PURE//ACCELERATE Registrieren Sie sich für Pure//Accelerate 2024
BLOG Pure garantiert ein SLA für Energieeffizienz mit dem grünsten Storage der Welt
Der Pure Vorteil Lösungen Produkte Support und Services Ressourcen Partner Unternehmen
KONTAKTIEREN SIE UNS
Blitz-Symbol
KONTAKTIEREN SIE UNS
Blitz-Symbol
Main Menu
Der Pure Vorteil
Lösungen
Produkte
Support und Services
Ressourcen
Partner
Unternehmen
Weiter zu Pure Deutschland
Weiter zu Pure Deutschland
  1. Pure Knowledge
  2. Was ist eine Seitwärtsbewegung in der Cybersicherheit?

Was ist eine Seitwärtsbewegung in der Cybersicherheit?

Ein lateraler Wechsel erfolgt in der Cybersicherheit, wenn ein Angreifer ein Konto oder Gerät kompromittiert und den Kompromiss nutzt, um Zugriff auf andere Konten oder Geräte zu erhalten. Laterale Bewegungen und die Eskalation von Berechtigungen gehen in der Regel Hand in Hand, wenn ein Angreifer durch das Netzwerk fährt und weiterhin Zugang mit immer höheren Berechtigungen erhält, bis sensible Daten gestohlen werden. Angreifer können ohne Erkennung eine laterale Bewegung erhalten, wenn das Netzwerk nicht über Überwachungstools verfügt. Um die laterale Bewegung zu stoppen, benötigen Unternehmen eine belastbare Sicherheitsinfrastruktur, die in der Lage ist, anomale Muster zu erkennen. 

Laterale Bewegung verstehen

Vertrauliche Daten sind in der Regel nur mit hochprivilegierten Benutzerkonten zugänglich, die nur wenige sind. Niedrigprivilegierte Benutzerkonten hingegen sind viel zahlreicher und bieten Angreifern mehr Möglichkeiten, wenn sie ein Konto für einen ersten Kompromiss benötigen. Beispielsweise sind Unternehmenssteuerdokumente in der Regel nur für Buchhalter, CFOs und Finanzanalysten zugänglich. Obwohl es nur einige dieser Konten gibt, könnten Konten mit niedrigeren Berechtigungen verwendet werden, um Malware in das Netzwerk zu injizieren oder Phishing-E-Mails an Finanzmitarbeiter zu senden, um ihre Kontoanmeldeinformationen zu erhalten.

Laterale Bewegungen können Angreifern auch Zugriff auf andere Geräte ermöglichen. Ein Angreifer kompromittiert beispielsweise ein Konto auf einer Workstation mit lokalem Maschinenzugriff auf einen Server. Malware kann dann auf dem Server installiert werden. Bei der Malware kann es sich um Ransomware, ein Remote Access Tool (RAT) oder ein Skript zum Exfiltrieren von Daten handeln. Bei den meisten lateralen Bewegungen besteht das Ziel darin, sensible Daten zu erhalten. 

Techniken, die in der Lateralbewegung verwendet werden

Bei den meisten lateralen Bewegungen ist der erste Kompromiss ein Geschäftsbenutzerkonto. Angreifer erhalten mithilfe einiger Strategien Zugriff auf diese Konten: Berechtigungssprays, Hash, Phishing oder Malware-Injektion. Hier ist eine kurze Beschreibung jeder Strategie:

  • Anmeldeinformationen: Angreifer programmieren Authentifizierungsanfragen mit bekannten Anmeldedaten. Wenn Benutzer dasselbe Passwort mehreren Konten zuweisen, ist es möglich, dass gestohlene Anmeldedaten von einer Website einen Angreifer auf den Geschäftskonten des Benutzers authentifizieren, insbesondere wenn die Zwei-Faktor-Authentifizierung nicht konfiguriert ist.
  • Passieren Sie den Hash: Während eine Datenbank mit Passwort-Hashes keinen Klartextwert offenlegt, könnten Brute-Force-Angriffe in Wörterbüchern den Klartextwert hinter einem Hash aufdecken.
  • Phishing: Bei BEC (Business E-Mail Compromise) kompromittieren Angreifer ein E-Mail-Konto und senden Phishing-E-Mails an privilegierte Benutzer.
  • Malware-Injektion: Fernzugriffstools und das Abhören von Daten durch Malware könnten den Zugriff auf andere Maschinen oder Konten im Netzwerk ermöglichen.

Angreifer verwenden häufig Phishing oder Malware, um zunächst Zugriff auf ein Konto mit niedrigem Privileg zu erhalten. Mit dem E-Mail-Konto dieses Benutzers sendet der Angreifer eine Nachricht an einen anderen Benutzer in der Finanzabteilung, der Personalabteilung oder dem Führungsteam, in der er um Zugang zu einer bestimmten Ressource bittet. Wenn das Phishing-Ziel verpflichtet ist, hat der Angreifer jetzt Zugriff auf sensible Daten.

Tools und Technologien, die die Lateralbewegung erleichtern

Cyberkriminelle nutzen eine Reihe von Tools, um verschiedene Angriffe durchzuführen. Gruppen von Angreifern können ihre eigenen erstellen, aber die Hacking-Community verfügt über eigene offene, nutzungsfreie Anwendungen. Hier sind einige Beispiele:

  • Mimikatz: Einige Programme speichern Anmeldedaten im Speicher. Mimikatz durchsucht den Computerspeicher nach zwischengespeicherten Anmeldedaten, um auf andere Server oder Workstations zuzugreifen.
  • PsExec: Microsoft hat PsExec für Netzwerkadministratoren entwickelt. Dadurch können Administratoren Services auf Remote-Servern starten oder stoppen. In den falschen Händen kann PsExec verwendet werden, um Malware auf einem Remote-Server zu starten. Die Malware kann zum Diebstahl von Daten oder Anmeldedaten verwendet werden.
  • PowerShell: PowerShell ist Microsofts Version von Skripting- und Skriptsprachen, kann aber verwendet werden, um auf Remote-Computer zuzugreifen, Malware auf ein lokales Gerät herunterzuladen oder böswillige Aktivitäten im Netzwerk auszuführen.

Lateralbewegung erkennen und verhindern

Nach einem ersten Kompromiss hat ein Angreifer nur begrenzte Zeit, um die Privilegien zu erweitern oder sich lateral über das Netzwerk zu bewegen. Vor dem Ausfall des niedrigprivilegierten Kontos müssen Unternehmen merkwürdiges Netzwerkverhalten erkennen, um nach einer ersten Datenschutzverletzung zusätzlichen Schaden zu stoppen. Unternehmen haben mehrere Strategien, um anomale Aktivitäten zu erkennen und seitliche Bewegungen zu stoppen:

  • Endpunktschutz verwenden: Agenten, die auf Endpunkten (z. B. Cloud-Infrastruktur oder Remote-Geräten des Benutzers) ausgeführt werden, aktualisieren die Software automatisch, stellen sicher, dass Antivirus läuft, und verhindern, dass Malware installiert wird.
  • Netzwerküberwachung aktivieren: Nutzen Sie Netzwerküberwachungslösungen, um Verhaltensmuster von Benutzerkonten kontinuierlich zu beobachten. Beispielsweise könnte eine erhöhte Anzahl von Zugriffsanfragen auf ein Steuerdokument nach der Steuersaison auf einen Kompromiss hinweisen. Die Netzwerküberwachung weist Administratoren darauf hin, die Aktivität zu überprüfen.
  • Bieten Sie Sicherheitsschulungen an: Schulen Sie hochprivilegierte Benutzer, um Phishing und Social Engineering zu erkennen.
  • Netzwerksegmentierung konfigurieren: Segmentierung Ihres Netzwerks blockiert den Zugriff von einem Segment auf ein anderes Segment, in dem sensible Informationen gespeichert sind. Beispielsweise sollte das Finanzsegment Anfragen aus dem Verkaufssegment blockieren. Diese Strategie reduziert die Mobilität einer lateralen Verschiebung.
  • Daten verschlüsseln: Wenn Sie unter einer Datenschutzverletzung leiden, sind verschlüsselte Daten für einen Angreifer nicht lesbar.

Fazit

Um seitliche Bewegungen zu stoppen, ist der Schlüssel zum Erfolg die proaktive Erkennung und Überwachung, die Segmentierung Ihres Netzwerks und der Schutz von Geräten. Compliance-Vorschriften erfordern auch die Überwachung und Prüfung von Zugriffsanfragen auf sensible Daten. SIEM (Security Information and Event Management) ist eine gute Lösung, um Administratoren auf ungewöhnliche Verhaltensweisen aufmerksam zu machen. Um Ihre Sicherheitsinfrastruktur zu ergänzen, bieten Sie Mitarbeitern und Auftragnehmern Schulungen an, die ihnen dabei helfen, potenzielle Angriffe wie Phishing zu erkennen und zu melden.

We Also Recommend...

Check Out Our Resource Center Check Out Our Resource Center
03/2025
A Buyer’s Guide to Cyber Resilience
Cyber resilience from Pure Storage® is an integrated solution designed to safeguard critical data, proactively detect threats, and deliver near-instant recovery.
Einkaufsleitfaden
12 pages
03/2025
Automating Distribution Centers with All-Flash
Discover why Carozzi chose Pure Storage to meet the data demands of automating its distribution center with automated guided vehicles.
Kundenberichte
3 pages
03/2025
ESG Report: The Economic Benefits of Pure Storage in Virtualized Environments
Download this Economic Validation conducted by Enterprise Strategy Group to learn how Pure Storage can help you with your virtualization data storage needs.
Analystenbericht
16 pages
Pure erleben
Event Center
Finden Sie anstehende Veranstaltungen und Webinare und durchsuchen Sie unseren Katalog mit On-Demand-Inhalten.
Blog
Halten Sie sich über Ankündigungen, Produktaktualisierungen, Lösungsdetails und technische Anleitungen von Pure auf dem Laufenden.
Ressourcen-Center
Greifen Sie auf eine komplette Bibliothek aus Analystenberichten, White Papers, E-Books und mehr zu.
KONTAKTIEREN SIE UNS
Pure kontaktierenInfosymbol
Chatsymbol
Fragen, Kommentare?

Haben Sie eine Frage oder einen Kommentar zu Produkten oder Zertifizierungen von Pure?  Wir helfen Ihnen gerne!

Kontaktieren Sie uns! Live-Chat
Schlüsselsymbol
Termin für Demo vereinbaren

Vereinbaren Sie einen Termin für eine Live-Demo und sehen Sie selbst, wie Pure Ihnen helfen kann, Ihre Daten in überzeugende Ergebnisse zu verwandeln. 

Demo anfordern

Rufen Sie uns an: +49 89 26200662
Presse: pr@purestorage.com

 

Pure Storage Germany GmbH

Mies-van-der-Rohe-Straße 6

80807 München

Deutschland

info@purestorage.com

SCHLIESSEN
SchließenX-Symbol zum Schließen
Ihr Browser wird nicht mehr unterstützt!

Ältere Browser stellen häufig ein Sicherheitsrisiko dar. Um die bestmögliche Erfahrung bei der Nutzung unserer Website zu ermöglichen, führen Sie bitte ein Update auf einen dieser aktuellen Browser durch.

safari
chrome
firefox
edge