Sysbus
ArtikelSecurity

Administratoren – die Gefahr im Innern

gcg

In fünf Schritten die Kontrolle zurückerobern

Bei der Auswahl einer adäquaten Lösung, die vor lateralen Bewegungen bei Cyberangriffen schützt, sollten Unternehmen daher fünf Aspekte in Erwägung ziehen:

  • Möglichkeit der Dokumentation seitlicher Bewegungspfade zu und von den analysierten Nutzern, Gruppen und Endpunkten
    Anstatt komplizierter Netzwerkdiagramme sollte den Verantwortlichen eine leicht verständliche grafische Darstellung des Lateral-Movement-Potenzials zur Verfügung stehen, welche dedizierte Verbindungen zu und von jedem Benutzer, jeder Gruppe und jedem Endpunkt anzeigt. Während eingehende Pfade Aufschluss darüber geben, welche anderen Konten sich bei einem Endpunkt im Netzwerk aus anmelden können, stellen ausgehende Pfade dar, auf welche anderen Konten und Endgeräte ein Endpunkt selbst zugreifen kann – und damit, welche anderen Einfallstore sich den Angreifern eröffnen, wenn der entsprechende Endpunkt kompromittiert wird.
  • Meldung der Zugriffsdaten für die gesamte Organisation – nicht nur für ein lokales Netzwerk
    In großen Unternehmen müssen die Sicherheitsteams das Risiko von Seitwärtsbewegungen über alle Endpunkte hinweg verstehen. Schließlich können Angreifer mit Zugriff auf Anmeldedaten schnell von einem Büronetzwerk in ein anderes wechseln. Ein zentrales, umfassendes Reporting-Tool, das sich auf Hunderttausende verteilte Endpunkte skalieren lässt, bietet IT-Teams die Möglichkeit, die Risiken im Zusammenhang mit Lateral Movement für die verwalteten Endpunkte zu verstehen und einzudämmen.
  • Integration von Sitzungsdaten in die Analyse, um die Risiken von vergangenen Angriffen nachvollziehen zu können
    Wenn sich ein Benutzer an einem Endpunkt anmeldet, können diese Login-Daten im Speicher des Endpunkts verbleiben, bis dieser neu gestartet wird. Angreifer verwenden Tools zum Diebstahl von Anmeldeinformationen wie Mimikatz, um Anmeldeinformationen, Hashes, Token und PINs aus dem Speicher zu lesen und sie für den Zugriff auf andere Endgeräte zu verwenden. Eine Lösung, die nachverfolgt, welche Anmeldeinformationen an Endpunkten offengelegt werden, hilft den IT-Teams, die mit dem Benutzer oder Endgerät verbundenen Sicherheitsrisiken zu verstehen. Diese Informationen zu sammeln, ist wichtig, um laterale Bewegungen zu stoppen. Wenn Sicherheitsanalysten ein Eindringen in das Netzwerk feststellen, müssen sie so schnell wie möglich herausfinden, welche Endpunkte kompromittiert wurden und welche Benutzerberechtigungen auf diesen Endpunkten verwendet werden könnten, um andere zu kompromittieren.
  • Identifizierung der direkten und indirekten Zugriffsmöglichkeiten, um potenzielle Pfade und somit alle Risiken zu bewerten
    Direkte Kontrolle bedeutet, dass ein Benutzer administrative Kontrolle über ein Gerät hat. Indirekte Kontrolle bedeutet, dass ein Benutzer zu einer oder mehreren Gruppen mit administrativer Kontrolle über einen Endpunkt gehört. Um das Risiko lateraler Bewegungen zu verstehen, benötigen Sicherheitsanalysten einen Einblick in die direkte und indirekte Kontrolle für ihre Endpunkte. Denn die Zugriffsberechtigungen werden mit der Zeit immer komplexer: Benutzer werden Gruppen zugewiesen, und einige dieser Gruppen werden später anderen Gruppen zugewiesen. Um jedoch in der Lage zu sein, Risiken effektiv einzudämmen, müssen verschachtelte Gruppenstrukturen erkannt und verstanden werden. Durch die Analyse der direkten und indirekten Kontrolle, die Benutzer über Endpunkte haben, sowie der Sitzungsdaten erhalten Sicherheitsteams einen umfassenden Einblick, um das Risiko lateraler Bewegungen einzuschätzen und dieses Risiko so weit wie möglich zu minimieren.
  • Risikobewertung für Benutzer, Gruppen und Endpunkte
    Ist eine Analyse der Zugriffsrechte erfolgt, lohnt es sich, basierend auf der Gefahr, denen Endpunkte, Benutzer und Gruppe aufgrund von Angriffen durch Lateral Movement ausgesetzt sind, eine Risikobewertung zu erstellen. In diesem Impact Rating kommen folgende Faktoren zum Tragen: potenzieller eingehender Einfluss durch Benutzer, potenzieller eingehender Einfluss durch Endpunkte, potenzielle Auswirkung nach außen durch Benutzer, potenzieller ausgehender Einfluss durch Endpunkte. Eine solche Bewertung hilft Sicherheitsteams in zweierlei Hinsicht: So lassen sich auf diese Weise sowohl proaktive Maßnahmen als auch Warnungen anderer Security-Reporting-Tools priorisieren, um kritische Sicherheitslücken rasch zu schließen.

Fazit

Wie die jüngsten Cyberangriffe gezeigt haben, können sich Cyberkriminelle in vielen Fällen frei durch das Unternehmensnetzwerk bewegen, in das sie durch eine Schwachstelle eindringen. Mittels lateraler Bewegungen lässt sich das Ausmaß ihrer Angriffe ausweiten und die Wahrscheinlichkeit erhöhen, dass wertvolle Daten gestohlen oder manipuliert werden.

Um die Möglichkeiten eines Angreifers zu reduzieren, sich auf diese Weise zu bewegen, benötigen IT-Organisationen detaillierte Reports über Nutzer, Endpunkte und Gruppen. Klare Visualisierungen und Risikoanalysen helfen dabei, effektiv zu handeln – sei es durch proaktives Risikomanagement oder durch eine rasche Reaktion auf Bedrohungen.

Ähnliche Beiträge:

  1. Die bestmögliche Strategie für eine tiefgreifende Endpunksicherheit
  2. Im Test: Bomgar Remote Support 14.3.2 – Sicherer Support über eine zentrale Appliance
  3. So schützen Sie sich vor Ransomware in Zeiten von Cloud-Computing
  4. IT-Sicherheit im ewigen Wettlauf mit der dunklen Seite der Macht

Das könnte dir auch gefallen

Secret Server und DevOps Secrets Vault von ThycoticCentrify in neuer Version

gcg

Beendet Chrome 71 das Malvertising?

gg

Interview mit Christian Nowitzki, Geschäftsführer der IT-Sicherheitsdistribution Intellicomp

gcg
Die mobile Version verlassen
%%footer%%