Seitliche Bewegung oder seitlicher Verkehr ist der Fortschritt eines Netzwerkangreifers durch das Netzwerk, sobald er es verletzt hat. Die seitliche Bewegung wird auch als Ost-West-Verkehr bezeichnet. Sie zeigt den horizontalen Verlauf durch ein bereits durchbrochenes Netzwerk an und steht im Gegensatz zum Nord-Süd-Verkehr oder dem ersten Eintritt in das Netzwerk. Die seitliche Bewegung ist für Unternehmen schwierig zu verfolgen, da der Datenverkehr eines Angreifers normal erscheint, sobald er ein Netzwerk betreten hat. Es ist schwierig, zwischen einem Angreifer und autorisierten Benutzern zu unterscheiden, da diese bereits Zugriff erhalten haben.
Gründe für seitliche Bewegung
Angreifer können ersten Zugriff auf ein Netzwerk erhalten, indem sie:
- Mitarbeitergeräteinsbesondere im Internet der Dinge. IoT-Geräte haben weniger Sicherheitsprotokolle als Smartphones und Computer. Wenn ein Angreifer auf ein IoT-Gerät zugreift, das eine Verbindung zum Unternehmensnetzwerk herstellt, kann er möglicherweise seinen Weg in das Netzwerk finden.
- Unternehmen E-Mail. Social Engineering ist in hohem Maße auf betrügerische E-Mails angewiesen, bei denen ein Mitarbeiter möglicherweise nach seinen Anmeldeinformationen gefragt wird oder Malware enthält. Sobald der Angreifer über diese Informationen verfügt, kann er als vertrauenswürdiger Benutzer in das Netzwerk gelangen.
- Bösartig Software. Auf einem Firmencomputer installiert: Wenn ein Angreifer einen Mitarbeiter davon überzeugt, auf einen Link zu klicken, kann Malware auf diesem Computer installiert werden und dem Angreifer dann einen Pfad zum Netzwerk geben.
Herkömmliche Netzwerksicherheit kann seitliche Bewegungen nicht gut verarbeiten, da sie keine guten Methoden zum Schutz des Inneren des privaten Netzwerks bietet. Jeder, der am Rand durch die Firewall darf, kann sich dann nach Belieben durch das Netzwerk schlängeln. Dies macht es für Unternehmen auch schwieriger, eine Bedrohung zu finden, sobald sie sich im Inneren befindet, insbesondere wenn der Angreifer die Anmeldeinformationen eines Mitarbeiters gestohlen hat. Das manuelle und effiziente Sortieren aller Daten ist für die meisten IT-Teams nicht möglich.
Bekämpfung der seitlichen Bewegung mit XDR
In herkömmlichen Netzwerksicherheitslösungen sind separate Software und Systeme nicht zentralisiert, sondern isoliert. Für ein Unternehmen ist es schwieriger, seine Netzwerksicherheit zu verwalten, wenn mehrere Anwendungen Daten analysieren. Eine zentralisierte Lösung zur Erkennung und Reaktion von Bedrohungen, mit der alle Daten und Benachrichtigungsmuster analysiert werden können, ist eine bessere Möglichkeit, ein Netzwerk zu überwachen.
Extended Detection and Response (XDR) ist eine der besten Optionen für große Unternehmen, da dadurch die Silos zwischen Sicherheitslösungen entfernt werden. XDR überwacht alle Daten von Anwendungen und Servern. Eine XDR-Lösung umfasst eine Automatisierung, die IT- und Engineering-Teams Zeit spart.
Einige XDR-Lösungen implementieren maschinelles Lernen, das Muster in Daten untersucht und schließlich lernt, Anomalien zu erkennen und Warnungen an Technologieteams zu priorisieren, ähnlich wie bei der Analyse des Verhaltens von Benutzern und Entitäten (UEBA). Bei ausreichender Schulung können Maschinen Wörter und auch deren Kontext interpretieren, um eine Situation besser zu verstehen. Wenn sich ein bestimmter Computer, ein bestimmtes Konto oder ein bestimmter Server ungewöhnlich verhält, wird dies von einer guten Netzwerkerkennungs- und Antwortlösung bemerkt und proaktive Maßnahmen ergriffen, um die Ursache zu finden. XDR erkennt Bedrohungen nicht nur, sondern verfolgt sie auch und adressiert sie schnell.
Zero Trust und Mikrosegmentierung sind weitere Technologien, mit denen der Zugriff bei Verstößen oder gestohlenen Anmeldeinformationen eingeschränkt werden soll.