Das Advanced Threat Research (ATR)-Team von McAfee Enterprise veröffentlicht die Forschungsergebnisse zu weit verbreiteten Angriffen zum Diebstahl von Zugangsdaten durch Angreifer. Im Rahmen der Untersuchung analysierte das Team eine Vielzahl von Tools und Techniken, die von Angreifern für den Diebstahl von Zugangsdaten eingesetzt werden.
Des Weiteren analysierte das ATR-Forschungsteam Abwehrtechniken, mit denen sich die betrügerische Nutzung von Zugangsdaten im Netzwerk erkennen lässt.
Die Untersuchung zeigt, dass das Erkennen von „lateralen Bewegungen“ – eine Technik, die von Hackern genutzt wird, um sich durch Netzwerke zu bewegen – Sicherheitsteams schon seit langer Zeit Probleme bereitet. Daher müssen Unternehmensnetzwerke aktive netzwerkinterne Verteidigungsstrategien formulieren, um Angreifern den Zugriff auf kritische Netzwerkressourcen zu verweigern.
Erschwerend kommt für Unternehmen hinzu, dass es immer komplizierter wird, zwischen der legitimen und der böswilligen Nutzung interner Tools und Dienste von Windows zu unterscheiden. Für eine typische Netzwerkinfiltration gilt: Sobald die Angreifer in das Netzwerk eingedrungen sind, setzen sie in jeder Phase der „lateralen Bewegungen“ eine Reihe von Techniken ein, um ihr Ziel zu erreichen – darunter auch den Diebstahl von sensiblen Zugangsdaten.
Die Untersuchung des (ATR)-Teams von McAfee Enterprise zeigt:
- Der Diebstahl von Anmeldeinformationen ist eines der primären Ziele, das Cyber-Kriminelle verfolgen, nachdem sie die Kontrolle über den Zielcomputer erlangt haben. Dies ist in der Regel der erste Schritt hin zur Strategie der lateralen Bewegung, die es Angreifern ermöglicht, Zugang zu anderen Netzwerkressourcen zu erhalten.
- Um dem entgegenzuwirken, baut Network Deception aktive Verteidigungstechniken auf: Eine trügerische Netzwerkinfrastruktur kann den Weg und die Route eines Angreifers umleiten und ihn an die Täuschungsdienste binden, ohne die kritischen Produktionssysteme zu berühren.
- Dazu werden Täuschungssysteme, Täuschungsanmeldeinformationen und Täuschungsinhalte im gesamten Produktionsnetzwerk platziert, die das eigene Netzwerk im Wesentlichen in eine Falle verwandeln und eine entscheidende Rolle bei der Eindämmung der Angriffe spielen.