Was ist laterale Ausbreitung?

Wie wird laterale Bewegungsfreiheit missbraucht?

In vielen Fällen geht der lateralen Ausbreitung von Bedrohungen die Kompromittierung eines mit dem Netzwerk verbundenen Endgeräts voraus, das nicht durch ausreichende Zugriffskontrollen geschützt ist. Dabei bedienen die Angreifer sich verschiedener Methoden wie z. B. Missbrauch von Anmeldedaten, Ausnutzung von Schwachstellen in Servern oder Anwendungen, Einsatz von Malware zur Erstellung einer Backdoor usw. Mit herkömmlichen Netzwerksicherheitsmaßnahmen lassen sich diese böswilligen Aktivitäten oft nicht erkennen, da sie scheinbar von legitimen Usern ausgehen.

Wie läuft die laterale Ausbreitung von Bedrohungen konkret ab?

Phasen der lateralen Ausbreitung

Angriffe mit lateraler Ausbreitung werden in der Regel in drei Hauptschritten durchgeführt:

1. Aufklärung: Der Bedrohungsakteur erkundet das Netzwerk. In dieser Phase verschafft der Angreifer sich einen Einblick in Namenskonventionen und Netzwerkhierarchien, lokalisiert Schwachstellen wie z. B. offene Firewall-Ports und kann dann anhand dieser Informationen einen Plan entwickeln, um tiefer ins Netzwerk vorzudringen.
2. Infiltration: Mithilfe von Anmeldedaten, die häufig durch Phishing- oder andere Social-Engineering-Angriffe gestohlen werden, setzt der Angreifer unterschiedliche Techniken (u. a. Credential Dumping oder Privilege Escalation) ein, um sich Zugriffsberechtigungen für verschiedene Bereiche des Systems zu verschaffen.
3. Zugriff: Sobald der Bedrohungsakteur das Zielsystem bzw. die Zieldaten lokalisiert hat, kann er den eigentlichen Angriff starten, indem z. B. Malware-Payloads ausgeliefert oder Daten exfiltriert bzw. zerstört werden.

Bei welchen Angriffsarten kommt laterale Ausbreitung zum Einsatz?

Laterale Bewegungen können bei fast allen Angriffsarten als Technik eingesetzt werden, so u. a. bei Ransomware- und Phishing-Angriffen. Sobald es einem Bedrohungsakteur gelingt, sich Zugang zum Netzwerk zu verschaffen, kann er sich dort einnisten und diese Position als Basis für weitere Angriffe nutzen.

Mithilfe von Techniken wie Hijacking und Spear-Phishing können sich Angreifer ungehindert im Netzwerk bewegen, ohne dass herkömmliche Cybersicherheitsmaßnahmen ihre Anwesenheit erkennen.

Beispiele für laterale Ausbreitung bei Cyberangriffen

Laterale Ausbreitung bzw. Bewegung ist keine einzelne Technik, sondern ein strategisches Angriffselement, das je nach den Zielen der Bedrohungsakteure verschiedene Formen annehmen kann. Insbesondere sollten Sie vor folgenden gängigen Angriffstaktiken auf der Hut sein:

• Pass the Hash (PtH): Der Angreifer verschafft sich Zugriff, indem er anstatt eines Klartext-Passworts einen gestohlenen Passwort-Hash zur Authentifizierung eingibt, der der verschlüsselten Zeichenfolge entspricht, die im Authentifizierungsservice gespeichert ist.
• Pass the Ticket (PtT): Der Angreifer verwendet gestohlene Tickets aus dem Standard-Windows-Authentifizierungsprotokoll Kerberos und kann sich damit authentifizieren, ohne das Passwort des Users kennen zu müssen.
• Ausnutzung von Remote-Services: Sobald sich ein Angreifer Zugang zu einem System verschafft hat, kann er Schwachstellen oder falsch konfigurierte Berechtigungen in vernetzten Remote-Services ausnutzen, um auf andere Bereiche des Netzwerks zuzugreifen.
• Internes Spearphishing: Ein Angreifer, der bereits Zugriff auf das Konto eines legitimen Users hat, kann sich mithilfe von Spearphishing-Angriffen gemeinsam genutzte Anmeldedaten, Zugangscodes usw. verschaffen. Die Wahrscheinlichkeit, dass ein potenzielles Opfer Verdacht schöpft, ist geringer, wenn die Anfrage vermeintlich von einer bekannten Person kommt.
• SSH-Hijacking: Angreifer missbrauchen Verbindungen, die über Secure Shell (SSH) – ein gängiges Fernzugriffsprotokoll in macOS und Linux – hergestellt werden, um die Authentifizierung zu umgehen und sich über den verschlüsselten SSH-Tunnel Zugriff auf ein anderes System zu verschaffen.
• Administrative Freigaben in Windows: In den meisten Windows-Systemen sind administrative Freigaben standardmäßig aktiviert. Ein Bedrohungsakteur, der sich erfolgreich Zugriff mit Administratorrechten verschafft, kann damit auf andere Hosts innerhalb des Systems zugreifen und sich schnell lateral ausbreiten.

Welche Sicherheitsrisiken entstehen durch laterale Bewegungsfreiheit?

In einer Netzwerktopologie, die uneingeschränkte laterale Bewegungsfreiheit ermöglicht, kann sich Malware schnell von Host zu Host bewegen – oft, ohne dass eine Warnmeldung ausgelöst wird. Häufig geschieht dies mit einer so rapiden Geschwindigkeit, dass Sicherheitsexperten keine Chance haben, den Angriff einzudämmen – erst recht nicht, wenn die vorhandenen Sicherheitsmechanismen erst nachträglich Alarm schlagen.

Der anhaltende Trend zu Hybrid- und Remote-Arbeit bringt neue Probleme und Risiken mit sich. User greifen über alle möglichen Endgeräte mit jeweils eigenen Sicherheitskontrollen auf Unternehmensressourcen zu. Dadurch entsteht eine kaum noch überschaubare Vielzahl potenzieller Schwachstellen, die als Angriffsvektoren ausgenutzt werden können.

Die größte Gefahr geht jedoch von Advanced Persistent Threats (APTs) aus – raffinierte Angreifer, die sich monatelang unbemerkt im Netzwerk einer Organisation einnisten können, wo sie auf hochgradig vertrauliche Informationen zugreifen und Daten exfiltrieren.

Maßnahmen zur Prävention und Erkennung lateraler Bewegungen

Eine effektive Abwehrstrategie umfasst sowohl Maßnahmen zur Prävention als auch zur Erkennung lateraler Bewegungen.

Verhindern von lateralen Bewegungen in Echtzeit

Im Idealfall sollten Sie laterale Bewegungen von vornherein verhindern. Dazu müssen mehrere Voraussetzungen erfüllt sein:

• Effektive, zukunftsfähige Endgerätesicherheit. Hybride Arbeitskonzepte setzen sich immer mehr durch – daran wird sich auch in absehbarer Zukunft nichts ändern. Um unter diesen Vorzeichen die Sicherheit und Produktivität der Mitarbeiter zu gewährleisten, sind Lösungen zum Schutz eines breiten Spektrums von End- bzw. Mobilgeräten erforderlich, die lückenlose Zero-Trust-Zugriffskontrollen sowie zuverlässige Bedrohungserkennung und -abwehr unterstützen.
• Strenge Zugriffskontrollen für wertvolle Unternehmensressourcen. Durch Kompromittierung eines Kontos mit Administratorrechten können sich Angreifer Zugriff auf Ihre wertvollsten, hochgradig vertraulichen Daten verschaffen. Deswegen sollten diese Konten unbedingt mit den höchsten Sicherheitsstufen geschützt und ausschließlich für Aufgaben verwendet werden, für die erweiterte Berechtigungen erforderlich sind.
• Mikrosegmentierung. Durch Mikrosegmentierung werden sichere Zonen geschaffen, die zur Isolierung und individuellen Sicherung von Workloads dienen. Granulare Segmente können speziell für die Anforderungen des jeweils erforderlichen Traffics konfiguriert werden. Dadurch lässt sich die Kommunikation mit Netzwerken und Anwendungen auf ausdrücklich berechtigte Workloads beschränken.
• Sicherheitsorientierter Zero-Trust-Ansatz. Die Verantwortung für Sicherheit darf nicht nur bei der IT oder einem kleinen Sicherheitsteam liegen, sondern muss von jedem einzelnen Mitarbeiter Ihrer Organisation mitgetragen werden. Organisationen, die sich effektiv vor Angriffen schützen wollen, müssen zum einen dafür sorgen, dass alle Mitarbeiter die gängigen Sicherheitsprotokolle verstehen und einhalten, und zum anderen konsequent ein Zero-Trust-Konzept implementieren.

Erkennen von lateralen Bewegungen

Falls es einem Angreifer dennoch gelingt, sich unbefugten Zugriff auf Ihr Netzwerk zu verschaffen, kommt es darauf an, weiteren Schaden durch laterale Ausbreitung der Bedrohung zu verhindern. Insbesondere sollten Sie folgende Maßnahmen anwenden:

• Überwachung der Login-Aktivitäten. Durch engmaschige Überwachung des gesamten Authentifizierungs-Traffics verbessern Sie Ihre Chancen, direkte Kompromittierungen und Diebstahl von Anmeldedaten zu erkennen, bevor Bedrohungen sich weiter im Netzwerk ausbreiten können.
• Verhaltensanalysen. Mithilfe einer ML-gestützten Analyse lässt sich eine Baseline für normales User-Verhalten ermitteln. Abweichungen von diesen Verhaltensmustern deuten möglicherweise auf einen Cyberangriff hin.
• Deception-Technologie. Durch Platzierung originalgetreuer Decoy-Ressourcen im Netzwerk werden Bedrohungsakteure getäuscht und zu Interaktionen mit den Ködern verleitet, die sofort eine Warnmeldung auslösen.
• Threat Hunting: Funktionen, die die proaktive Suche nach und Erkennung von zuvor unbekannten bzw. anhaltenden Bedrohungen im Netzwerk unterstützen, bieten effektiven Schutz vor komplexen und schwer erkennbaren Angriffen. Die Mehrzahl der Organisationen entscheidet sich für die Bereitstellung im Rahmen eines verwalteten Service.

Vorteile von Zero Trust zur Prävention und Kontrolle lateraler Bewegungen

Vertrauensmissbrauch zählt zu den ältesten Tricks im Arsenal von Cyberkriminellen. Dabei werden nicht nur technische Maßnahmen zur Authentifizierung, sondern auch die menschliche Gutgläubigkeit als Angriffsvektoren ausgenutzt. Nachdem sich ein Angreifer unbefugten Zugang zu Ihrer IT-Umgebung verschafft hat, kann er das dort herrschende implizite Vertrauen missbrauchen, um sich ungehindert lateral durchs Netzwerk zu bewegen. Diese Möglichkeit müssen Sie ihm verwehren, indem Sie auf eine Zero-Trust-Architektur umstellen, in der keine einzige Verbindung automatisch als vertrauenswürdig eingestuft wird.

Zero-Trust-Architekturen zeichnen sich aus durch die kontextbasierte Durchsetzung von Richtlinien unter Berücksichtigung von Informationen zu Rolle und Standort des Users, seinem Gerät und den jeweils angeforderten Daten. Dadurch können unbefugte Zugriffe und laterale Bewegungen innerhalb Ihrer gesamten Datenumgebung blockiert werden.

Das Zero-Trust-Konzept setzt Transparenz und Kontrolle über alle User und den gesamten – verschlüsselten und unverschlüsselten – Traffic in einer Datenumgebung voraus. Außerdem muss der Traffic innerhalb der Umgebung überwacht und überprüft werden. Als weitere Voraussetzung sind zuverlässige Methoden zur mehrstufigen Authentifizierung erforderlich, da Passwörter allein nicht ausreichen.

Ein entscheidendes Merkmal von Zero-Trust-Architekturen besteht darin, dass der Sicherheitsstatus einer Ressource nicht mehr primär von ihrer Platzierung innerhalb des Unternehmensnetzwerks abhängt. Anstelle einer starren Netzwerksegmentierung werden Daten, Workflows, Services usw. durch softwaredefinierte Mikrosegmentierung geschützt. Dadurch lässt sich unabhängig von der jeweiligen Hosting- bzw. Speicherumgebung ein identisches Sicherheitsniveau gewährleisten.

Schutz vor lateralen Bewegungen mit Zscaler

Durch veraltete Netzwerksicherheitslösungen wie Firewalls und VPNs wird das Problem nur verschärft. Sie führen zur Entstehung einer riesigen Angriffsfläche, die Bedrohungsakteure leicht erkennen und ausnutzen können, um sich unbefugten Zugang zu Ihrer IT-Umgebung zu verschaffen. Schlimmer noch: Sie platzieren User – inklusive böswilliger Akteure – direkt im Netzwerk, wo sie Zugriff auf vertrauliche Daten haben.

Genau deswegen haben wir Zscaler Private Access™ entwickelt. ZPA wird im Rahmen der weltweit am besten bewerteten und am häufigsten eingesetzten SSE-Plattform (Security Service Edge) bereitgestellt und kombiniert eine Reihe von Vorteilen:

• Unübertroffene Sicherheit ohne Legacy-VPNs und Firewalls: User werden nicht mit dem Netzwerk, sondern direkt mit der benötigten Anwendung verbunden. Dadurch wird die Angriffsfläche verkleinert und die laterale Bewegung von Bedrohungen verhindert.
• Zuverlässiger Schutz für private Apps: Durch revolutionären Anwendungsschutz mit Inline-Funktionen zur Bedrohungsabwehr, Deception Technology und Bedrohungsisolierung lässt sich das Risiko kompromittierter User deutlich reduzieren.
• Kompromisslose Produktivität für hybride Belegschaften: Rasanter Zugriff auf private Apps für Remote-User, Unternehmenszentrale, Zweigstellen und externe Geschäftspartner.
• Einheitliche ZTNA-Plattform für User, Workloads und IoT/OT: Mit der branchenweit funktionsreichsten ZTNA-Plattform können sichere Verbindungen zu privaten Anwendungen, Services und Betriebstechnologie/IoT-Geräten hergestellt werden.

Zscaler Private Access unterstützt die konsequente Umsetzung einer minimalen Rechtevergabe. User erhalten dadurch sicheren Direktzugriff auf private Unternehmensanwendungen, während gleichzeitig unbefugte Zugriffe und laterale Bewegungen verhindert werden. Als Cloud-nativer Service kann ZPA innerhalb weniger Stunden bereitgestellt werden und ersetzt Legacy-VPNs und Remotezugriffstools durch eine ganzheitliche Zero-Trust-Plattform.