Start Empfohlen Die Herausforderungen bei der Sicherung von Active Directory

Die Herausforderungen bei der Sicherung von Active Directory [Q&A]

2
0

Wie wir beim jüngsten SolarWinds-Angriff gesehen haben, kann Active Directory als Mittel zum Angriff auf Unternehmensnetzwerke ausgenutzt werden.

Aber warum ist AD ein so attraktives Ziel? Und warum tun sich Unternehmen schwer damit, sie zu sichern, obwohl es sich kaum um eine neue Technologie handelt? Wir sprachen mit Carolyn Crandall, Chief Security Advocate bei AttivoNetzwerke herausfinden.

BN: Warum ist Active Directory schwer abzusichern – obwohl es es schon seit Jahrzehnten gibt?

CC: Active Directory (AD)-Schutz ist schwer zu erreichen, da sich die Umgebung ständig ändert. Es gibt so viele Dinge, die IT- und Sicherheitsteams tun müssen, um sie zu sichern, vom Patchen und Härten bis hin zur Bereinigung von Einstellungen und Parametern, um Risiken zu reduzieren. Es ist ein kritischer Teil des Netzwerks einer Organisation, oft als CISOs bezeichnet Achillesferse. Der Schutz von AD ist ein Spiel mit hohen Einsätzen, da jeder Angreifer, der sich Zugang verschafft, erheblichen Schaden anrichten kann, was bedeutet, dass AD-Sicherheit in der heutigen Bedrohungslandschaft eine nicht optionale Aktivität ist.

Da sich AD ständig ändert, gibt es keine einfache Möglichkeit, jede Schwachstelle oder Fehlkonfiguration vollständig zu verstehen oder mit ihnen Schritt zu halten. Der Umfang von AD ist ein weiteres Problem bei der Aufrechterhaltung der Sicherheit, aber es gibt auch organisatorische Komplexität. Bei der Feststellung, ob das AD eines Unternehmens fehlerfrei ist, konzentrieren sich AD-Administratoren in der Regel darauf, dass AD in betrieblicher Hinsicht gut funktioniert, sichern die Server jedoch möglicherweise nicht über die aktuellen Best Practices hinaus.

BN: Warum zielen Angreifer auf AD ab?

CC: Für neun von zehn Fortune-1000-Unternehmen, Active Directory ist der Schlüssel zu ihrem Reich. AD ist einer der wichtigsten Punkte, die beim Bestreben, Identitäten, Berechtigungen und Zugriff zu schützen, priorisiert werden müssen. CISOs und andere Sicherheitsführer neigen dazu, die AD-Leistung zu berücksichtigen, indem sie bewerten, ob sie einen genauen und unterbrechungsfreien Service bietet. Sie betrachten die Absicherung der Server und den Schutz anderer Aspekte des Perimeters oft als Sicherung von AD – und Angreifer wissen dies. Sie wissen auch, dass AD der primäre Authentifizierungs- und Autorisierungsmechanismus des Unternehmens ist, was es zu einem hochwertigen und vorrangigen Ziel macht.

Für einen groß angelegten Angriff benötigen Cyberkriminelle AD-Kontrolle, um Persistenz zu schaffen oder neue Objekte und Hintertüren zu installieren. Sie können sogar AD als Teil eines Ransomware-Angriffs verschlüsseln und für den normalen Betrieb Geld verlangen. Ein Großteil der Ransomware-, Insider- und fortgeschrittenen Angriffe beinhaltet jetzt eine Form der AD-Ausnutzung. Privilegierte Zugriffsausnutzung ist ein Element in 80 Prozent der bekannten Sicherheitsverletzungen.

BN: Was ist Ransomware 2.0 und warum ist sie eine Bedrohung?

CC: Von Menschen betriebene „Ransomware 2.0“-Angriffe sind fortgeschrittener und komplexer als Standard-Ransomware. Sie umgehen traditionelle Sicherheitskontrollen, um einen ersten Fuß zu fassen, führen Netzwerkerkennung durch, suchen nach AD, bewegen sich seitlich und identifizieren hochwertige Assets, die angegriffen werden sollen, indem sie kritische Daten verschlüsseln oder die Kontrolle über andere Assets übernehmen. Diese Bewegung zu erkennen ist eine Herausforderung, und viele Unternehmen haben Schwierigkeiten, diese verdeckten Aktivitäten zu erkennen.

Da diese Art von Ransomware von Menschen betrieben wird, können Angreifer den herkömmlichen Endpunktschutz oder Endpunkterkennungs- und Reaktionsprodukte umgehen, die durch Signaturabgleich oder Verhaltensanomalieerkennung funktionieren. Sobald Angreifer diese Abwehrmechanismen überwunden haben, haben sie freien Zugriff auf das Netzwerk.

BN: Wie können Unternehmen Angriffe erkennen, bevor AD kompromittiert wird? Wie können sie vorbeugende Maßnahmen ergreifen, um AD zu schützen?

CC: Der effektivste Weg, um zu verhindern, dass Kriminelle auf AD zugreifen, besteht darin, zuerst alle Offenlegungen oder Schwachstellen zu entfernen, die sie ausnutzen können. Unternehmen können auch Cyber-Cloaking, Irreführung und Täuschung anwenden, um Angreifer während der Entdeckungsphase eines Angriffs effizient zu entgleisen. Unternehmen können fortschrittliche Verschleierungstechnologie verwenden, um AD-Objekte, Anmeldeinformationen, Dateien, Ordner und Freigaben zu verschleiern und so einem Angreifer das Auffinden und den Zugriff auf Daten zu verwehren. Sie können tatsächliche Daten durch falsche Replikate ersetzen und Angreifer auf einen Einsatzserver leiten, um Bedrohungsinformationen zu sammeln.

Wenn eine Organisation außerdem Köderumgebungen oder -anlagen erstellt, kann sie Angreifer dazu verleiten, mit ihnen und nicht mit Produktionsanlagen in Kontakt zu treten. Sobald die Köderumgebung die Angreifer gefangen hat, können Unternehmen ihr Verhalten analysieren und wertvolle Informationen gewinnen, um sich gegen zukünftige Angriffe zu verteidigen. Diese Fähigkeit macht es zu einer idealen Technologie, um die Sicherheitseinrichtung jedes Unternehmens zu erweitern – und da mehr Benutzer als je zuvor von zu Hause aus arbeiten, werden diese Fähigkeiten zur Erkennung von seitlichen Bewegungen im Netzwerk immer wichtiger.

BN: Was können Unternehmen tun, um AD zu schützen?

CC: Der erste Schritt zum Aufbau eines sicheren AD besteht darin, alle aktuellen Best Practices zu befolgen – mit Patches Schritt zu halten, Controller zu härten, sichere AD-Richtlinien zu erstellen usw. CISOs müssen AD auch auf Offenlegungen und Einstellungen überprüfen, die sie anfällig für Angriffe machen. Die Sicherstellung der richtigen Einstellungen, Richtlinien und Konfigurationen trägt dazu bei, das Risiko erfolgreicher Angriffe wie Kerberoasting zu verringern – ein AD-Angriff, der schwache Verschlüsselung und schlechte Passworthygiene für Dienstkonten ausnutzt.

Es ist auch sinnvoll, die Anzahl der Berechtigungen und delegierten Administratoren zu begrenzen, die als Schattenadministratoren bezeichnet werden, privilegierte Benutzer, die nicht Teil einer AD-Sicherheitsgruppe sind und relativ diskret agieren können. Das Identifizieren und Sperren von Schattenadministratorkonten und privilegierten Konten ist wichtig, da sie bevorzugte Ziele für Angreifer sind und Kriminellen die Möglichkeit geben können, ihren Angriff auszuweiten, während sie einer Entdeckung entgehen.

CISOs müssen auch das Netz der von ihnen aktivierten Berechtigungen und Autorisierungen sowie die sie umgebenden Berechtigungen verstehen. In AD hat jedes Objekt eine Zugriffskontrollliste, zu der man Benutzerkonten hinzufügen kann. Administratoren können einem bestimmten Benutzer etwas so Einfaches wie die Möglichkeit zuweisen, das Passwort einer Person zu ändern, aber es wird nicht unbedingt in einer Gruppe angezeigt. Wenn Angreifer Zugriff auf ein Konto mit ausreichenden Berechtigungen erhalten, können sie ihre Berechtigungen erhöhen und ihre Spuren verwischen. Es wird wichtig, die Benutzer mit solchen Berechtigungen sichtbar zu machen und diese Konten auf so wenige wie vernünftigerweise möglich zu beschränken.

Unternehmen sollten sich vor Golden- und Silver-Ticket-Angriffen schützen und diese erkennen, ein weiterer Weg für einen Angreifer, um die Domänenkontrolle zu erlangen. Darüber hinaus möchten sie sich vor Kerberoasting-, DCSync- und DCShadow-Angriffen schützen, die ebenfalls schwer zu identifizieren sind, aber erhebliche Konsequenzen haben, wenn sie sie nicht schnell verhindern oder stoppen.

Bildnachweis: donscarpo / Depositphotos.com

Vorheriger ArtikelDie besten Windows 10-Apps dieser Woche
Nächster ArtikelLG Wing 5G ist ein wunderbar seltsames Telefon, das Android unterhaltsam und frisch hält

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein