Suche

Sprache

Was macht Angriffe mit seitlicher Bewegung zu einem blinden Fleck?

Februar 23rd, 2022

Startseite » Blog » Was macht Angriffe mit seitlicher Bewegung zu einem blinden Fleck?

Seitliche Bewegung Angriffe sind praktisch ein blinder Fleck im heutigen Sicherheits-Stack, der sie nicht in Echtzeit erkennen und verhindern kann. Dieser blinde Fleck ist das Ergebnis eines langjährigen Paradigmas, das den Identitätsschutz an Endpunkt-, Netzwerk- und Cloud-Sicherheitsprodukte delegiert, anstatt Benutzeridentitäten als das anzuerkennen, was sie wirklich sind – als eigenständige Produkte Angriffsfläche die gezielt angegangen und geschützt werden müssen. In diesem Artikel schlagen wir einen konzeptionellen Rahmen vor, um diesen blinden Fleck im Gesamtkontext des Cyber-Schutzes besser zu analysieren und zu verstehen, damit verschiedene Sicherheitsakteure in Unternehmen über ihren Sicherheits-Stack nachdenken und dessen Gefährdung durch Lateral-Movement-Angriffe bewerten können.

Inhaltsverzeichnis

  • Eine kurze Wiederholung der seitlichen Bewegung
  • Angriffserkennung 101: Der Anomaliefaktor
  • Angriffserkennung 102: Der Multi-Aspect-Faktor
  • Attack Prevention 101: Der Faktor Echtzeit
  • Lateral Movement Attack und The Identity Attack Surface
  • Fazit – Seitenbewegungsschutz Sackgasse
  • Das Silverfort Weg: Seitwärtsbewegung Echtzeit-Prävention mit MFA

    • Eine kurze Wiederholung der seitlichen Bewegung

    Ausweitung der Präsenz von Patient-Null auf zusätzliche Maschinen

    Seitliche Bewegung ist der allgemeine Begriff zur Beschreibung der Angriffsphase, die auf eine anfängliche Kompromittierung einer Maschine folgt (AKA Patient null) durch Zugreifen auf und Ausführen von Code auf zusätzlichen Computern in der Umgebung. Das Durchführen einer seitlichen Bewegung ist für den Angreifer von entscheidender Bedeutung, da der Patient Zero in den meisten Fällen zwar anfälliger als andere Maschinen in der Umgebung ist, aber die Ziele des Angriffs nicht alleine erfüllen kann. Daraus ergibt sich die Notwendigkeit, auf zusätzliche Maschinen zuzugreifen und einen Pfad zu bilden, um die Ziele des Angriffs zu erfüllen.

    Kompromittierte Benutzeranmeldeinformationen sind die Schlüsselfaktoren für Lateral Movement

    Doch wie erfolgt die Bewegung von Maschine zu Maschine? In einer Unternehmensumgebung gibt es hierfür nur eine Möglichkeit: Melden Sie sich mit Benutzeranmeldeinformationen an. Was dem Patienten-Null-Kompromiss typischerweise folgen würde, ist daher die Suche nach dem Benutzerkonten die am Computer angemeldet sind, und ihre Anmeldeinformationen (eine relativ triviale Aufgabe, die viele Open-Source-Tools und entweder CMD- oder PowerShell-Skripte ausführen können). Der Angreifer kann dann mithilfe verschiedener Admin-Tools die Namen anderer Maschinen in der Umgebung ermitteln und versuchen, sich mit den neu erhaltenen Anmeldeinformationen bei ihnen anzumelden. Bei Erfolg wird dieser Vorgang auf der nächsten Maschine wiederholt und so weiter. Einer der gemeinsamen Threads vieler Angriffe ist der Versuch, nach Administratoranmeldeinformationen zu suchen, da diese über höhere Zugriffsrechte und Zugriff auf den Domänencontroller verfügen.

    In Bezug auf das Risiko und den potenziellen Schaden ist leicht ersichtlich, dass Lateral Movement die Schlüsselkomponente ist, um einen Cyberangriff von einem lokalen Ereignis in einen Vorfall auf Unternehmensebene zu verwandeln. Trotz der erheblichen Fortschritte, die in den letzten zehn Jahren in der Cybersicherheit erzielt wurden, ist die laterale Bewegung jedoch immer noch ein blinder Fleck im Unternehmenssicherheits-Stack und schafft eine kritische Sicherheitslücke. Lassen Sie uns über die Schlüsselkonzepte der Cybersicherheitserkennung und -prävention nachdenken, um zu verstehen, warum.

    Angriffserkennung 101: Der Anomaliefaktor

    In den meisten Fällen unterscheiden sich böswillige Aktivitäten von legitimen. Um eine böswillige Aktivität zu erkennen, ist die grundlegende Frage Welche Anomalie erzeugt es?

    In einigen Fällen lässt sich die Anomalie leicht nachverfolgen – zum Beispiel eine Dateisignatur, die bereits als bösartig gekennzeichnet wurde, oder Netzwerkverkehr zu einer externen IP, die als bösartig bekannt ist. Aber Bedrohungsakteure verfeinern und verbessern ihre Tools kontinuierlich und sind bestrebt, diese Anomalien so weit wie möglich zu beseitigen oder zumindest zu minimieren. So sehen wir oft Angriffe, die in einem bestimmten Aspekt aus einer völlig normalen Aktivität bestehen, in einem anderen jedoch anomal sind. Beispielsweise löst ein Speicherbeschädigungs-Exploit einer Schwachstelle in Chrome keine Dateianomalie aus, da er den laufenden Chrome-Prozess kapert. Das Prozessverhalten im Speicher und seine Interaktion mit dem Betriebssystem unterscheidet sich jedoch radikal vom normalen Chrome-Ausführungsablauf.

    Angriffserkennung 102: Der Multi-Aspect-Faktor

    Aber was meinen wir, wenn wir von Aspekten sprechen? Wir können uns Aspekte als verschiedene Perspektiven einer einzelnen Aktivität vorstellen. Nehmen wir ein typisches Szenario einer schädlichen Nutzlast, die ausgeführt wird, eine ausgehende Verbindung mit einem Remoteserver öffnet und eine zusätzliche Datei herunterlädt. Der Endpunktschutzaspekt sucht nach Anomalien im Prozessverhalten und in Dateisignaturen, während die Aspekt des Netzwerkschutzes würde nach Anomalien im Netzwerkverkehr suchen. Ein solider Sicherheitsstapel würde so viele Aspekte wie möglich umfassen, um die Erkennungschancen böswilliger Aktivitäten zu erhöhen.

    Der Einzelaspektschutz wird zwangsläufig scheitern, da es Angriffsvektoren gibt, die per Definition in einem Aspekt legitim und in einem anderen bösartig sind. Das einfachste Beispiel ist die C2C-Kommunikation. Es gibt keine Anomalie in der Datei oder dem Prozess, der die Verbindung öffnet, da es die gleiche ist, die das Betriebssystem für jede andere legitime Verbindung verwendet. Wenn wir uns also nur auf den Endpunktaspekt verlassen würden, würde diese Aktivität höchstwahrscheinlich unentdeckt bleiben. Der Netzwerkaspekt, der sich mit dem Netzwerkverkehr befasst, würde jedoch leicht feststellen, dass die Zieladresse bösartig ist, und die Verbindung vollständig blockieren.

    Attack Prevention 101: Der Faktor Echtzeit

    Die Erkennung bösartiger Aktivitäten ist der erste Schritt. Der tatsächliche Sicherheitswert wird jedoch durch die Fähigkeit geliefert verhindern or Schutzmassnahmen bei die erkannte bösartige Aktivität in Echtzeit. Auf diese Weise kann eine Endpoint Protection Platform (EPP) nicht nur feststellen, ob ein laufender Prozess böswilliges Verhalten aufweist, sondern auch die Ausführung dieses Prozesses in Echtzeit beenden. In ähnlicher Weise kann eine Firewall sowohl feststellen, dass bestimmter Netzwerkverkehr bösartig ist, als auch insgesamt blockieren.

    Sehen wir uns nun an, wie die Faktoren Anomalie, Aspekt und Echtzeit abgebildet werden seitlicher Bewegungsschutz.

    Lateral Movement Attack und The Identity Attack Surface

    Der Grund, warum Lateral-Movement-Angriffe ein blinder Fleck sind, liegt darin, dass Endpunkt- und Netzwerksicherheitskontrollen nicht über den erforderlichen Aspekt verfügen, um die damit verbundenen Anomalien zu erkennen, und nicht in der Lage sind, sie in Echtzeit zu blockieren. Lassen Sie uns tiefer eintauchen, um zu verstehen, warum.

    Seitliche Bewegung ist ein identitätsbasierter Angriff

    Lateral-Movement-Angriffe werden durchgeführt, indem gültige (aber kompromittierte) Benutzeranmeldeinformationen bereitgestellt werden, um sich bei Ressourcen (Server, Workstations, Apps usw.) in der Zielumgebung anzumelden. Das leitet eine schwere ein Erkennungs-Herausforderung weil die Authentifizierung von einem Angreifer durchgeführt wird, der seitliche Bewegungen durchführt ist im Wesentlichen identisch mit einer Authentifizierung durch einen legitimen Benutzer. Beide beinhalten eine Authentifizierungsprozess Dazu gehört die Weitergabe von Anmeldeinformationen an einen Identitätsanbieter (z. B Active Directory), der sie validiert und basierend auf dieser Validierung den Zugriff gewährt oder verweigert. Auf diese Weise besteht ein Lateral-Movement-Angriff im Kern aus einer Reihe von Authentifizierungen, die die legitime Authentifizierungsinfrastruktur für böswillige Zwecke nutzen.

    Lateral Movement Detection Herausforderung Nr. 1: Ein niedriger Anomaliefaktor

    Das heißt, wir haben es mit a zu tun sehr niedriger Anomaliefaktor zunächst. Der einzige Unterschied zwischen einer böswilligen und einer legitimen Authentifizierung besteht darin, dass die erste von einem Angreifer durchgeführt wird, während die letztere von einem böswilligen Benutzer durchgeführt wird. Das lässt nicht viel Spielraum für Anomalien übrig, da die Anomalie nicht in der Authentifizierung selbst, sondern in ihrem umgebenden Kontext zu finden wäre. Lassen Sie uns verstehen, warum die Offenlegung dieses Kontexts den Rahmen der Endpunkt- und Netzwerkschutzaspekte sprengen würde.

    Lateral Movement Detection Herausforderung Nr. 2: Endpunkt- und Netzwerkaspekte stimmen nicht überein

    Wie bereits erläutert, ist Lateral Movement eine Reihe böswilliger Authentifizierungen von einem kompromittierten Computer zu einem anderen.

    Das Endpunktschutzaspekt ist bei der Feststellung, dass eine solche Authentifizierung böswillig ist, nicht effizient, da sie sich auf Anomalien bei der Datei- und Prozessausführung konzentriert. Dieser Aspekt kann aufgrund der beschriebenen Ähnlichkeit keine Anomalie erkennen lassen. Wenn sich beispielsweise ein Angreifer für den Einsatz entscheidet PsExec Wenn Sie ein Tool verwenden, mit dem Sie mit einem Satz kompromittierter Anmeldeinformationen eine Fernverbindung von Patient Null zu einem anderen Computer herstellen können, wird der gestartete Prozess PsExec.exe sein – derselbe Prozess, der gestartet würde, wenn ein legitimer Administrator ausgewählt würde, um dieselbe Verbindung herzustellen.

    Das Aspekt des Netzwerkschutzes würde aus dem gleichen Grund bei der Erfassung einer seitlichen Bewegung versagen. Der Netzwerkverkehr von Patient Null zum neuen Gerät ähnelt zu 100 % dem Datenverkehr, den ein legitimer Helpdesk generieren würde, wenn er ein Endpunktproblem für einen Mitarbeiter aus der Ferne beheben würde.

    Lateral Movement Prevention Herausforderung Nr. 3: Der Mangel an Echtzeitfaktor in Endpunkt- und Netzwerklösungen

    Nehmen wir an, wir haben es geschafft, die Erkennungsschwierigkeiten teilweise zu überwinden. Es gibt noch eine kritische Herausforderung zu lösen: das Fehlen von Echtzeit-Präventionsfunktionen sowohl bei Endpoint- als auch bei Netzwerkschutzprodukten. Selbst wenn es der EVP irgendwie gelingt festzustellen, dass ein ausgeführter Prozess zweifelsfrei impliziert, dass ein Lateral Movement Attack stattfindet, kann sie nichts dagegen tun. Obwohl eine Netzwerklösung theoretisch in der Lage sein könnte, diesen Schutz durch eine enge Segmentierung der Umgebung bereitzustellen, verhindert sie in der Praxis weder laterale Bewegungen innerhalb des kompromittierten Segments selbst, noch blockiert sie kompromittierte Admin-Benutzer, die normalerweise von den Beschränkungen der Segmentierung ausgenommen sind .

    Tatsächlich ist der Identitätsanbieter selbst die einzige Komponente im IT-Stack des Unternehmens, die laterale Bewegungen in Echtzeit verhindern kann, was in den meisten lokalen Umgebungen der Fall wäre Active Directory.

    Active Directory Erkennungs- und Präventionslücken

    AD regelt den Authentifizierungsprozess selbst und bestimmt, ob eine Zugriffsanforderung auf eine Ressource gewährt oder verweigert wird. Wenn irgendwo eine Echtzeit-Prävention gegen seitliche Bewegungen zu finden ist, dann dort.

    Zwei Hauptprobleme hindern AD jedoch daran, die Aufgabe des Echtzeitschutzes auszuführen. Die einzige Sicherheitsprüfung, die AD durchführen kann, besteht darin, die Übereinstimmung der Benutzeranmeldeinformationen zu validieren – im Fall einer lateralen Bewegung ist dies nutzlos, da die Übereinstimmung vorhanden ist (das ist der ganze Zweck, diese Anmeldeinformationen überhaupt zu kompromittieren). Das Potenzial des Echtzeitschutzes kann also nicht ausgeschöpft werden, da AD nie weiß, wann es anzuwenden ist.

    Fazit – Seitenbewegungsschutz Sackgasse

    Zusammenfassend lässt sich sagen, dass der Endpunkt- und Netzwerkschutz Lateral-Movement-Angriffe nicht effizient erkennen kann und nicht in der Lage ist, sie zu verhindern. Active Directory Es fehlt die Fähigkeit, zwischen einem Lateral-Movement-Angriff und einer legitimen Authentifizierung zu unterscheiden, wodurch sein Schutzpotenzial schlummert und nicht für den tatsächlichen Schutz genutzt werden kann. Dies ist der Hauptgrund, warum die meisten Unternehmen ihren Sicherheitsstapel so gestalten, dass er die Angriffsphasen verhindert, die der lateralen Bewegung vorausgehen, und den Schaden nach der Erkennung reaktiv minimiert. Aber die seitliche Bewegung selbst wird nicht eingedämmt oder angesprochen.

    Das Silverfort Weg: Seitwärtsbewegung Echtzeit-Prävention mit MFA

    Das Silverfort Die Unified Identity Protection-Plattform ist die erste Lösung, die durch native Integration eine nahtlose Echtzeit-Prävention von Lateral-Movement-Angriffen bietet Active Directory um eine Sicherheitsebene sowohl für die Risikoanalyse als auch für die Risikoanalyse hinzuzufügen Multi-Faktor-Authentifizierung (MFA). Mehr darüber lernen Silverfort's Fähigkeiten, besuchen Sie unsere Seitenbewegungsschutz Seite oder Zeitplan a Demo mit einem unserer Experten.

    Bereit für eine Demo?
    Heute anmelden.

    Kürzliche Posts

    2. Mai 2024

    Silverfort stellt Forschungsergebnisse auf der RSA 2024 vor: Verwendung von MITM zur Umgehung moderner Authentifizierungsmethoden für SSO

    April 24th, 2024

    5 Möglichkeiten, Ihre AD-Hygiene zu verbessern Silverfort  

    March 26th, 2024

    Der Identity Underground Report: Tiefer Einblick in die kritischsten Sicherheitslücken im Identitätsbereich  

    März 2nd, 2024

    MFA-Schutz für Air-Gap-Netzwerke
    mehr

    Folgen Sie uns

    Stoppen Sie Identitätsbedrohungen jetzt