Sie haben vielleicht schon von dem Konzept der Lateral Movement im Kontext von Sicherheitsoperationen gehört und haben eine allgemeine Vorstellung davon, wie Bedrohungsakteure diese Taktik nutzen, um Zugriff auf Ihre Daten zu erhalten. Aber was genau ist laterale Bewegung? Und wie wirkt sich dies auf die Sicherheitsoperationen Ihres Unternehmens aus?
Was ist seitliche Bewegung?
Beginnen wir mit der Definition MITRE ATT&CK™ sorgt für seitliche Bewegung:
Laterale Bewegung besteht aus Techniken, die Gegner verwenden, um entfernte Systeme in einem Netzwerk zu betreten und zu steuern. Um ihr primäres Ziel zu erreichen, müssen Sie häufig das Netzwerk erkunden, um ihr Ziel zu finden, und anschließend darauf zugreifen. Um ihr Ziel zu erreichen, müssen Sie häufig mehrere Systeme durchlaufen und auf Konten zugreifen. Gegner können ihre eigenen Remotezugriffstools installieren, um seitliche Bewegungen auszuführen, oder legitime Anmeldeinformationen mit nativen Netzwerk- und Betriebssystemtools verwenden, die möglicherweise verstohlener sind.
Laterale Bewegungstechniken
Die wichtige Sache, auf die man sich innerhalb der MITRE-Definition konzentrieren sollte, ist, dass laterale Bewegung keine einzelne Technik ist, sondern eine Reihe von Techniken, die Advanced Persistent Threats (APTs) und Bereiche der Ausbeutung umfassen, die von Bedrohungsakteuren verwendet werden, um Zugang zu ihrem beabsichtigten Ziel zu erhalten.
Diese Techniken heben die verschiedenen Schwachstellen und Methoden hervor, mit denen Anmeldeinformationen gestohlen und Remotedienste ausgenutzt werden. Die vollständige Liste der lateralen Bewegungstechniken und Schritte zur Abschwächung jeder Technik finden Sie auf der MITRE-Website. Beispiele für laterale Bewegung sind:
- Pass the Hash (PtH)
- Pass the Ticket (PtT)
- Ausnutzung von Remote-Diensten
- Internes Spearphishing
- SSH-Hijacking
- Windows-Administratorfreigaben
Erkennung seitlicher Bewegungen
Der Schlüssel zum Erkennen von Techniken ein Hinweis auf laterale Bewegung ist die Erkenntnis, dass es mehr als einen Ansatz gibt, um diese Art von Aktivität zu identifizieren. In vielen Fällen ist möglicherweise eine Kombination von Ansätzen erforderlich, um festzustellen, wann sich ein Bedrohungsakteur in Ihrer Umgebung bewegt.
Während das Erkennen von seitlichen Bewegungen in Ihrer Umgebung keine einfache Aufgabe ist, gibt es mehrere Methoden, die Sie auf verdächtige Aktivitäten im Zusammenhang mit seitlichen Bewegungstechniken aufmerksam machen und einen Kontext bereitstellen können, der den Untersuchungsprozess unterstützt.
Durch die Verwendung von Echtzeitüberwachung und Verhaltensanalyse können Sie potenziell schädliche Aktivitäten sofort identifizieren und anhand kontextbezogener Beweise untersuchen. Lassen Sie uns genau aufschlüsseln, was diese beiden Funktionen sind, um besser zu verstehen, wie sie zusammenarbeiten.
Echtzeitüberwachung (Alarmierung)
Die effektive Erfassung, Normalisierung und Korrelation von Daten in einer Umgebung bietet eine Echtzeitalarmierung, mit der verdächtige Aktivitäten identifiziert werden können, die weiter untersucht werden müssen. Durch die Aggregation von Warnungen kann diese Technologie dabei helfen, das Fortschreiten einer Bedrohung in Echtzeit zu beobachten und zusammengesetzte Aktivitäten anzuzeigen, die auf eine echte Bedrohung hinweisen.
Wenn Sie Echtzeitüberwachung verwenden, können Sie auch Regeln anwenden, die dem MITRE ATT&CK-Framework zugeordnet sind, insbesondere für laterale Bewegungstechniken. Durch die Bereitstellung von Regeln für alle Techniken im Rahmen des Frameworks können Sie sicherstellen, dass Sie alle potenziellen Ausnutzungsbereiche abdecken.
Verhaltensanalyse (Untersuchung)
Die Verhaltensanalyse bietet einen einzigartigen Einblick in die Aktivität von Benutzern und Netzwerkentitäten, um Aktivitäten zu priorisieren und zu adressieren, die eine signifikante Abweichung vom normalen Verhalten aufweisen.
UEBA-Lösungen (User and Entity Behavior Analysis) verwenden maschinelles Lernen (ML), um sowohl die Baseline (normales Verhalten) jedes Benutzers und jeder Entität als auch die Signifikanz jeder Aktivität zu bestimmen, die von dieser Baseline abweicht. Das Verständnis dieser Abweichungen kann kontextbezogene Beweise liefern, die die Untersuchung einer Warnung im Zusammenhang mit verdächtigen Aktivitäten unterstützen.
Da jede Erkennungsmethode eine einzigartige Perspektive bietet und unterschiedliche Ressourcen- und Zeitanforderungen hat, ist es wichtig, nicht nur von einer einzigen Methode abhängig zu sein, die für jedes Szenario der richtige Ansatz sein kann oder auch nicht. Einige Szenarien erfordern möglicherweise nur eine Echtzeitwarnung, um laterale Bewegungstechniken effizient zu erkennen, während anspruchsvollere Angriffe sowohl eine Warnung als auch eine Untersuchung durch Verhaltensanalyse erfordern, um einen böswilligen Akteur sicher zu identifizieren.
Anwendungsfall laterale Bewegung
Nachfolgend finden Sie ein Beispiel für eine Sequenz zum Angriff und Erkennen lateraler Bewegung.
Angreifer: Aufklärung
- Der Angreifer initiiert die Aufklärung und das Sammeln von Informationen mithilfe einer Kombination von Tools wie OpenVAS, Nmap, Shodan usw.
Angreifer: Exploit
- Der Angreifer nutzt eine Sicherheitsanfälligkeit aus, die während der Aufklärung identifiziert wurde, um ersten Zugriff zu erhalten.
Angreifer: Diebstahl von Anmeldeinformationen
- Der Angreifer nutzt eine interne Spearphishing-Technik, um andere Benutzer innerhalb derselben Organisation auszunutzen und mehr Zugriff zu erhalten.
SecOps: Initial Alert
- Korrelationsregel aufgrund von Phishing-Indikatoren sofort ausgelöst und Alarm generiert
- Neuer Fall erstellt
- Untersuchung eingeleitet
Angreifer: Privilege Escalation
- Nach einem erfolgreichen Spearfishing-Exploit versucht der Angreifer, Privilegien zu eskalieren, um Zugriff auf das beabsichtigte Ziel zu erhalten.
SecOps: Zusätzlicher Alarm ausgelöst
- Ein Alarm wird ausgelöst, weil Berechtigungen geändert wurden.
- Eine neue Warnung wird zu einem vorhandenen Fall hinzugefügt.
- SecOps setzt die Untersuchung mithilfe von Verhaltensanalysen fort, um anomale Aktivitäten zu identifizieren und vorhandenen Warnungen Kontext hinzuzufügen.
Angreifer: Datenexfiltration
- Der Angreifer initiiert eine RDP-Sitzung, um remote auf den Zielserver zuzugreifen.
- Der Angreifer sieht sensible Daten auf dem Zielserver.
- Der Angreifer beginnt mit dem Kopieren von Dateien vom Server.
SecOps: Zusätzlicher Alarm ausgelöst und Antwort
- Ein Alarm wird aufgrund eines sensiblen Dateizugriffs ausgelöst.
- Ein Alarm wird aufgrund einer Dateikopie ausgelöst.
- Neue Warnungen werden zu einem bestehenden Fall hinzugefügt, der nun über ausreichende Beweise verfügt, um mit der Behebung zu beginnen.
- SecOps leitet eine automatisierte Aktion ein, um die RDP-Sitzung des Benutzers zu trennen und den Benutzer vom Server auszuschließen.
Seitliche Bewegung verhindern
Wenn Sie die Zeit reduzieren, die Ihr Team benötigt, um seitliche Bewegungen zu erkennen und darauf zu reagieren, verringert sich die Wahrscheinlichkeit, dass sich ein Bedrohungsakteur in Ihrem Netzwerk bewegt und schließlich Zugriff auf vertrauliche Daten erhält. UEBA-Lösungen, die SOAR-Funktionen (Security Orchestration, Automation and Response) integrieren, können Ihrem Team helfen, alle damit verbundenen schädlichen Aktivitäten schnell zu identifizieren, um sie schnell zu erkennen und zu reagieren.
Sehen Sie sich unser On-Demand-Webinar an, um mehr über den UEBA-Markt zu erfahren und wie er Ihrem Team Einblick in Insider-Bedrohungen geben kann.