Was ist Lateral Movement

By 17.12.2020Neuigkeiten
Keyboard

Was ist Lateral Movement und warum es so wichtig ist es zu unterbinden

Sobald es ein Angreifer geschafft hat in das Netzwerk einzudringen und gängige Abwehrmechanismen zu überwinden, befindet er sich hinter der Firewall und je nach Angriffsszenario unsichtbar für die Endpoint Protection, die Sie zum Schutz ihrer Firma ausgerollt haben. Da diese Security „Grundausstattung“ jetzt nicht mehr in der Lage ist, gezielt den Eindringling zu enttarnen, muss man auf ein zusätzliches ergänzendes Security Layer setzen. Unser Ansatz ist es, den Hacker schon in seiner Lateral Movement Phase abzufangen und ihn auf unsere geschützten Decoy Server zu schicken.

Beim Lateral Movement handelt es sich um eine Technik, die ein Angreifer anwendet, nachdem er sich Zugang ins Netzwerk verschafft hat. Das konnte durch ein Phishing-Mail oder auch Malware passieren.

In der ersten Phase, der Reconnaissance Phase, wird observiert und untersucht, wie das Netzwerk aufgebaut ist und die Hierarchien angelegt sind. Um hierbei den gewünschten Ort im Netzwerk zu erreichen, werden verschiedene Tools eingesetzt, um Schwachstellen oder Pfade offenzulegen, wie er sich am besten und schnellsten bewegen oder ausbreiten kann.

Nach dem Eindringen bewegt sich der Hacker in der Credential Dumping and Privilege Escalation Phase Stück für Stück gezielt durch das Netzwerk, um mehr Benutzerrechte zu erlangen und so an den Zielort seines Angriffs zu kommen.

Wenn er es geschafft hat Adminrechte zu erlangen, befindet er sich in der Gaining Access Phase und es ist nun noch schwerer laterale Bewegungen zwischen den Geräten und Apps zu identifizieren, da es wie normaler Network Traffic wirkt. Was es so schwierig macht ist, dass es sich nicht um eine standardisierte Attacke handelt, sondern um ein Schachspiel, in dem sich der Angreifer Zug um Zug an die Gegebenheiten anpasst und plant, wie die nächsten Schritte aussehen und Sicherheitsmechanismen umgangen werden können.

 

Lateral Movement Phases

Was kann man gegen Lateral Movement unternehmen?

Deception bietet eine Lösung, bei der auf Ihr Unternehmen maßgeschneiderte „Lures“ (dt. Köder) an entscheidenden Knotenpunkten und Endpoints ausgerollt werden. Sobald ein Angreifer versucht sich in Ihrem Netzwerk zu bewegen, wird er über diese Köder aus dem Produktivnetzwerk entfernt und auf einen Decoyserver (dt. Falle) der Ihrem Unternehmensservern nachempfunden ist, weitergeleitet. Ab diesem Zeitpunkt kann man den Angreifer überwachen, ohne dass er Schaden anrichten kann.

Unsere Mission ist es ein weiters Security Layer zu etablieren und somit die Zeit eines Angreifers im Netzwerk radikal zu verkürzen. Bisher wurden als Zeitraum bis zur Identifikation des Eindringlings 100 – 180 Tage gemessen – wir wollen diese Zeit im Optimalfall auf 0 setzen.

 

Über den Autor

Felix

Felix Lüttich
Sales Director of Central and Southern Europe at CYBERTRAP
f.luettich@cybertrap.com

Recommended reading: Deception-Technologie – was ist das?