.png)
Ransomware Reduction 101: Laterale Bewegung zwischen Endpunkten
Zum denkbar ungünstigsten Zeitpunkt ist Ransomware eine größere Bedrohung als je zuvor, da sie den IT-Betrieb wieder auf Stift und Papier reduziert und Unternehmen lahmlegt, wenn wir es uns am wenigsten leisten können. Inmitten einer Pandemie haben wir den anhaltenden Anstieg von Ransomware im Gesundheitswesen erlebt. Diejenigen von uns, deren Kinder aus der Ferne lernen, haben Ransomware als den neuen Schneetag im Auge.
Warum gibt es immer noch so viele erfolgreiche Ransomware-Angriffe?
Was ist Lateral Movement?
Lateral Movement ist, wenn ein Eindringling oder Angriff Ihren Perimeter durchbricht und sich dann lateral über eine Umgebung zu anderen Computern bewegt, was zu einer viel größeren und teureren Datenschutzverletzung führt. Dies kann auf einem Endpunkt oder sogar einer kompromittierten Rechenzentrums-Workload beginnen, Zehntausende von Endbenutzercomputern lahmlegen oder sogar strategisch auf Ihre wertvollsten Ressourcen im Rechenzentrum abzielen.
Das ATT&CK-Framework von MITRE drückt es klar aus: "Der Angreifer versucht, sich durch Ihre Umgebung zu bewegen." Das bedeutet, dass wir uns nicht nur darauf konzentrieren müssen, Bedrohungen daran zu hindern, Fuß zu fassen, sondern auch diese lateralen Bewegungen des Angreifers zu stoppen. Dies ist heute so grundlegend für die Arbeit eines Verteidigers, dass das MITRE ATT&CK die seitliche Bewegung als eine der wichtigsten Angreifertechniken zur Verteidigung ansieht.
Warum ist Malware so erfolgreich bei der Verbreitung von Lateral Movement zwischen Endpunkten? Um zu verstehen, warum dies geschieht, müssen wir zunächst untersuchen, wie traditionelle Anwendungssicherheit beim Schutz des Rechenzentrums funktioniert – aber nicht immer des Endpunkts.
Laterale Bewegung im Rechenzentrum
Die Sicherheit von Rechenzentren konzentriert sich auf die Client-Server-Kommunikation von Endpunkten bis zum Server. In den meisten der heutigen browserbasierten Geschäftsanwendungen öffnet ein Benutzer, wenn er die URL der Anwendung in sein Browserfenster eingibt, eine Verbindung zu einem Webserver, der in einem Rechenzentrum oder einer öffentlichen Cloud ausgeführt wird. Endbenutzercomputer kommunizieren mit diesen Front-End-Servern über Standardports wie 80 und 443. Webserver hinter dem Unternehmensperimeter sind durch Firewalls, IPS, Detection and Response und andere Sicherheitstechnologien für Rechenzentren gesichert. Front-End-Server sind mit Geschäftslogik, Datenbanken und anderen Servertypen verbunden, die sich innerhalb der Grenzen des Rechenzentrums oder der Cloudumgebung befinden.
Hier kann eine seitliche Bewegung ihren Schaden anrichten. Wenn ein extern zugänglicher Server oder Workload über eine Schwachstelle kompromittiert wird, kann ein Angreifer von der kompromittierten Workload zu einem Ort gelangen, an dem sich wertvolle Daten befinden, z. B. auf Datenbankservern. In einem flachen Netzwerk ohne Mikrosegmentierung ist das gar nicht so schwer.
Durch eine effektive Segmentierung sind alle diese "internen" Server vor Bedrohungen von außen geschützt. Die Mikrosegmentierung verhindert, dass sich Angreifer oder Bedrohungen in Rechenzentren, Clouds oder Campus-Netzwerken ausbreiten oder seitlich oder "Ost-West" bewegen. Eine Bedrohung wird auf das eingerichtete Netzwerksegment oder Hostsegment beschränkt, sodass Angreifer nicht in andere Teile einer Umgebung gelangen können. Dies schützt Unternehmen besser vor Sicherheitsverletzungen, indem deren Größe und Auswirkungen begrenzt werden.
Laterale Bewegung von Endpunkt zu Endpunkt
Warum reicht das nicht aus, um Ransomware zu stoppen? Die Antwort ist, dass Ransomware nicht mit dem Server kommunizieren muss, um sich zu verbreiten. Es kann sich in Sekundenschnelle von Endpunkt zu Endpunkt auf Zehntausende von Computern ausbreiten.
Ransomware beginnt in der Regel vom Endpunkt aus und breitet sich über RDP, SMB, SIP, Skype usw. direkt auf andere Endpunkte aus. Peer-to-Peer (P2P)-Anwendungen zwischen Endpunkten erzeugen diese laterale Bewegung oder Ost-West-Verbindung, die keine Kommunikation zwischen Endpunkten und Servern beinhaltet. Während die meisten modernen Unternehmensanwendungen ausschließlich auf ausgehenden Verbindungen beruhen – Endpunkte, die Verbindungen zum Server initiieren – nutzen P2P-Technologien eingehende Verbindungen von benachbarten Endpunkten. Diese Endpunkte kommunizieren, ohne den Datenverkehr über einen Server oder ein Rechenzentrum zu leiten – das bedeutet, dass sie sich auf die Sicherheit verlassen, die auf dem Endpunkt selbst vorhanden ist.
Verhindern von lateralen Bewegungen zwischen Endpunkten
Was sind die Herausforderungen bei der Sicherung der lateralen Bewegung zwischen Endpunkten?
Transparenz: Laterale Verbindungen zwischen Endpunkten im selben Subnetz sind beispielsweise für Firewalls und Gateways unsichtbar, sodass diese Sicherheitsgeräte die damit verbundenen Bedrohungen nicht erkennen und verhindern können. Das bedeutet auch, dass es für Mitarbeiter, die aus der Ferne arbeiten, keinen Überblick darüber hat, was zu Hause passiert.
Wie sieht es mit der Endpunktsicherheit aus? EDR- und EPP-Tools, die auf dem Endpunkt ausgeführt werden, können zwar erkennen und reagieren, reagieren jedoch auf Bedrohungen. Mit anderen Worten, es funktioniert erst, nachdem eine Sicherheitsverletzung stattgefunden hat, anstatt deren Ausbreitung von Anfang an zu verhindern.
Zero Trust für den Endpunkt
Best Practice, um die Ausbreitung von Sicherheitsverletzungen zu verhindern, ist die Einführung einer Zero-Trust-Sicherheitsrichtlinie . Dies bedeutet, dass genehmigte Dienste auf einer obligatorischen Liste zugelassen werden müssen, die zwischen Endpunkten ausgeführt werden dürfen, wobei Berechtigungen nur für den Zugriff für einen legitimen Geschäftszweck erteilt werden.
Wenn Sie jemals versucht haben, eine P2P-App wie Skype über das Internet auf Ihrem Laptop bei einem neuen Job herunterzuladen und zu installieren, und ein böses Bild von der IT-Abteilung erhalten haben, wissen Sie, wie das funktioniert. Benutzer dürfen zum Schutz aller nur auf vom Unternehmen genehmigte Ressourcen zugreifen.
Da sich die Sicherheitsbedrohungen weiterentwickeln und staatlich geförderte Hacker immer raffinierter werden, müssen Sicherheitslösungen Schritt halten, um relevant zu bleiben. Zero-Trust-Lösungen können mehrere Systeme proaktiv schützen und bieten eine Sicherheitsabdeckung auf der Grundlage von First-Principals und einer niedrigen False-Positive-Rate. Software-Tools wie Illumio Edge sind führend in der skalierbaren hostbasierten Firewall-Verwaltung und bieten beispiellosen Sicherheitsschutz und Schutz vor böswilligen lateralen Bewegungen.
Erfahren Sie mehr über Illumio Edge auf unserer Website oder registrieren Sie sich noch heute für unser Webinar am 21. Dezember.
