Was ist

Seitliche Bewegung

?

Häufige Gründe für laterale Bewegungen

Böswillige Bedrohungsakteure haben in der Regel ein primäres Ziel vor Augen, das von einem Hacker zum nächsten unterschiedlich sein kann. Cyberkriminelle nutzen laterale Bewegungen, um sich Zugriff auf ein Netzwerk zu verschaffen, unter anderem aus folgenden Gründen:

  • Zugriff auf das Arbeitsgerät eines Entwicklers, um intellektuelle Daten wie den Quellcode eines Projekts zu stehlen.
  • Lesen der E-Mails einer Führungskraft nach Unternehmensinformationen, um den Aktienmarkt zu manipulieren oder Bankdaten zu stehlen.
  • Erlangung von Anmeldeinformationen oder Erweiterung von Rechten.
  • Diebstahl von Kundendaten von dem Server, der für das Hosten von Zahlungskarteninformationen (PCI) verantwortlich ist.
  • Zugriff auf eine andere Art von Asset oder Nutzlast erhalten.

Unabhängig vom Grund besteht das Hauptziel eines schlechten Schauspielers darin, das System zu kompromittieren und sich durch ein Netzwerk zu bewegen, das das enthält, was er will.

3 Stufen der seitlichen Bewegung

Bei den meisten Cyberangriffen werden drei Stufen der lateralen Bewegung verwendet:

  1. Aufklärung. In dieser ersten Phase untersucht und kartiert der Angreifer das Netzwerk, die Geräte und Benutzer des Unternehmens. In dieser Phase lernen sie die Netzwerkhierarchien des Unternehmens, die Namenskonventionen für Hosts, die verschiedenen Betriebssysteme, die Position potenzieller Nutzlasten und weitere Informationen kennen, um weitere Bewegungen im gesamten System durchzuführen.
  2. Dumping von Anmeldeinformationen und Sammeln von Privilegien. Ein Bedrohungsakteur benötigt gültige Anmeldeinformationen, um sich durch ein Netzwerk mit minimaler bis gar keiner Erkennung bewegen zu können. Der häufig verwendete Begriff für den illegalen Zugriff auf Netzwerkzugangsdaten ist „Dumping von Zugangsdaten“. Eine Möglichkeit, wie Cyberkriminelle dies tun, besteht darin, Benutzer durch Phishing-Angriffe und Typosquatting dazu zu verleiten, ihre Anmeldeinformationen weiterzugeben.
  3. Zugriff auf andere Kommunikations- und Rechenpunkte im Netzwerk erhalten. Sobald sich der Angreifer im Netzwerk befindet, kann er den Vorgang der seitlichen Bewegung wiederholen und dabei Sicherheitskontrollen umgehen, um aufeinanderfolgende Geräte zu vereiteln und zu gefährden, bis er schließlich erkannt und gestoppt wird.

Was laterale Bewegung für einen Bedrohungsakteur während eines Cyberangriffs bedeutet

Seitliche Bewegungen geben dem Bedrohungsakteur die Möglichkeit, der Entdeckung und Reaktion durch die Sicherheitsteams eines Unternehmens zu entgehen. Aufgrund dieser Bewegungsfreiheit im gesamten Netzwerk und fehlender Erkennung können sie den Zugriff behalten, selbst wenn das IT-Team die Erstinfektion des Systems oder der Maschine aufgezeichnet hat.


Seitliche Bewegungen ermöglichen eine längere Verweildauer des Bedrohungsakteurs, sodass er nach dem ersten Angriff noch Wochen oder Monate auf ein System zugreifen kann. Es handelt sich um eine Falle, die dem Erkennungs- und Reaktionsteam des Unternehmens ein falsches Sicherheitsgefühl vermittelt, sodass alle unachtsam werden und das System dem Datendiebstahl ausgesetzt ist.

Erkennung lateraler Bewegungen

Seitliche Bewegungen manifestieren sich und stellen sich als offensichtliche, anomale Netzwerkaktivität dar, was sie für wachsame IT-Teams sofort verdächtig macht.


Wenn beispielsweise ein Gerät oder ein Computer, der normalerweise mit einigen wenigen anderen Geräten und deren Benutzern kommuniziert, nach dem Zufallsprinzip das Netzwerk durchsucht, ist es an der Zeit, dies zur Kenntnis zu nehmen und sich auf die Reaktion vorzubereiten. Jede Aktivität, die nicht der Norm entspricht, verdient eine Antwort. Auch wenn es sich nicht um ein eindeutiges Szenario einer Querbewegung handelt, ist es besser, es zu untersuchen und als organische Abweichung im Geschäftsverlauf abzutun, als das Risiko einzugehen, es passieren zu lassen.


Für Cybersicherheitsteams ist es schwierig, bei der Ausführung des Kerngeschäfts und anderer täglicher Aktivitäten laterale Bewegungen zu erkennen. Sie benötigen eine zuverlässige und dynamische Anwendung, die überwacht, wie ihre Netzwerkanwendungen kommunizieren, sodass sie Einblicke in Sicherheitslücken erhalten können.


Mit allen notwendigen Beobachtungen und Informationen übernimmt die Anwendung beispielsweise die Kontrolle über Container-Software sowie Bare-Metal- und virtuelle Maschinen zur Bereitstellung Netzwerksicherheit um Bedrohungsakteure zu stoppen, bevor sie Zugriff erhalten, und sie daran zu hindern, sich zu bewegen und Administratorrechte zu nutzen.

Seitliche Bewegung in 90 Sekunden

Seitliche Bewegung. Zwei Wörter, die heutzutage ein Synonym für „Verstoß“ sind. Was genau ist seitliche Bewegung? Und wie verhindert man, dass eine seitliche Bewegung stattfindet? Schau dir das Video an für schnelle Antworten.

So verhindern Sie seitliche Bewegungen

Wie im Video erwähnt, sind Sicherheitslücken durch böswillige Cyberkriminelle für Unternehmen unvermeidlich. Ziel ist es, sie so schnell wie möglich einzudämmen und weitere seitliche Bewegungsversuche zu blockieren.


Die Mikrosegmentierung ist eine bewährte Strategie, um die laterale Bewegung von Ransomware und Cyberangriffen zu stoppen. Die Segmentierung ermöglicht es Ihnen, Anwendungen und Ressourcen zu isolieren und zu verhindern, dass sich Ransomware und Cyberkriminelle im Netzwerk ausbreiten.


Erfahre wie Illumio Core und Illumio Endpoint wenden Sie die Zero-Trust-Segmentierung auf Anwendungen, Container, Clouds, Rechenzentren und Endpunkte an. Der Ansatz von Illumio bietet einen umfassenden Einblick in Anwendungsabhängigkeiten und bietet die automatisierte Segmentierung, die erforderlich ist, um laterale Bewegungen zu verhindern, Cyberangriffe einzudämmen und kritische Ressourcen zu schützen.

Assume Breach.
Auswirkungen minimieren.
Erhöhen Sie die Widerstandsfähigkeit.

Ready to learn more about Zero Trust Segmentation?