmeldedaten und den mit diesem Nutzerkonto verbundenen Rechten. Dann versucht er die Möglichkeiten dieses Kontos zu maximieren. Anschließend greift er auf andere Rechner über. Mit Tools zum Diebstahl von Anmeldeinformationen übernimmt er weitere Konten.
Um die Art von Zugang für maximalen Schaden zu erhalten oder sein Ziel zu erreichen, benötigt der Angreifer in der Regel Administratorrechte. Er bewegt sich daher lateral durch das Netzwerk, bis er sich Administratorrechte verschafft hat. Sobald diese Zugangsdaten vorliegen, erhält er im Wesentlichen die Kontrolle über das gesamte Netzwerk.
Bei seinen lateralen Bewegungen achtet der Angreifer genau auf die Gegenmaßnahmen des Sicherheitsteams. Wenn das Unternehmen beispielsweise eine Malware-Infektion auf einem Server entdeckt und diesen Server dann vom Rest des Netzwerks abschneidet, um die Infektion unter Quarantäne zu stellen, wartet der Angreifer vielleicht eine Weile vor der nächsten Aktion, damit seine Anwesenheit auf weiteren Geräten unentdeckt bleibt.
Angreifer können auch Hintertüren installieren, damit sie wieder in das Netzwerk gelangen, wenn sie entdeckt und erfolgreich von allen Endpunkten und Servern entfernt werden. (Eine Hintertür ist ein geheimer Weg in ein ansonsten sicheres System.)
Angreifer versuchen auch, ihre Aktivitäten mit dem normalen Netzwerk-Traffic zu vermischen, da ungewöhnlicher Netzwerk-Traffic Administratoren auf ihre Anwesenheit aufmerksam machen könnte. Die Vermischung wird einfacher, wenn sie weitere legitime Nutzer-Konten kompromittieren.
Viele Kategorien von Angriffen basieren auf lateralen Bewegungen, um entweder so viele Geräte wie möglich zu erfassen oder sich im gesamten Netzwerk zu bewegen, bis ein bestimmtes Ziel erreicht ist. Zu diesen Angriffsarten gehören:
Diese Präventivmaßnahmen werden laterale Bewegungen für Angreifer erheblich erschweren:
Penetrationstests helfen Unternehmen beim Schließen anfälliger Teile des Netzwerks – also Teile, die laterale Bewegungen ermöglichen könnten. Bei Penetrationstests beauftragt ein Unternehmen einen ethischen Hacker damit, die Unternehmenssicherheit einem Stresstest auszusetzen. Der Hacker versucht, so tief wie möglich in das Netzwerk einzudringen und dabei unentdeckt zu bleiben. Anschließend teilt er die Ergebnisse mit dem Unternehmen, das diese Informationen nutzen kann, um die entdeckten Sicherheitslücken zu schließen.
Zero Trust-Sicherheit ist eine Netzwerksicherheitsphilosophie, die standardmäßig keinem Nutzer, keinem Gerät und keiner Verbindung vertraut. Ein Zero Trust-Netzwerk betrachtet alle Nutzer und Geräte als Bedrohung und authentifiziert sowohl Nutzer als auch Geräte ständig neu. Zero Trust verwendet außerdem einen Least-Privilege-Ansatz für Zugriffskontrolle und unterteilt Netzwerke in kleine Segmente. Diese Strategien erschweren den Angreifern die Rechteausweitung und erleichtern den Sicherheitsadministratoren die Erkennung und Quarantäne der Erstinfektion.
Zur Endpunktsicherheit gehört das regelmäßige Scannen von Endpunktgeräten (Desktop-Computer, Laptops, Smartphones usw.) mithilfe von Anti-Malware-Software und anderen Sicherheitstechniken.
IAM ist eine entscheidende Komponente zur Prävention lateraler Bewegungen. Die Benutzerrechte müssen genau verwaltet werden: Haben Nutzer mehr Rechte, als sie unbedingt benötigen, werden die Folgen einer Kontoübernahme gravierender. Außerdem kann die Zwei-Faktor-Authentifizierung (2FA) helfen, laterale Bewegungen anzuhalten. In einem System, das 2FA verwendet, reichen die Anmeldedaten des Nutzers nicht aus, um ein Konto zu kompromittieren; der Angreifer muss auch das sekundäre Authentifizierungs-Token stehlen und das ist wesentlich schwieriger.
Cloudflare One kombiniert Netzwerkdienste mit Zero Trust-Sicherheitsdiensten. Das Produkt kann in Identitätsmanagement- und Endpunkt-Sicherheitslösungen integriert werden. So ersetzen Sie einen Flickenteppich von Sicherheitsprodukten durch eine einzige Plattform, die laterale Bewegungen und andere Angriffe verhindert. Erfahren Sie mehr über Cloudflare One und andere Netzwerksicherheitslösungen.