Anzeige

Im Zuge der Entwicklung der Bedrohungslandschaft werden in vielen Unternehmens Budgets für die Aufstockung von Sicherheitsteams und die Erweiterung der Verteidigungsmaßnahmen am Netzwerkperimeter erweitert. Ziel dabei ist es die Bedrohungserkennung zu verbessern und die Triage zu beschleunigen. 

Leider ist dies nach Meinung von Vectra eine falsche Prämisse.

In der Praxis ist dies bereits bekannt, angefangen mit einer aktuellen technischen Empfehlung von Gartner. In einem Blog macht Gartner deutlich: „Seit Jahren ist die Idee der Erkennung von Netzwerkbedrohungen gleichbedeutend mit Intrusion Detection and Prevention Systems (IDPS).“ Weiter heißt es: „Die heutigen NTA-Systeme tragen etwas DNA von den frühen Anomalie-basierten IDS-Systemen, aber sie unterscheiden sich im Wesentlichen in ihrem Zweck und konzentrieren sich viel weniger auf das Erkennen der erstmaligen Versuche, ins Netzwerk einzudringen“, so Gartner. „Die Unterschiede im Einsatzzweck und den bevorzugten Ansätzen haben die Praxis der Nutzung von Netzwerkdaten zur Sicherheit auf andere moderne Tools wie die NTA ausgedehnt.“

Während es mehrere Gründe gibt zugunsten dieser Argumentation, ist die Fähigkeit, den Ost-West-Verkehr im Netzwerk sichtbar zu machen, grundlegend. Ein Unternehmen befindet sich in seinem verwundbarsten Zustand, sobald eine Seitwärtsbewegung (Lateral Movement) eintritt. Die Schwachstellen wurden bereits ausgenutzt und der Perimeter wurde umgangen.

„Angreifer sind schnell und breiten sich seitlich zu anderen strategischen Punkten im Netzwerk aus, sammeln Informationen und exfiltrieren oder zerstören Daten. Dies gilt auch dann, wenn dieselben Unternehmen auf Hinweise für Insider-Bedrohungsaktivitäten stoßen“, so Gérard Bauer, VP EMEA bei Vectra.

Dieser Ansatz ist nachvollziehbar, aber wirft zwei praktische Fragen auf: Nach welchem Verhalten sollte man überhaupt suchen und wie kann man dieses Verhalten effizient und genau identifizieren?

Im jüngsten Attacker Behavior Industry Report, der auf der RSA-Konferenz 2019 veröffentlicht wurde, wurde dies als ein immer häufigeres Verhalten eingestuft.

Wie sollten Sicherheitsteams ausgestattet werden, um Querbewegungsverhalten zu identifizieren? Hierzu ist empfehlenswert, die Wirksamkeit der bestehenden Prozesse und Tools zu bewerten, um die folgenden Verhaltensweisen zu erkennen und schnell darauf zu reagieren:

  • Automatisierte Replikation. Ein internes Host-Gerät sendet ähnliche Nutzlasten an mehrere interne Ziele. Dies kann das Ergebnis sein, wenn ein infizierter Host einen oder mehrere Exploits an andere Hosts sendet, um zu versuchen, weitere Hosts zu infizieren.
  • Brute-Force-Bewegung. Ein interner Host führt übermäßige Anmeldeversuche auf einem internen System durch. Dieses Verhalten erfolgt über verschiedene Protokolle (z.B. RDP, VNC, SSH) und könnte auf eine Speicherabsturzaktivität hinweisen.
  • Bösartige Aktivitäten in Kerberos-Konten. Ein Kerberos-Konto wird über das normale Maß verwendet und die meisten Anmeldeversuche scheitern.
  • Verdächtiges Administratorverhalten. Das Host-Gerät verwendet Protokolle, die mit administrativen Aktivitäten (z.B. RDP, SSH) in einer Weise korrelieren, die als verdächtig angesehen wird.
  • Brute-Force-Bewegung über SMB (Server Message Block). Ein interner Host verwendet das SMB-Protokoll, um viele Anmeldeversuche mit den gleichen Konten durchzuführen. Dieses Verhalten steht im Einklang mit Brute-Force-Passwortangriffen.

„Natürlich variieren Schweregrad und Häufigkeit je nach Branche. Welches Verhalten in der jeweiligen Branche am häufigsten vorkommt, zeigt ebenfalls der Attacker Behavior Industry Report  auf“, erläutert Gérard Bauer.

vectra.ai


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…
Cybercrime

eCrime nimmt an Volumen und Reichweite weiter zu

CrowdStrike, ein Anbieter von Cloud-basiertem Endpunktschutz, gab heute die Veröffentlichung des CrowdStrike Falcon OverWatchTM 2020 Threat Hunting Report bekannt.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!