/
IL L U M IO P R O D U K T E

Erkennen und Eindämmen von Lateral Movement in der Cloud mit Illumio Insights

Die Nutzung der Cloud nimmt rasant zu und mit ihr geht eine neue Welle von Bedrohungen einher.  

Angreifer brechen nicht einfach ein. Sie bewegen sich so schnell wie möglich durch Ihr Netzwerk und suchen in der weitläufigen Cloud-Infrastruktur nach wertvollen Assets. Diese Taktik wird als laterale Bewegung bezeichnet und ist eine der am schwierigsten zu erkennenden und einzudämmenden Sicherheitsverletzungen.

Herkömmliche Methoden zur Bedrohungserkennung und -reaktion reichen nicht aus. Alarmmüdigkeit, isolierte Tools und blinde Flecken lassen die Sicherheitsteams in Aufruhr geraten, während böswillige Akteure unbemerkt durch den Ost-West-Verkehr schleichen.  

Die gute Nachricht ist, dass eine neue Generation von Erkennungs- und Reaktionstools auf Basis künstlicher Intelligenz (KI) die Spielregeln ändert.

In diesem Beitrag erklären wir, was Lateral Movement ist, warum es in der heutigen Bedrohungslandschaft ein so kritisches Risiko darstellt, wie KI dabei hilft, Anomalien zu erkennen und Angreifer einzudämmen, und warum Illumio Insights der intelligentere Weg nach vorne ist.

Was ist Lateralbewegung?

Wenn Angreifer Zugriff auf Ihre Umgebung erhalten, besteht ihr erster Schritt normalerweise nicht darin, Daten zu exfiltrieren oder Ransomware auszuführen.  

Stattdessen schnüffeln sie herum. Sie suchen nach Verbindungen, versuchen, Berechtigungen zu erweitern und nutzen Lücken in den Sicherheitskontrollen aus, um tiefer in Ihre Umgebung einzudringen.

Dabei handelt es sich um eine laterale Bewegung, bei der man seitwärts über Arbeitslasten hinweg navigiert, sobald ein erster Halt gefunden wurde.

Laterale Bewegung zwischen Umgebungen in Ihrem Netzwerk

Stellen Sie sich das wie einen Einbrecher vor, der durch ein unverschlossenes Fenster eindringt. Sie greifen nicht nach dem Ersten, was sie sehen. Sie erkunden die Umgebung, testen Türen und finden schließlich den Safe mit Ihren wertvollsten Gegenständen im hinteren Schlafzimmer.

In Cloud-Umgebungen könnte dieser „Safe“ sein:

  • Eine Datenbank mit personenbezogenen Daten des Kunden
  • Eine DevOps-Pipeline mit Geheimnissen und Token
  • SaaS-Integrationen sind für den Geschäftsbetrieb von entscheidender Bedeutung

Die Ziele der Angreifer sind Beharrlichkeit und Privilegien. Ihr Weg zu beidem ist die seitliche Bewegung.

Warum es so schwierig ist, seitliche Bewegungen in der Cloud zu erkennen

Sicherheitsteams sind zuversichtlich, den Nord-Süd-Verkehr (den Ein- und Ausgangsfluss zwischen Benutzern und dem Internet) erfassen zu können. Doch der Ost-West-Verkehr – das Geplapper zwischen den Workloads in hybriden Umgebungen – ist eine andere Geschichte.

Aus folgenden Gründen ist das Erkennen seitlicher Bewegungen in der Cloud so schwierig:

  • Blinde Flecken vermehren sich. Ständig wechselnde Cloud-Workloads erscheinen und verschwinden. Ohne konsistente und sich mit der Zeit ändernde Sicherheit können Angreifer die Lücken ausnutzen.
  • Die Warnungen häufen sich. Tools, die Tausende von Signalen erzeugen, können Rauschen oft nicht von echten, neu auftretenden Bedrohungen unterscheiden. Dies führt zu einer Alarmmüdigkeit in Ihrem Security Operations Center (SOC)-Team und dazu, dass wichtige Alarme möglicherweise übersehen werden.
  • Anomalien verbergen sich direkt vor unseren Augen. Ohne intelligente Verhaltensanalyse sieht verdächtige Benutzeraktivität genauso aus wie normaler Datenverkehr. Angreifer können sich lange Zeit im Schatten Ihrer Cloud-Umgebung verstecken, um nicht entdeckt zu werden.  
  • Identität wird missbraucht. Gestohlene Anmeldeinformationen ermöglichen es Bedrohungsakteuren, wie Insider zu agieren und herkömmliche Abwehrmaßnahmen zu umgehen. Anmeldungen können legitim aussehen und Angreifern ermöglichen, Ihre Sicherheit zu umgehen.
  • Veraltete Tools können da nicht mithalten. Herkömmliche Erkennungs- und Reaktionstools wurden nicht dafür entwickelt, laterale Bewegungen in modernen Cloud-Infrastrukturen zu erkennen. Dadurch entstehen Sicherheitslücken und Inkonsistenzen, die von Angreifern gefunden und ausgenutzt werden.

Trotz höherer Ausgaben für Sicherheit als je zuvor haben Unternehmen Schwierigkeiten, die Hybrid Cloud zu sichern. Kein Wunder, dass Kriminelle wochenlang unentdeckt bleiben können, während sie sich auf verheerende Angriffe vorbereiten.

Die beliebtesten Erkennungs- und Reaktionstools von heute

Organisationen verlassen sich bei der Erkennung und Abwehr von Bedrohungen auf mehrere Kategorien von Tools.

SIEMs  

SIEMs (Security Information and Event Management) sammeln Protokolle und Telemetriedaten aus Ihrer gesamten Umgebung.  

Sie eignen sich hervorragend zum Archivieren großer Datenmengen, zum Korrelieren von Warnmeldungen und zur Unterstützung der Compliance. In der Praxis haben SIEMs jedoch oft Probleme mit der Geschwindigkeit.  

Bis die Analysten die Protokolle durchforsten, haben böswillige Akteure ihre Berechtigungen möglicherweise bereits erweitert und sich seitwärts bewegt.  

SIEMs sind reaktiv. Sie sagen Ihnen, was im Nachhinein passiert ist, nicht, was bei der Echtzeitüberwachung passiert.

EDR und XDR  

EDR-Tools (Endpoint Detection and Response) konzentrieren sich auf Endpunktaktivitäten, wie z. B. das Verfolgen von Prozessen, Dateiänderungen und Benutzeraktivitäten auf Servern und Geräten.

Sie sind äußerst wirksam gegen Ransomware oder Phishing-Angriffe, bei denen Schadsoftware auf einen Laptop gelangt. Wenn jedoch eine laterale Bewegung über die Cloud-Infrastruktur hinweg stattfindet, kann EDR dem Angreifer nicht immer über den Endpunkt hinaus folgen.  

XDR-Plattformen (Extended Detection and Response) erweitern die Sichtbarkeit über E-Mail, Identität und Endpunkte, weisen jedoch immer noch blinde Flecken bei der Erkennung von Ost-West-Verkehr in der Cloud auf.

NDR  

NDR-Lösungen (Network Detection and Response) überwachen Netzwerkflüsse und wenden Verhaltensanalysen und maschinelles Lernen an, um Anomalien im Datenverkehr zu erkennen. Sie sind besonders gut darin, ungewöhnliche laterale Kommunikationen oder versteckte Befehls- und Kontrollkanäle zu erkennen.  

In elastischen und kurzlebigen Cloud-Umgebungen, in denen die Arbeitslasten ständig schwanken, kann NDR jedoch aufgrund seines Umfangs und seiner Komplexität eine Herausforderung darstellen. Angreifer können sich in die normalen Muster des Netzwerkverkehrs einfügen und so selbst die intelligentesten Filter umgehen.

IAM und PAM

Da die meisten lateralen Bewegungen auf kompromittierten Anmeldeinformationen beruhen, sind IAM- (Identity and Access Management) und PAM-Tools (Privileged Access Management) von entscheidender Bedeutung. Sie helfen bei der Durchsetzung von Sicherheitskontrollen, verwalten das Prinzip der geringsten Privilegien und verhindern eine unkontrollierte Rechteausweitung.

Sie bieten jedoch keinen Einblick in die Aktivitäten der Angreifer, nachdem sie gültige Konten gekapert haben. Mit anderen Worten: Sie können den anfänglichen Missbrauch zwar blockieren, übersehen aber oft die nachgelagerten Aktivitäten der Bedrohungsakteure, sobald sie Zugriff erlangt haben.

SOAR  

SOAR-Plattformen (Security Orchestration, Automation and Response) sind darauf ausgelegt, die Reaktion auf Cloud-Sicherheitsverletzungen durch die Automatisierung von Arbeitsabläufen zu beschleunigen. Sie lassen sich in SIEM, EDR und andere Tools integrieren, um Playbooks auszulösen (z. B. das Deaktivieren eines Kontos oder das Isolieren eines Hosts), wenn eine Bedrohung erkannt wird.  

Die Wirksamkeit von SOAR hängt jedoch vollständig von der Qualität der Erkennungen ab, die es speisen. Wenn vorgelagerte Tools die bei der seitlichen Bewegung erkannten Anomalien nicht erkennen, kann SOAR nicht darauf reagieren.

CSPMs und CNAPPs

Cloud-native Tools wie CSPM (Cloud Security Posture Management) und CNAPP (Cloud-native Application Protection Platforms) konzentrieren sich auf Konfiguration und Compliance in Cloud-Umgebungen. Sie verringern das Risiko, indem sie sicherstellen, dass für alle Dienste und Workloads Sicherheitsgrundlagen vorhanden sind.  

Obwohl sie für die Vermeidung von Fehlkonfigurationen unerlässlich sind, sind die meisten davon nicht darauf ausgelegt, aktive Bedrohungsakteure daran zu hindern, sich seitlich in Ihrer Hybrid Cloud zu bewegen.

Wie KI die Cloud-Erkennung und -Reaktion beschleunigt

Jedes Cloud-Erkennungs- und Reaktionstool stellt ein Teil des Puzzles dar. Was fehlt, ist die Korrelation: die Fähigkeit, riesige Datensätze zu analysieren, Anomalien im Kontext zu erkennen und zu verstehen, wie sich böswillige Akteure in hybriden Umgebungen bewegen.  

Hier verändert KI das Bild.

Die Umstellung auf KI in der Netzwerksicherheit ist unerlässlich. Angreifer automatisieren bereits. Verteidiger müssen KI nutzen, um sich zu wehren.

KI bietet Ihrem Sicherheitsteam eine schnelle, automatisierte Möglichkeit, um:

  • Analysieren Sie riesige Datenmengen. KI kann Protokolle, Datenflüsse und Telemetriedaten in einem Umfang verarbeiten, den kein menschliches Team bewältigen könnte.
  • Überwachen Sie das Netzwerk in Echtzeit. Es ermöglicht die Erkennung von Phishing-Angriffen, lateralen Bewegungen und anderen Verhaltensweisen, während sie auftreten.
  • Erkennen Sie Anomalien schneller. KI-gesteuerte Verhaltensanalysen heben Risiken hervor, die herkömmliche Tools übersehen.
  • Priorisieren Sie Warnungen basierend auf dem Risiko. Analysten erkennen zuerst die riskantesten Angriffspfade und nicht nur eine Flut von Warnungen.
  • Verhaltensmuster schnell erkennen. KI identifiziert wiederholbare Verhaltensweisen böswilliger Akteure und Bedrohungsakteure in verschiedenen Umgebungen.

KI-Sicherheitsdiagramme: Die verborgenen Angriffspfade der Cloud abbilden

Eine wichtige KI-Innovation in der Cybersicherheit sind Sicherheitsdiagramme. Ein KI-Sicherheitsdiagramm erstellt eine lebendige Karte Ihrer Cloud-Infrastruktur. Es verbindet jede Arbeitslast, jeden Benutzer und jede Kommunikation und verwendet dann KI, um ungewöhnliche Muster hervorzuheben.

Damit können Sicherheitsteams:

  • Erkennen Sie Ost-West-Verkehr im großen Maßstab
  • Erkennen Sie Anomalien im Kontext
  • Simulieren Sie „Was-wäre-wenn“-Szenarien, um Sicherheitskontrollen zu testen
  • Erkennen Sie Versuche zur Rechteausweitung, bevor sie erfolgreich sind
  • Verstehen Sie den potenziellen Explosionsradius eines Einbruchs

Durch den Einsatz von KI gehen Teams über reaktive Warnmeldungen hinaus und reagieren proaktiv auf Cloud-Sicherheitsverletzungen.

Illumio Insights: KI-gestützte Erkennung und Eindämmung von Sicherheitsverletzungen

Hier kommt Illumio Insights ins Spiel. Es ist die erste Plattform, die automatisierte Segmentierung mit KI-gesteuerter Bedrohungserkennung und -reaktion kombiniert.  

Mit Insights schalten Sie Folgendes frei:

  • KI-basierte Sicherheitslückenerkennung: Erkennen Sie seitliche Bewegungen, die Angreifer zu verbergen versuchen.
  • Einheitliche Sichtbarkeit: Bilden Sie jede Arbeitslast und Benutzeraktivität über Hybrid Clouds hinweg ab.
  • Anomalieerkennung: Identifizieren Sie Anomalien in der Echtzeitüberwachung mithilfe KI-basierter Verhaltensanalyse.
  • Priorisierte Reaktion: Wissen Sie, welche Bedrohungsakteure und Angriffspfade am wichtigsten sind.
  • Automatisierte Eindämmung: Blockieren Sie riskante Ost-West-Verbindungen sofort durch Richtliniendurchsetzung.

Durch die Nutzung des KI-Sicherheitsdiagramms können Sie mit Insights Lateral-Movement-Angriffe erkennen, verstehen, priorisieren und eindämmen, bevor sie sich in Ihrem Netzwerk ausbreiten.

Warum Illumio Insights in der heutigen Bedrohungslandschaft wichtig ist

Noch nie stand so viel auf dem Spiel. Bedrohungsakteure passen sich schnell an und nutzen KI-gesteuerte Angriffe, um sich schnell und unbemerkt in die Cloud-Infrastruktur einzugraben.  

Sie nutzen Lücken in den Sicherheitskontrollen aus und verschleiern ihre Aktionen in Benutzeraktivitäten, die normal aussehen.

Mit manuellen Methoden allein können Verteidiger nicht Schritt halten. Sie benötigen KI zur Erkennung interner Bedrohungen, zur Erkennung von KI-Sicherheitsverletzungen und Tools, die große Datenmengen in Echtzeit analysieren können.

Screenshot des Illumio Insights-Produkts

Deshalb ist Illumio Insights wichtig. Es gibt Sicherheitsteams die Möglichkeit, böswillige Akteure auf Augenhöhe zu bekämpfen, indem sie KI nutzen, um in großem Umfang erkannte Anomalien aufzudecken, Sicherheitsverletzungen sofort einzudämmen und das Vertrauen in ihre Fähigkeit wiederherzustellen, Angriffe zu stoppen.

Die Bewegung eindämmen, das Ergebnis kontrollieren

Der Perimeter ist verschwunden. Verstöße sind unvermeidlich. Die eigentliche Frage ist, ob Sie ihre Bewegung stoppen können, sobald sie sich in Ihrem Netzwerk befinden.

Mit Illumio Insights ist das möglich. Durch die Kombination von KI für Cloud-Sicherheit mit Segmentierung ermöglicht Insights Teams, Anomalien zu erkennen, seitliche Bewegungen einzudämmen und aufkommende Bedrohungen abzuschalten, bevor sie dauerhaften Schaden anrichten.

In der heutigen Bedrohungslandschaft sind es nicht die Organisationen, die überleben, die jeden Eindringling stoppen. Sie sind diejenigen, die seitliche Bewegungen in Echtzeit erkennen und eindämmen.

Starten Sie Ihre Illumio Insights kostenlos testen Heute.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

3 Best Practices für die Implementierung von Illumio Endpoint
IL L U M IO P R O D U K T E

3 Best Practices für die Implementierung von Illumio Endpoint

Holen Sie sich drei einfache, aber effektive Schritte, die erforderlich sind, um Ihre Endpunkte mit Illumio zu sichern.

Illumio CloudSecure: Eindämmung von Cloud-Angriffen mit proaktiven Segmentierungsrichtlinienkontrollen
IL L U M IO P R O D U K T E

Illumio CloudSecure: Eindämmung von Cloud-Angriffen mit proaktiven Segmentierungsrichtlinienkontrollen

Erfahren Sie, wie die Zero-Trust-Segmentierung mit Illumio Ihnen helfen kann, proaktiv Richtlinien festzulegen, die Angriffe in der Cloud stoppen und eindämmen.

Erfahren Sie, was es Neues bei Illumio gibt: Bessere Sicherheit, Transparenz und Effizienz
IL L U M IO P R O D U K T E

Erfahren Sie, was es Neues bei Illumio gibt: Bessere Sicherheit, Transparenz und Effizienz

Entdecken Sie die neuesten Updates der Illumio-Plattform, die entwickelt wurden, um die Sicherheit zu vereinfachen, die Transparenz zu verbessern und Teams dabei zu helfen, Sicherheitsverletzungen in Hybrid- und Multi-Cloud-Umgebungen schneller zu stoppen.

KI-gestützte Cloud-Observability: Ein tieferer Blick auf Illumio Insights mit CPO Mario Espinoza
IL L U M IO P R O D U K T E

KI-gestützte Cloud-Observability: Ein tieferer Blick auf Illumio Insights mit CPO Mario Espinoza

Erfahren Sie, wie Illumio Insights KI-gestützte Cloud-Observability nutzt, um Cyber-Bedrohungen in Echtzeit zu erkennen und einzudämmen.

Lateral Movement: So lösen Sie das größte Risiko der Cloud
Segmentierung

Lateral Movement: So lösen Sie das größte Risiko der Cloud

Erfahren Sie, warum es für Angreifer so einfach ist, sich in der Cloud lateral zu bewegen, welche vier Fehltritte die Cloud-Sicherheit für sie noch einfacher machen und warum Mikrosegmentierung der Schlüssel ist, um laterale Bewegungen zu stoppen.

Wie KI-Sicherheitsgraphen die Cloud-Erkennung und -Reaktion verändern
Cyber-Resilienz

Wie KI-Sicherheitsgraphen die Cloud-Erkennung und -Reaktion verändern

Erfahren Sie, wie KI-Sicherheitsdiagramme Cloud Detection and Response (CDR) unterstützen, um laterale Bewegungen zu erkennen, Risiken zu erkennen und Sicherheitsverletzungen zu stoppen, bevor sie sich ausbreiten.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?