Netwrix 1Secure bietet einheitliche Sichtbarkeit über Daten und Identität — 14 Tage kostenlos mit vollem Zugriff.Starten Sie eine kostenlose Testversion

Jetzt kaufenKontaktieren Sie unsSupportGemeinschaft
EnglishEspañolItalianoFrançaisDeutschPortuguês
Datensicherheit
Al GovernanceData Security Posture ManagementDatenzugriffsverwaltungDatenverlustpräventionDatenentdeckung & Klassifizierung
Identity-Sicherheit
Identity Threat Detection & ResponseIdentity Governance & AdministrationIdentity Security Posture ManagementPrivileged Access ManagementDirectory-Sicherheit

Best Practices für Data Security Posture Management

Wissen Sie, wo sich Ihre sensiblen Daten befinden – und wer darauf zugreifen kann

Leitfaden erhalten
Empfohlene Produkte
Netwrix 1SecureNetwrix Endpoint ProtectorNetwrix PingCastleNetwrix Access AnalyzerNetwrix Identity ManagerNetwrix Privilege Secure
Produkte
Netwrix AuditorNetwrix 1Secure for MSPsNetwrix Data ClassificationNetwrix Change TrackerNetwrix Directory ManagerNetwrix Identity RecoveryNetwrix Password Policy EnforcerNetwrix Password SecureNetwrix Platform GovernanceNetwrix PolicyPakNetwrix Threat ManagerNetwrix Threat Prevention

Vereinheitlichte Sichtbarkeit über Daten und Identität. 14 Tage kostenlos mit vollem Zugriff

Netwrix 1Secure

Kostenlose Testversion starten
Ausgewählte Anwendungsfälle Alle Anwendungsfälle anzeigen
Active Directory SicherheitErkennung und Analyse von Identity-RisikenM365 Copilot BereitschaftNicht-menschliche IdentitätsverteidigungRegulatorische ComplianceShadow-KI-Sicherheit
Zusätzliche Anwendungsfälle Alle Anwendungsfälle anzeigen
Zugriffsüberprüfungen und ComplianceSicherheit von AD Certificate ServicesBerechtigungsverwaltungIdentity-BedrohungserkennungManaged Service ProviderFusionen, Übernahmen und VeräußerungenMicrosoft 365 SicherheitOn-Premise-BereitstellungErkennung und Bereinigung von BerechtigungenROT-Datenverwaltung und -bereinigungPasswortverwaltung für die BelegschaftZero Trust

Self-Service-Kasse verfügbar für Organisationen mit bis zu 150 Mitarbeitern

Starten Sie in wenigen Minuten

Jetzt kaufen
Netwrix AI Umgebungen, die wir schützen Integrationen MSPs Sicherheitsrisiken von Active Directory Compliance Jetzt kaufen Preise
Ressourcenzentrum Alle anzeigen
BlogAngriffskatalogComplianceKundengeschichtenCybersecurity-RahmenwerkeGlossar zur CybersicherheitVeranstaltungenFreewareAnleitungenIdeenportalNachrichtenPodcastsVeröffentlichungenProduktankündigungenForschungROI-RechnerSicherheitsreifebewertungWebinare

Wie ausgereift ist Ihre Sicherheit?

Bewerten Sie Ihre Organisation und sehen Sie, wo Sie stehen

Nehmen Sie an der Bewertung teil
Partner
PartnerprogrammPartner werdenMSPsPartnerfinderWebinareMicrosoft-Allianz
Asset not found

Ausgewählte Kundenstory

AppRiver verbessert die Kontrolle über Active Directory und reduziert gleichzeitig die Prüfungszeit erheblich
Asset not found

Ausgewählte Kundengeschichte

MSP hilft Kunde, sich innerhalb von 6 Stunden von Ransomware zu erholen
Warum Netwrix
Über UnsLeadershipNetwrix AIKundengeschichtenAnerkennungNachrichtenKarriere
Asset not found

Ausgewählte Kundengeschichte

Horizon Leisure Centres beschleunigt die Data Classification zur Einhaltung der GDPR und spart jährlich £80.000
Asset not found

Ausgewählte Kundenstory

Das Samsung R&D Institute sichert Daten mit plattformübergreifender Nutzung und schneller macOS-Bereitstellung mit Netwrix Endpoint Protector
Ressourcen­zentrumBlog
Laterale Bewegungen: Techniken der Angreifer und bewährte Methoden zur Verteidigung Ihrer Organisation

Laterale Bewegungen: Techniken der Angreifer und bewährte Methoden zur Verteidigung Ihrer Organisation

Dec 20, 2023

Unknown block type "undefined", specify a component for it in the `components.types` option

Einführung

Auch wenn Sie ein Zero Trust-Sicherheitsparadigma für Netzwerk- und Infrastruktursicherheit implementiert haben, müssen Sie mit dem Unvermeidlichen rechnen – irgendwann wird ein Angreifer in Ihr Netzwerk eindringen mit der Absicht, Ransomware zu verbreiten oder anderen Schaden anzurichten

Ein typischer Angriff verläuft in etwa so:

  1. Ein Bedrohungsakteur wird ein Benutzerkonto durch eine Phishing-Kampagne, Passwort-Rateverfahren oder eine andere Technik kompromittieren und dadurch einen Zugang auf einem Endpunkt, IoT-Gerät oder einem anderen System erlangen.
  2. Sie werden sich seitlich durch die Umgebung bewegen und ihre Privilegien eskalieren, bis sie Zugang zu wichtigen IT-Ressourcen erhalten. Diese Phase kann Wochen oder sogar Monate dauern, während der Angreifer Ihr Netzwerk studiert.
  3. Der Angreifer wird sensible Daten exfiltrieren, Ransomware oder andere Malware einsetzen und/oder Systeme beschädigen, um Ausfallzeiten zu verursachen.

Es gibt ein Missverständnis, dass laterale Bewegungen von Bedrohungen auf On-Prem-Netzwerke beschränkt sind. Aber laterale Bewegungen können auch in Cloud-Umgebungen auftreten, und Angreifer können sich lateral zwischen On-Prem- und Cloud-Systemen bewegen.

Es liegt in der Verantwortung des Cybersicherheitspersonals, Bedrohungen zu erkennen, Angriffe einzudämmen, um eine weitere Ausbreitung zu verhindern, und alle infizierten Systeme zu säubern. Um Ihre Organisation zu verteidigen, müssen Sie die Techniken verstehen, die Bedrohungsakteure nutzen.

eBook herunterladen:

Was sind laterale Bewegungen und Privilegienerweiterung?

Bedrohungsakteure verschaffen sich typischerweise Zugang zu einem Netzwerk, indem sie ein Konto mit Standardbenutzerrechten kompromittieren. Um ihr Ziel zu erreichen, muss der Angreifer höhere Zugriffs- und Kontrollebenen erlangen. Daher beginnen Angreifer, wenn sie in Ihre Umgebung eindringen, mit der Aufklärung, um zu verstehen, auf welche Ressourcen sie Zugriff haben und welche Konten sie als nächstes kompromittieren könnten. Sie können Netzwerk-Scanning-Tools verwenden, um aktive Hosts, offene Ports oder laufende Dienste innerhalb einer gezielten Systemplattform zu identifizieren. Es ist während dieser Ruhe vor dem Sturm, dass Erkennung und rechtzeitige Reaktion so wichtig sind.

Welche spezifischen Techniken verwenden Angreifer?

Hier sind einige der häufigeren Techniken, die Angreifer verwenden, um sich seitlich zu bewegen und ihre Privilegien zu eskalieren:

  • LDAP-Reconnaissance — Bedrohungsakteure können einen LDAP-Verzeichnisdienst abfragen, um Informationen über Objekte und Attribute zu sammeln, mit dem Ziel, hochprivilegierte Konten und kritische Ressourcen zu identifizieren, über die sie die Kontrolle erlangen möchten.
  • Pass-the-Hash-Angriff — Diese Technik beinhaltet das Stehlen eines Passworts eines Benutzers mit erhöhten Privilegien, indem Netzwerkverkehr abgefangen oder Malware verwendet wird, um den Passwort-Hash zu extrahieren.
  • Kerberoasting — Angreifer können das Kerberos-Authentifizierungsprotokoll missbrauchen, um die Anmeldeinformationen von Active Directory Benutzern zu stehlen, die servicePrincipleNames besitzen. Meistens handelt es sich bei diesen Konten um Dienstkonten, die höhere Privilegien als normale Benutzerkonten haben.
  • Ausnutzen von Schwachstellen — Hacker nutzen häufig bekannte Schwachstellen in Systemen oder Anwendungen aus, um ihre Privilegien zu erhöhen oder Zugang zu weiteren Systemen zu erhalten. Diese Art von Angriff macht sich nicht gepatchte oder veraltete Software zunutze.
  • Missbrauch schwacher Konfigurationen — Schwache Konfigurationen auf Servern, Endpunkten und anderen Systemen ermöglichen es Angreifern, ihre Angriffe voranzutreiben.
  • Die Nutzung von RDP — Fernverwaltungstools wie das Remote Desktop Protocol (RDP) in Windows-Systemen werden häufig von Cyberkriminellen gezielt, um sich seitlich in einem Netzwerk zu bewegen.

Hacker verwenden oft spezialisierte Werkzeuge, die für die laterale Bewegung konzipiert sind, wie Bloodhound, PowerSploit oder Empire. Diese dienen dazu, das Netzwerk zu kartieren und potenzielle Ziele für Ausnutzung zu identifizieren.

Praxisbeispiele

Ein stark publiziertes Beispiel für einen Angriff mit lateraler Bewegung war der SolarWinds-Lieferkettenangriff von 2020. Bedrohungsakteure erlangten Zugang zur SolarWinds-Software und fügten ein Hintertürchen in ein Software-Update ein. Als Kunden dieses Update installierten, erlangten die Angreifer Privileged Access zu ihren Netzwerken.

Ein weiteres Beispiel aus demselben Jahr war ein Ryuk-Ransomware-Angriff auf Universal Health Services. Hier verwendeten die Täter eine Phishing-E-Mail, um eine Trojaner-Anwendung zu liefern, die dann die Ransomware herunterlud. Die Cyberkriminellen verwendeten anschließend Mimikatz, um Administratoranmeldeinformationen zu stehlen und sich seitlich durch das Netzwerk zu bewegen.

Wie können sich Organisationen verteidigen?

Um zu verhindern, dass Gegner sich seitlich in Ihrer IT-Umgebung bewegen, sollten Sie die Implementierung der folgenden Best Practices in Betracht ziehen.

Beschränken Sie den Zugriff des lokalen Administrators.

Vorbei sind die Zeiten, in denen man Standardbenutzern lokale Administratorrechte zuweisen konnte. Wenn ein Konto kompromittiert wird, erben die Angreifer automatisch die Rechte dieses Kontos. Ohne lokale Adminrechte können Angreifer keinen bösartigen Code installieren.

Setzen Sie das Prinzip der geringsten Berechtigung durch.

Das Prinzip der geringsten Berechtigungen (POLP) besagt, dass jeder Benutzer und jeder Prozess nur Zugang zu den Netzwerkressourcen haben sollte, die für die Ausführung seiner zugewiesenen Aufgaben erforderlich sind und nichts darüber hinaus. Das anfängliche Verständnis von POLP hat sich weiterentwickelt, um ein zeitliches Element einzuschließen – Berechtigungen sollten nur so lange existieren, wie sie für eine bestimmte Aufgabe benötigt werden.

Blockieren Sie Social-Engineering-Angriffe.

Cyberkriminelle erlangen oft Zugang zu einer Ziel-IT-Umgebung durch einen Social-Engineering-Angriff, bei dem sie einen legitimen Benutzer dazu manipulieren, ihre Anmeldeinformationen preiszugeben. Hier kann das Sicherheitsbewusstseinstraining große Dividenden zahlen, denn Benutzer sind oft das schwächste Glied in Ihrer Sicherheitskette. Es gibt auch E-Mail- und Webfilterlösungen, um diese Arten von Angriffen zu mindern.

Schützen Sie Ihre Passwörter.

Schwache Passwörter erleichtern es Angreifern, Anmeldeinformationen mit Techniken wie Password Spraying Angriffen zu stehlen. Es gibt Tools, die sicherstellen können, dass für alle Passwörter Best-Practice-Komplexitätsstandards erforderlich sind. Sie sollten diese Richtlinien mit einer angemessenen Cyber-Hygiene-Schulung für alle Benutzer unterstützen. Zusätzlich sollte MFA auf alle Konten mit hohen Privilegien angewendet werden.

Ersetzen Sie ständige Privilegierte Konten durch Just-in-Time-Zugriff und überwachen Sie die Aktivitäten,

Administrative Rechte sind für einen Hacker der Schlüssel zum Königreich. Die Implementierung einer soliden Privileged Access Management (PAM)-Strategie ist wesentlich, um privilegierte Konten vor Kompromittierung zu schützen. Ein Beispiel ist die Netwrix Privileged Access Management Solution, die es Ihnen ermöglicht, privilegierte Konten in Ihrer IT-Landschaft zu identifizieren und Ihre Angriffsfläche zu reduzieren, indem sie durch Just-in-Time (JIT)-Zugang für spezifische Aufgaben ersetzt werden. Darüber hinaus bietet Ihnen die Lösung Einblick in die Aktivitäten privilegierter Benutzer in Ihrer IT-Umgebung und alarmiert Sie bei verdächtigem Verhalten.

Fazit

Seitenbewegungen sind eine gängige Technik von Angreifern. Stellen Sie sicher, dass Sie sie abschneiden und mit den richtigen Strategien, Techniken und Werkzeugen eindämmen.

Teilen auf

Erfahren Sie mehr

Über den Autor

Asset Not Found

Dirk Schrader

VP of Security Research

Dirk Schrader ist Resident CISO (EMEA) und VP of Security Research bei Netwrix. Als 25-jähriger Veteran in der IT-Sicherheit mit Zertifizierungen als CISSP (ISC²) und CISM (ISACA) arbeitet er daran, die Cyber-Resilienz als modernen Ansatz zur Bekämpfung von Cyber-Bedrohungen voranzutreiben. Dirk hat an Cybersecurity-Projekten auf der ganzen Welt gearbeitet, beginnend in technischen und Support-Rollen zu Beginn seiner Karriere und dann übergehend in Vertriebs-, Marketing- und Produktmanagementpositionen sowohl bei großen multinationalen Konzernen als auch bei kleinen Startups. Er hat zahlreiche Artikel über die Notwendigkeit veröffentlicht, Änderungs- und Schwachstellenmanagement anzugehen, um Cyber-Resilienz zu erreichen.

Erfahren Sie mehr zu diesem Thema

UEBA (User and Entity Behavior Analytics): vollständiger Leitfaden zur Erkennung, Anwendungsfällen und Implementierung

NIST CSF 2.0: Was ist neu im Cybersecurity Framework

Beispiel für Risikoanalyse: Wie man Risiken bewertet

Das CIA-Dreieck und seine Anwendung in der realen Welt

Erstellen Sie AD-Benutzer in Massen und senden Sie deren Anmeldeinformationen per E-Mail mit PowerShell

Neueste blogbeiträge

Das Problem des KI-Jailbreaks verschwindet nicht, und Compliance-Rahmenwerke müssen nachziehen

7 Delinea-Alternativen für Mittelstands-Teams im Jahr 2026

7 Purple Knight-Alternativen für AD- und Identitätssicherheit

Die 7 besten Tools zur Datenentdeckung und -klassifizierung im Jahr 2026

Beste Sicherheits-Audit-Tools im Jahr 2026

8 Daten-Governance-Tools für Sicherheitsteams im Mittelstandsmarkt im Jahr 2026

Top SIEM-Tools für hybride Umgebungen im Jahr 2026

Wenn der Akteur verschwindet: CIS-Kontrollen in einer Welt nicht-menschlicher Unternehmen

Best Practices für die ITDR-Automatisierung in Sicherheitsteams

Die 7 besten Rubrik-Alternativen für Datensicherheit und DSPM im Jahr 2026

Unsere top-artikel

Essentielle PowerShell-Befehle: Ein Spickzettel für Anfänger

Ein Überblick über den MGM Cyberangriff

Gängige Arten von Netzwerkgeräten und ihre Funktionen

Download and Install PowerShell 7

Wie man ein PowerShell-Skript über den Aufgabenplaner ausführt

PowerShell-Umgebungsvariablen

So führen Sie ein PowerShell-Skript aus

Wie installiert & verwendet man Active Directory Users and Computers (ADUC)?

Was ist SPN und welche Rolle spielt es in Active Directory und Sicherheit

NIST-Passwortrichtlinien: SP 800-63B Rev. 4 erklärt