Bei Vectra nehmen wir zurzeit wahr, wie Unternehmen als Reaktion auf die Entwicklungen in der Bedrohungslandschaft immer höhere Budgets für den Ausbau der Sicherheitsteams und die Erweiterung des Perimeter-Schutzes einsetzen. Hintergrund sind ihre Bemühungen, die Bedrohungserkennung zu verbessern und die Triage zu beschleunigen.
Leider geht dies in die falsche Richtung.
Praktiker haben dies bereits eingeräumt, angefangen mit einer aktuellen technischen Empfehlung von Gartner. In einem Blogbeitrag* macht Gartner deutlich: "Jahrelang war die Idee der Erkennung von Netzwerkbedrohungen bedeutungsgleich mit dem Konzept der Intrusion-Detection- und -Prevention-Systeme (IDPS)".
"Moderne NTA-Systeme (Network Traffic Analysis, Analyse des Netzwerk-Traffics) tragen noch immer ein wenig der DNA dieser frühen, Anomalie-gestützten IDS-Systeme in sich, aber ihr Zweck ist ein fundamental anderer und sie konzentrieren sich viel weniger darauf, das initiale Eindringen ins Netz zu erkennen“, heißt es im Bericht. "Die geänderte Zielsetzung und die in jüngerer Zeit bevorzugten Ansätze haben dazu geführt, dass Netzwerkdaten in der Praxis auch von anderen modernen Security-Tools ausgewertet werden, wie eben von den erwähnten NTA-Werkzeugen."
Die Gartner-Argumentation stützt sich auf eine ganze Reihe von Überlegungen – aber der Wunsch, bessere Einblicke in den Ost-West-Traffic zu bekommen, steht im Zentrum. Eine Organisation ist nämlich immer dann besonders verwundbar, wenn Angreifer zum Lateral Movement übergehen. In diesem Fall haben sie bereits Schwachstellen ausgenutzt und den Perimeter-Schutz umgangen.
Angreifer streben danach, sich möglichst schnell auf andere strategische Punkte im Netzwerk auszubreiten, Informationen zu sammeln und die Daten am Ende zu exfiltrieren oder zu zerstören. Bei Bedrohungen, die von Insidern ausgehen, ist dies ebenfalls relevant.
Der Ansatz, sich stärker auf die Erkennung von Lateral Movement zu konzentrieren, ist vor diesem Hintergrund auf abstrakter Ebene zweifellos sinnvoll. Die praktische Umsetzung allerdings wirft Fragen auf: Nach welchem Verhalten im Netz soll ich überhaupt suchen – und wie kann ich dieses Verhalten effizient und genau identifizieren?
Bei Vectra beobachten und identifizieren wir die konkreten Verhaltensweisen, die mit Lateral Movement verbunden sind, in den Netzwerken unserer Kunden – sofern diese sich dafür entscheiden, Metadaten mit uns zu teilen. Wie unser aktuellster Attacker Behavior Industry Report berichtet, der auf der RSA-Konferenz 2019 veröffentlicht wurde, geschieht dies immer häufiger.
Wenn Sie darüber nachdenken, wie Sie Ihre Sicherheitsteams so ausstatten können, dass sie Lateral Movement im Netz erkennen, sollten Sie zunächst die Wirksamkeit ihrer Prozesse und Werkzeuge zur Identifizierung von Lateral Movement evaluieren und prüfen, ob diese Tools eine schnelle Gegenwehr erlauben. Die folgenden Anzeichen und Aktionen für Lateral Movement beobachten immer wieder:
1. Automatisierte Replikation
Ein interner Host sendet ähnliche Nutzdaten an gleich mehrere interne Ziele. Hinter diesem Verhalten steckt möglicherweise ein bereits infizierter Host, der einen oder mehrere Exploits an weitere Hosts sendet, um möglichst auch diese zu infizieren.
2. "Brute-Force“-Ausbreitung
Die Intensität, mit der ein interner Host versucht, sich an einem anderen internen System anzumelden, überschreitet jedes Maß. Bei diesem Verhalten werden verschiedene Protokolle genutzt (z.B. RDP, VNC, SSH), und es könnte auf eine RAM-Scraping-Attacke hinweisen.
3. Schädliche Aktivitäten an Kerberos-Konten
Ein Kerberos-Konto wird in einer Häufigkeit verwendet, die weit über das normale Maß hinausgeht, wobei die meisten Anmeldeversuche scheitern.
4. Verdächtiges Verhalten von Administratoren
Ein Host setzt in einer verdächtigen Weise Protokolle ein, die normalerweise mit administrativen Aktivitäten (z.B. RDP, SSH) einhergehen.
5. "Brute Force“-Ausbreitung via SMB
Ein interner Host verwendet das SMB-Protokoll, um unter Ausnutzung immer gleicher Konten eine hohe Zahl von Anmeldeversuchen durchzuführen. Dieses Verhalten steht typischerweise mit Brute-Force-Kennwort-Attacken in Verbindung.
Natürlich variieren der Schweregrad und die Häufigkeit solcher Erscheinungen je nach Branche und Geschäftsfeld. Wenn Sie mehr darüber erfahren möchten, welches Angreiferverhalten in Ihrer Branche am häufigsten zu beobachten ist, empfehlen wir Ihnen die Lektüre unseres „Attacker Behavior Industry Reports“.
Gern können Sie sich auch an einen Vectra-Mitarbeiter wenden, um mit ihm ein Beratungsgespräch zu vereinbaren. Er kann Ihnen das gesamte Spektrum an unterschiedlichen Verhaltensweisen von Angreifern zeigen, auf deren Erkennung hin wir unsere KI-gesteuerte Cognito-Plattform für netzwerkgestützte Bedrohungserkennung und Response programmiert haben.
*Gartner Blog Network, ”Applying Network-Centric Approaches for Threat Detection and Response”, von Anton Chuvakin, 19. März 2019
Da uns Ihre Sicherheit am Herzen liegt, berät Sie unser Expertenteam kostenlos und unverbindlich.
Nichts ist einfacher, als die Plattform zu testen, um die möglichen Vorteile für Ihr Unternehmen zu verstehen.
Kostenlos testen ❯Hier finden Sie eine Liste der häufigsten Bedrohungen, die in den Cloud-Anwendungen von Microsoft Office 365 auftreten.
Angesichts immer raffinierterer Bedrohungen benötigen Sicherheitsteams einen sofortigen Einblick in die Cyberbedrohungen, die ihre Umgebungen belasten.
Eines ist sicher: Im Kampf gegen Ransomware sind Reaktionsfähigkeit und schnelles Handeln von grundlegender Bedeutung.