3 Dinge, die Sie über laterale Netzwerkbewegung wissen müssen

Laterale Netzwerkbewegung verbreitet sich als Cyber-Angriffstaktik rasant und wird mittlerweile in vielzähligen Angriffsarten eingesetzt. Umso wichtiger ist es für Sicherheitsexperten ein umfangreiches Verständnis für die beliebte Strategie von Cyber-Kriminellen zu entwickeln, um rechtzeitig effektive Gegenmaßnahmen ergreifen zu können. [...]

Andreas Junck, Senior Sales Director DACH bei Gigamon (Quelle: Gigamon)

„Laterale Netzwerkbewegung“ ist im Cyber-Crime-Kontext mittlerweile kein unbekannter Begriff mehr. So ungefährlich sie im ersten Moment auch klingt, dahinter verbirgt sich eine sehr hinterlistige Angriffstaktik, mit deren Hilfe Angreifer Unternehmensnetzwerke infiltrieren.

Die Kurzfassung: Auf der Suche nach geschäftskritischen und personenbezogenen Informationen bewegen sich Cyber-Kriminelle unbemerkt seitlich durch ein Netzwerk, nachdem sie sich Zugang zu diesem verschaffen konnten. Viele von ihnen verbringen dort sogar mehrere Monate – ohne, dass ihre Tarnung auffliegt – und warten auf den perfekten Moment, um zuzuschlagen.

Doch hinter dieser knackigen Definition steckt weit mehr. Es ist wichtig, dass Unternehmen das Konzept der lateralen Netzwerkbewegung verstehen, damit sie effizient dagegen vorgehen können.

Was IT-Entscheider wissen müssen und welche Geschütze sie auffahren können, verrät Andreas Junck, Senior Sales Director DACH bei Gigamon.

1. Wie funktioniert laterale Netzwerkbewegung genau?

Im Grunde besteht der Prozess der lateralen Netzwerkbewegung aus drei Phasen.

Phase 1: Ausspähen

Zunächst betreiben Cyber-Angreifer Aufklärungsarbeit. Sie versuchen, sich mit dem Aufbau des Netzwerks und seinen Schwachstellen vertraut zu machen. Im Zuge dessen identifizieren sie für ihr Ziel interessante Punkte im Netzwerk. Die Mittel, die Angreifer in dieser Phase anwenden, reichen von einfachen Internetrecherchen über Social-Engineering-Aktionen bis hin zum Scannen von Netzwerk-Ports.

Phase 2: Ausbreiten

Haben es die Angreifer einmal ins Netzwerk geschafft, geht es im nächsten Schritt vornehmlich darum, Login-Daten und Netzwerkprivilegien anzuhäufen, mit denen sie sich ungehindert lateral durch das Netzwerk bewegen können. Das schließt eben auch Bereiche ein, zu denen der durchschnittliche Angestellte normalerweise keinen Zutritt hat.

Phase 3: Ausbeuten

Diebstahl wertvoller Daten, Malware und Ransomware, Systemstörungen und Ausfälle: Sobald Angreifer alle wichtigen Login-Daten und Privilegien beisammenhaben, stehen ihnen beinahe alle Netzwerktüren offen. Dabei geht es nicht immer ausschließlich um den Zugang selbst, sondern diesen auch so lange wie möglich aufrechtzuerhalten – selbst, nachdem die ursprüngliche Schwachstelle gefunden und geschlossen wurde.

Natürlich scheuen Angreifer nicht davor zurück, sich eigene Fluchtwege zu schaffen und ihre Spuren in den System-Logs zu verwischen.

2. Bei welchen Angriffsarten kommt sie zum Einsatz?

Laterale Netzwerkbewegung spielt in mehreren verschiedenen Angriffsarten eine Rolle. Allerdings existieren vier Formen, die stärker von dieser Taktik abhängig sind als andere.

Angreifern, die ein Unternehmen mit Ransomware infizieren wollen, verhilft sie zu maximaler Wirkungskraft. Auf diese Weise können sie sich durch das Netzwerk bewegen, um so viele Systeme wie möglich zu verschlüsseln und im Zuge dessen ein höheres Lösegeld verlangen zu können. Bei der Datenexfiltration geht es hingegen darum, viele sensible Daten von einem kompromittierten Netzwerk auf das eigene zu übertragen.

Dafür müssen sie unbemerkt in die eingeschränkten Bereiche gelangen, wo sich das begehrte Gut befindet. Diesen Zweck erfüllt die laterale Netzwerkbewegung auch im Spionage-Kontext. Allerdings ist hier das Ziel, unauffällig geschäftskritische und vertrauliche Informationen zutage zu fördern und möglicherweise an Auftraggeber zu schicken.

Bei diesen handelt es sich nicht selten um staatliche Institutionen oder die Konkurrenz. Sobald Angreifer in ein System eingedrungen sind, erlaubt es ihnen die laterale Netzwerkbewegung, alle weiteren Systeme, die an das Netzwerk angebunden sind, unter ihre Kontrolle zu bringen.

Oftmals resultiert dieses Vorgehen in einer Botnet-Armee, mit denen Angreifer entweder ihre Reichweite für Malware-Infizierungen vergrößern oder DDoS-Attacken (Distributed Denial of Service) durchführen können.

Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Ein kurzer Refresher dazu was ein Botnet ist und wie es potenziell entstehen kann.

3. Wie Sie laterale Netzwerkbewegung enttarnen und sich schützen

Auch bei der lateralen Netzwerkbewegung ist Vorsicht besser als Nachsicht. Zwar lässt sich ein solcher Angriff nicht immer vermeiden, Sie können aber zahlreiche (präventive) Maßnahmen ergreifen, um das Risiko zu verringern.

Angriffsoberfläche kennen, blinde Flecken ausmerzen:

Zu wissen, aus welchen (potenziellen) Schwachstellen sich die eigene Angriffsoberfläche zusammensetzt, ist Gold wert. Es lohnt sich, eine Liste mit allen relevanten Komponenten zusammenzustellen – einschließlich aller Geräte und Anwendungen, die sich mit dem Netzwerk verbinden, Zugang zum Internet haben und/oder für das Management sensibler Daten verwendet werden.

Auf der Suche nach Schwachstellen dürfen auch die sogenannten blinden Flecken im Unternehmensnetzwerk nicht vernachlässigt werden. Dabei handelt es sich um Bereiche, die von herkömmlichen Sicherheits-Tools nicht erfasst werden. Cyber-Kriminelle nutzen sie, um entweder sich oder Malware unentdeckt in ein Netzwerk zu schleusen. Dazu zählen unter anderem verschlüsselter Datenverkehr und Ost-West-Traffic. Eine Deep-Observability-Lösung hilft dabei, diese blinden Flecken zu finden und sichtbar zu machen.

Nutzerverhalten beobachten, Privilegien steuern:

Ändert ein Mitarbeiter urplötzlich sein typisches Verhalten im Netzwerk, kann das auf eine Kompromittierung hinweisen – zum Beispiel, wenn er damit beginnt, mit sensiblen Dateien zu interagieren, was er vorher nicht getan hat. Deshalb sollten solche Anomalien ernst genommen werden. Darüber hinaus ist es wichtig, Netzwerkprivilegien regelmäßig zu überprüfen und anzupassen.

Grundsätzlich sollten nur eingeschränkte Zugangserlaubnisse vergeben werden. Lediglich Mitarbeiter, die sie für ihre Tätigkeit brauchen, bekommen erweiterte Privilegien zu sensibleren Ressourcen.

Proaktiv auf Bedrohungsjagd gehen:

Laterale Netzwerkbewegung ist auf langfristige Unauffälligkeit ausgelegt. Deshalb sollten Sicherheitsteams mithilfe eines entsprechenden Frameworks auf die aktive Suche. Dabei lohnt es sich auch regelmäßig App-Logs zu analysieren, da Löschversuche oder andere Ungereimtheiten Aufschluss auf cyberkriminelle Aktivitäten geben können.


Mehr Artikel

Ass. Prof. Dr. Johannes Brandstetter, Chief Researcher bei NXAI (c) NXAI
News

KI-Forschung in Österreich: Deep-Learning zur Simulation industrieller Prozesse

Als erstes Team weltweit präsentiert das NXAI-Forscherteam um Johannes Brandstetter eine End-to-End-Deep-Learning Alternative zur Modifizierung industrieller Prozesse, wie Wirbelschichtreaktoren oder Silos. Das Team strebt schnelle Echtzeit-Simulationen an, plant den Aufbau von Foundation Models für Industriekunden und fokussiert sich im nächsten Schritt auf die Generalisierung von Simulationen. […]

News

Die besten Arbeitgeber der Welt

Great Place To Work hat durch die Befragung von mehr als 7,4 Millionen Mitarbeitenden in den Jahren 2023 und 2024 die 25 World’s Best Workplaces identifiziert. 6 dieser Unternehmen wurden auch in Österreich als Best Workplaces ausgezeichnet. […]

News

ventopay als Vorreiter der digitalen Transformation

Bei der diesjährigen Verleihung des Digitalpreises „DIGITALOS“ wurde das oberösterreichische Softwareunternehmen ventopay als Sieger in der Kategorie „Digitale Transformation“ ausgezeichnet. Der Preis geht an Unternehmen, die ihre Geschäftsmodelle erfolgreich digitalisiert und zukunftsweisende Lösungen für ihre Branche entwickelt haben. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*