Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

Die Top 5 der Vorgehensweisen beim Lateral Movement

By:
Kevin Sheu
May 27, 2019

Bei Vectra nehmen wir zurzeit wahr, wie Unternehmen als Reaktion auf die Entwicklungen in der Bedrohungslandschaft immer höhere Budgets für den Ausbau der Sicherheitsteams und die Erweiterung des Perimeter-Schutzes einsetzen. Hintergrund sind ihre Bemühungen, die Bedrohungserkennung zu verbessern und die Triage zu beschleunigen.

Leider geht dies in die falsche Richtung.

Praktiker haben dies bereits eingeräumt, angefangen mit einer aktuellen technischen Empfehlung von Gartner. In einem Blogbeitrag* macht Gartner deutlich: "Jahrelang war die Idee der Erkennung von Netzwerkbedrohungen bedeutungsgleich mit dem Konzept der Intrusion-Detection- und -Prevention-Systeme (IDPS)".

"Moderne NTA-Systeme (Network Traffic Analysis, Analyse des Netzwerk-Traffics) tragen noch immer ein wenig der DNA dieser frühen, Anomalie-gestützten IDS-Systeme in sich, aber ihr Zweck ist ein fundamental anderer und sie konzentrieren sich viel weniger darauf, das initiale Eindringen ins Netz zu erkennen“, heißt es im Bericht. "Die geänderte Zielsetzung und die in jüngerer Zeit bevorzugten Ansätze haben dazu geführt, dass Netzwerkdaten in der Praxis auch von anderen modernen Security-Tools ausgewertet werden, wie eben von den erwähnten NTA-Werkzeugen."

Die Gartner-Argumentation stützt sich auf eine ganze Reihe von Überlegungen – aber der Wunsch, bessere Einblicke in den Ost-West-Traffic zu bekommen, steht im Zentrum. Eine Organisation ist nämlich immer dann besonders verwundbar, wenn Angreifer zum Lateral Movement übergehen. In diesem Fall haben sie bereits Schwachstellen ausgenutzt und den Perimeter-Schutz umgangen.

Angreifer streben danach, sich möglichst schnell auf andere strategische Punkte im Netzwerk auszubreiten, Informationen zu sammeln und die Daten am Ende zu exfiltrieren oder zu zerstören. Bei Bedrohungen, die von Insidern ausgehen, ist dies ebenfalls relevant.

Der Ansatz, sich stärker auf die Erkennung von Lateral Movement zu konzentrieren, ist vor diesem Hintergrund auf abstrakter Ebene zweifellos sinnvoll. Die praktische Umsetzung allerdings wirft Fragen auf: Nach welchem Verhalten im Netz soll ich überhaupt suchen – und wie kann ich dieses Verhalten effizient und genau identifizieren?

Bei Vectra beobachten und identifizieren wir die konkreten Verhaltensweisen, die mit Lateral Movement verbunden sind, in den Netzwerken unserer Kunden – sofern diese sich dafür entscheiden, Metadaten mit uns zu teilen. Wie unser aktuellster Attacker Behavior Industry Report berichtet, der auf der RSA-Konferenz 2019 veröffentlicht wurde, geschieht dies immer häufiger.

Wenn Sie darüber nachdenken, wie Sie Ihre Sicherheitsteams so ausstatten können, dass sie Lateral Movement im Netz erkennen, sollten Sie zunächst die Wirksamkeit ihrer Prozesse und Werkzeuge zur Identifizierung von Lateral Movement evaluieren und prüfen, ob diese Tools eine schnelle Gegenwehr erlauben. Die folgenden Anzeichen und Aktionen für Lateral Movement beobachten immer wieder:

  1. Automatisierte Replikation. Ein interner Host sendet ähnliche Nutzdaten an gleich mehrere interne Ziele. Hinter diesem Verhalten steckt möglicherweise ein bereits infizierter Host, der einen oder mehrere Exploits an weitere Hosts sendet, um möglichst auch diese zu infizieren.
  2. "Brute-Force“-Ausbreitung. Die Intensität, mit der ein interner Host versucht, sich an einem anderen internen System anzumelden, überschreitet jedes Maß. Bei diesem Verhalten werden verschiedene Protokolle genutzt (z.B. RDP, VNC, SSH), und es könnte auf eine RAM-Scraping-Attacke hinweisen.
  3. Schädliche Aktivitäten an Kerberos-Konten. Ein Kerberos-Konto wird in einer Häufigkeit verwendet, die weit über das normale Maß hinausgeht, wobei die meisten Anmeldeversuche scheitern.
  4. Verdächtiges Verhalten von Administratoren. Ein Host setzt in einer verdächtigen Weise Protokolle ein, die normalerweise mit administrativen Aktivitäten (z.B. RDP, SSH) einhergehen.
  5. "Brute Force“-Ausbreitung via SMB. Ein interner Host verwendet das SMB-Protokoll, um unter Ausnutzung immer gleicher Konten eine hohe Zahl von Anmeldeversuchen durchzuführen. Dieses Verhalten steht typischerweise mit Brute-Force-Kennwort-Attacken in Verbindung.


Natürlich variieren der Schweregrad und die Häufigkeit solcher Erscheinungen je nach Branche und Geschäftsfeld. Wenn Sie mehr darüber erfahren möchten, welches Angreiferverhalten in Ihrer Branche am häufigsten zu beobachten ist, empfehlen wir Ihnen die Lektüre unseres „Attacker Behavior Industry Reports“.

Gern können Sie sich auch an einen Vectra-Mitarbeiter wenden, um mit ihm ein Beratungsgespräch zu vereinbaren. Er kann Ihnen das gesamte Spektrum an unterschiedlichen Verhaltensweisen von Angreifern zeigen, auf deren Erkennung hin wir unsere KI-gesteuerte Cognito-Plattform für netzwerkgestützte Bedrohungserkennung und Response programmiert haben.

*Gartner Blog Network, ”Applying Network-Centric Approaches for Threat Detection and Response”, von Anton Chuvakin, 19. März 2019

About the author

Kevin Sheu

Kevin Sheu leads product marketing at Vectra®. He brings 15 years of product marketing and management consulting experience, where he has demonstrated a passion for product innovations and how they are adopted by customers.  He previously led growth initiatives at Okta, FireEye and Barracuda Networks.  And his perspectives are grounded in foundational work as a strategy and technology consultant; where he worked with G200 companies, private equity firms and government clients.

Author profile and blog posts

Most recent blog posts from the same author

Security operations

Three cornerstones of the SOC nuclear triad

May 7, 2019
Read blog post
Cybersecurity

Why network metadata is just right for your data lake

April 30, 2019
Read blog post
Cybersecurity

Lurking in the shadows: Top 5 lateral spread threat behaviors

April 1, 2019
Read blog post