In Teil 10 unserer Blogreihe zum MITRE ATT&CK Framework geht es um die Phase Lateral Movement (Seitliche Bewegung). Aufbauend auf den Informationen, die in der Discovery-Phase gesammelt wurden, versuchen Angreifer in dieser Phase, sich von einem kompromittierten System auf lohnende Zielsysteme im Netzwerk auszubreiten.

Mehr Informationen finden Sie im Übersichtsbeitrag und im MITRE ATT&CK Framework.

Was ist Lateral Movement?

Lateral Movement beschreibt die Technik, bei der Angreifer versuchen, sich durch das Netzwerk von einem System zum nächsten zu bewegen. Mit den in der Discovery-Phase gewonnenen Informationen über Netzwerkstrukturen und Sicherheitsmaßnahmen identifizieren sie hochwertige Systeme und setzen alles daran, diese zu kompromittieren.

Beispiele für Lateral Movement

1. Pass-the-Hash-Angriffe: Angreifer nutzen Hash-Werte von Passwörtern, um sich als andere Benutzer im Netzwerk auszugeben.
2. Remote Services: Über den Fernzugriff (z.B. RDP oder SMB) greifen Angreifer auf andere Systeme zu.
3. Exploitation von Remote-Verwaltungstools: Angreifer missbrauchen legitime Verwaltungstools, um die Kontrolle über weitere Systeme zu erlangen.

Zeitlicher Verlauf und Bedeutung der Lateral Movement-Phase

Die Lateral Movement-Phase kann sich über Stunden oder Tage erstrecken, während die Angreifer versuchen, sich unauffällig durch das Netzwerk zu bewegen. Je nach Netzwerkstruktur und Sicherheitsmaßnahmen verbringen Angreifer 30-40% der gesamten Angriffszeit in dieser Phase. Die größte Gefahr besteht darin, dass sie sich von einem weniger geschützten Bereich des Netzwerks in höher privilegierte oder sensiblere Zonen bewegen.

Verteidigungsmaßnahmen

• Segmentierung mit Firewall-Kontrolle: Eine strikte Netzwerksegmentierung und Absicherung jedes Netzbereichs durch Firewalls erschwert es Angreifern, sich seitlich zu bewegen.
• Erweiterte Überwachung von Zugriffsrechten: Überwachung und Einschränkung von Remote-Zugriffen und -Protokollen wie RDP oder SMB.
• XDR-Lösungen: XDR kann lateral verlaufende Aktivitäten, wie verdächtige Bewegungen zwischen Netzsegmenten, erkennen und stoppen.

Fazit

Die Lateral Movement-Phase ist eine kritische Phase, da Angreifer versuchen, sich unbemerkt im Netzwerk zu bewegen und Zugang zu tiefer gelegenen, sensibleren Systemen zu erhalten. Eine strikte Segmentierung und fortlaufende Überwachung sind entscheidend, um Angriffe in dieser Phase zu erkennen und zu stoppen.

Im nächsten Beitrag unserer Blogreihe widmen wir uns der Phase Collection, in der Angreifer versuchen, gesammelte Daten zu exfiltrieren.

Lassen Sie nicht zu, dass sich Angreifer frei in Ihrem Netzwerk bewegen! Wir analysieren Ihre Sicherheitsarchitektur und implementieren die nötigen Maßnahmen, um Angriffe in jeder Phase zu verhindern.

Kontaktieren Sie uns einfach: 06103 9707-500 oder per E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein. – wir sind für Sie da!