Compliance-Einblicke: Wie man die laterale Netzwerkbewegung stoppt und die Autorisierung erhöht

Es ist kein Wunder, dass die Regulierungsbehörden klare Erwartungen haben, was die Optionen zur Einschränkung von Angreifern betrifft. Dazu gehören die folgenden Anforderungen:

• Datenschutz-Grundverordnung (DSGVO): Artikel 32 – Durchführung technischer und organisatorischer Maßnahmen zur Gewährleistung eines risikogerechten Sicherheitsniveaus durch Kontrollen wie der Netzwerksegmentierung

• Payment Card Industry Data Security Standard v4.0 (PCI DSS): Anforderung 1 – Einführung von Firewalls zum Schutz der Daten von Kreditkarteninhabern und zur Sicherstellung, dass die Firewalls so konfiguriert sind, dass Verbindungen zwischen vertrauenswürdigen und nicht vertrauenswürdigen Netzwerken eingeschränkt werden

• Internationale Organisation für Normung/International Electrotechnical Commission (ISO/IEC) 27001 – Isolation von Informations- und Datenverarbeitungseinrichtungen, um Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu schützen

Die Angriffsfläche von heute ist nicht nur breiter, sondern auch tiefer und besteht aus einer Reihe komplexer Stufen, die Nebenprodukte der Innovationsbereitschaft eines Unternehmens sind. Dazu gehören mehrere Cloudumgebungen, schnell erscheinende Container, Tausende von APIs, die zu Daten führen, und KI-Anwendungen, die autonom auf sensible Informationen zugreifen und diese verbreiten. 

All diese Ebenen sind mit Schwachstellen ausgestattet, die Cyberkriminellen mehr Möglichkeiten bieten, sich frei in einem kompromittierten Netzwerk zurechtzufinden und unbefugten Zugriff auf sensible Daten und geistiges Eigentum zu erhalten. Ohne geeignete Konfigurationen und die Durchsetzung der Grundsätze der geringstmöglichen Privilegien sind diese Assets anfällig für den Diebstahl von Anmeldedaten oder die Eskalation von Privilegien.

Ihr Unternehmen muss in der Lage sein, Sicherheitslücken zu erkennen und zu beseitigen, die zu lateralen Netzwerkbewegungen, Datenschutzverletzungen und hohen Bußgeldern führen könnten. Sicherheitspraktiken wie Threat Hunting und Verhaltensanalysen können ungewöhnliches Nutzerverhalten und potenzielle Angriffe erkennen und Ihrem Unternehmen ermöglichen, den hoch entwickelten, persistenten Bedrohungen einen Schritt voraus zu sein.

In einem früheren Blogbeitrag in unserer Serien über Compliance haben wir uns für die Anwendung einer mehrstufigen Sicherheitsstrategie bei Ihrem Prozess zur Zusammenstellung der Kontrollen und Tools, die zur Erfüllung der regulatorischen Anforderungen erforderlich sind, ausgesprochen. 

Wenn Ihr Unternehmen beispielsweise an Vorschriften gebunden ist, die eine Risikobewertung erfordern, sollte Ihre mehrstufige Sicherheitsstrategie folgende Fragen berücksichtigen: Welche Funktionen können hinzugefügt werden, um zu demonstrieren, dass, wenn eine Sicherheitsstufe ausfällt, eine andere einspringt? 

In diesem Beitrag untersuchen wir Stufen zur Identifizierung, Eindämmung und Verhinderung von Angriffen mit lateraler Netzwerkbewegungen. Dabei werden gleichzeitig die Authentifizierungs- und Autorisierungskontrollen verbessert.

Durchschnittlichen IT-Umgebung wurden nicht einfach nur erweitert: es wurden zusätzliche Funktionen, Ebenen und virtuelle Verbindungen zu anderen IT-Umgebungen des Unternehmens hinzugefügt. Und es ist eine Herausforderung für die Aufsichtsbehörden, die daraus resultierenden Risiken im Blick zu behalten. 

So hat die EU im Januar 2023 eine Aktualisierung der Richtlinie zur Netzwerk- und Informationssicherheit (NIS2) veröffentlicht, um das ursprüngliche NIS2-Mandat zu erweitern. Nur zwei Jahre später haben schnelle Entwicklungen in der KI zu massiven Veränderungen der Geschäftstätigkeiten von Unternehmen und der Art, wie Cyberkriminelle KI-Innovationen von Unternehmen angreifen, geführt. 

Neue Bedrohungen wie LLM-Prompt-Injection und KI-Datenextraktion gefährden die Investition von 632 Milliarden US-Dollar in KI, die Unternehmen laut IDC bis 2028 weltweit tätigen werden. Bei den neuesten Angriffsmethoden gibt es möglicherweise keine Kapitel in den aktualisierten Vorschriften wie NIS2, DSGVO oder PCI-DSS v4.0. Doch ein Verstoß bleibt ein Verstoß, und die Aufsichtsbehörden bestrafen Unternehmen für die Nichteinhaltung von Vorschriften. 

Das ist auch beim API-Schutz der Fall. Jedes Mal, wenn ein Kunde, ein Partner oder ein Anbieter digital mit einem Unternehmen in Kontakt tritt, arbeitet eine API hinter den Kulissen, um einen schnellen Austausch von Daten zu ermöglichen. Cyberkriminelle, die in der Vergangenheit komplexe Angriffspfade orchestriert hätten, wissen jetzt, dass sie ihre Pläne vereinfachen können, indem sie auf APIs abzielen.

Beispielsweise können Cyberkriminelle API-Endpunkte ausnutzen, die anfällig für BOLA (Broken Object Level Authorization, Fehlerhafte Autorisierung auf Objektebene) sind, indem sie Objekt-IDs in API-Anfragen manipulieren. Diese Sicherheitslücke ermöglicht eine laterale Bewegung im Netzwerk, sodass Angreifer die Autorisierung umgehen, Berechtigungen eskalieren und Zugriff auf Kundendaten erhalten können. 

BOLA wird in der Regel durch Fehler in der Geschäftslogik verursacht und viele davon beinhalten falsch konfigurierte Autorisierungsprüfungen. Fehlkonfigurationen waren die von den in der API-Sicherheitsstudie 2024 befragten Experten für Anwendungssicherheit am häufigsten genannte Ursache für API-Sicherheitsvorfälle. 

Nachfolgend finden Sie einige Best Practices, mit denen Sie Ihre API-Sicherheitsstrategie verbessern können, um laterale Netzwerkbewegungen  zu begrenzen, schädliche Aktivitäten abzuwehren und laufende Angriffe durch eine starke Autorisierung zu unterbrechen.

• Stellen Sie klare Beziehungen zwischen Nutzern und den Ressourcen her, auf die sie normalerweise zugreifen. Beispielsweise können Sie Verhaltensgrundlinien über maschinelles Lernen festlegen, um abnorme Zugriffsmuster erkennen zu können.

• Implementieren Sie Laufzeitschutzfunktionen, die mit APIs zwischen normalen und verdächtigen Aktivitäten unterscheiden können.

• Reagieren Sie auf verdächtiges Verhalten, indem Sie eine API-Sicherheitslösung in Ihren vorhandenen Stack integrieren. Die Lösung sollte Verhalten mit hohem Risiko erkennen und verdächtigen Traffic blockieren, bevor er auf kritische Assets zugreifen kann.

Diese Best Practices für die API-Sicherheit eignen sich sowohl für die Cyberresilienz als auch für die Einhaltung gesetzlicher Vorschriften, egal, ob Sie ein Unternehmen, eine Regierungsbehörde oder eine HIPAA-regulierte Gesundheitsorganisation schützen.

Wenn Cybersicherheitsteams Kontrollmaßnahmen einrichten, um neuere Vorschriften zu erfüllen, kann es frustrierend sein, dass bereits bestehende Sicherheitslücken, die ohnehin Herausforderungen darstellen, zu Nichteinhaltung führen können. Der DORA (Digital Operational Resiliency Act), der im Januar 2025 in Kraft trat, verlangt explizit die Sicherung von Informations- und Kommunikationstechnologien (ICTs) durch strenge Netzwerksicherheitskontrollen, um die Betriebssicherheit zu gewährleisten. Dies gilt nicht nur für gedeckte Finanzinstitute, sondern auch für die Dritten, auf die sie sich bei IKT-Systemen und -Diensten verlassen.

Wir haben besprochen, wie DORA bessere Risikotransparenz erfordert. Werfen wir jetzt einen Blick auf die Verbindung zwischen der Verbesserung der Netzwerktransparenz und der Einschränkung der Mobilität von Angreifern. 

Konkret ruft DORA dazu auf, einen risikobasierten Ansatz zur Etablierung eines robusten Netzwerk- und Infrastrukturmanagements zu verfolgen, einschließlich automatisierter Fähigkeiten, die betroffene Assets während Cyberangriffen isolieren. DORA erfordert die Entwicklung von Netzwerkverbindungen, die eine sofortige Segmentierung ermöglichen, um die Ausbreitung von Cyberbedrohungen wie Ransomware-Angriffen zu verhindern. 

Leider fehlt vielen Sicherheitsteams, mit denen wir gesprochen haben, die Echtzeit-Transparenz in der Netzwerkkommunikation, und sie können die Signale, die auf eine laterale Bewegung von Angreifern, die das System infiltriert haben, oder die Ausbreitung von Bedrohungen wie Malware hinweisen, nicht sehen. Das ist vor allem in einer komplexen IT-Umgebung mit On-Premise- und Cloud-Komponenten schwierig.

Viele Cybersicherheitsteams haben eine Basis von Segmentierungskontrollen implementiert, die das Netzwerk in kleinere, isolierte Segmente unterteilen. Jedes Segment arbeitet unabhängig voneinander und der Zugriff zwischen ihnen wird gesteuert. Das Ziel: Reduzieren der Angriffsfläche und Begrenzen der Ausbreitung von Bedrohungen.

Wir empfehlen, diesen Ansatz durch softwaredefinierte Mikrosegmentierung noch weiter auszubauen. 

Mithilfe der Mikrosegmentierung können Cybersicherheitsteams noch kleinere, detailliertere Segmente innerhalb des Netzwerks erstellen. Jedes Mikrosegment kann über eigene Sicherheitsrichtlinien und Zugriffskontrollen – wie minimale Berechtigungen – verfügen, um schädlichen Netzwerktraffic zu identifizieren, zu isolieren und abzuwehren. 

Mit den richtigen Mikrosegmentierungstools können Sicherheitsteams beispielsweise Richtlinien erstellen, die die Interaktion zwischen Anwendungen und mit dem System blockieren, segmentieren und einschränken. Die Isolierung von Assets innerhalb klarer Grenzen kann Unternehmen bei Folgendem unterstützen:

• Beseitigung von Schwachstellen, die durch Malware oder kompromittierte Anwendungen als Waffe genutzt werden können. Dies ist eine der wichtigsten Bedrohungen, die durch Vorschriften wie DORA identifiziert werden 

• Reduzieren der Reporting-Komplexität, um Vorschriften zu erfüllen, die regelmäßige Audits und die Dokumentation von Sicherheitsmaßnahmen erfordern

Nutzen Sie Sicherheitstools, die von KI empfohlene Vorlagen zum Umgang mit Ransomware und anderen gängigen Anwendungsfällen sowie präzisen Workload-Attributen wie Prozessen, Nutzern und Domainnamen bereitstellen. In Kombination mit der Zero-Trust-Architektur können diese Sicherheitstools dazu beitragen, strengere Autorisierungs- und Zugriffskontrollen zu gewährleisten – unabhängig davon, welches Nutzerkonto oder Asset betroffen ist.

Wir sind davon überzeugt, dass die Einhaltung von Datensicherheitsverordnungen einen Ansatz erforderlich macht, welcher der Umsetzung von mehrstufigen Strategien, die Unternehmen zum Schutz jeder Stufe ergreifen, stark ähnelt. 

In dieser Blogreihe haben wir die häufigsten Compliance-Herausforderungen untersucht und Best Practices besprochen, die direkt mit den Anforderungen der heutigen Regulierungsbehörden verbunden sind, die über herkömmliche Taktiken wie veraltete Netzwerksicherheitstools hinausgehen. Letztendlich kann eine hohe Sicherheit zu besseren Compliance-Programmen führen. Wir werden auch in Zukunft Beiträge verfassen, die die Verbindung zwischen Sicherung des Unternehmens und Erfüllung gesetzlicher Anforderungen untersuchen.