![jens_wollstaedter[1]](https://sectank.net/wp-content/uploads/2022/05/jens_wollstaedter1-1050x700.jpg)
Die meisten heutigen Cyberangriffe auf lokale, Cloud- oder hybride-Umgebungen basieren auf dem Missbrauch von Identitäten und Zugriffsrechten. Mit Identity Detection and Response oder IDR hat die Security-Branche eine neue Lösungskategorie geschaffen, die diesen Missbrauch verhindern und potentiell folgenschwere Angriffe schon frühzeitig stoppen soll. Wir sprachen mit Jens Wollstädter, Regional Manager DACH von Attivo Networks, über die Bedeutung und die Rolle von IDR in komplexen Netzwerken von heute.
ID Detection and Response oder IDR ist das neue Buzzword in der Security Branche. Warum entdecken die Toolanbieter heute gerade dieses Segment, insbesondere die Absicherung von Active Directory (AD) und Azure AD, und warum ist das so wichtig?
Identitätsbasierte Angriffe über das Active Directory sind heute eine gängige Methode, um unbefugten Zugriff auf Netzwerke, Anwendungen und Daten zu erhalten. Sie sind in der Regel kein Selbstzweck, sondern sollen einen Brückenkopf im Netzwerk des Opfers installieren. Durch den Diebstahl von Identitäten innerhalb des Unternehmens – etwa durch Phishing – erhalten Angreifer einen ersten Zugang; anschließend bewegen sie sich lateral durch das Netzwerk und die Cloud-Umgebungen mit dem Ziel, Fehlkonfigurationen zur Rechte-Eskalation zu nutzen. Um einmal die Dimension des Problems zu verdeutlichen: Microsoft schätzt, dass Angreifer täglich nahezu 100 Millionen Active Directory (AD)-Konten ins Visier nehmen, und leider steigt diese Zahl weiter an.
Was sind Ihrer Erfahrung nach die wesentlichen Herausforderungen, mit denen Unternehmen bei der Sicherung des Active Director konfrontiert sind?
Active Directory ist als primärer Speicher für Anmeldeinformationen mehr als 20 Jahre alt, aber immer noch ein wichtiges Instrument für die Verwaltung der Verzeichnisdienste eines Unternehmens. Dabei werden die Umgebungen exponentiell komplexer, da sie eine große Anzahl von Benutzern, Geräten und Domänencontrollern verwalten, On-Site und in der Cloud. Durch ständige Richtlinienänderungen, Aktualisierungen und vergessene Konfigurationen und Accounts gibt AD Angreifern eine Vielzahl von Möglichkeiten, die für ihre Angriffe erforderlichen Berechtigungen zu erlangen, Hintertüren zu installieren und Binärdateien auf Systeme zu laden, um sie zur Datenverschlüsselung für einen Ransomware-Angriff zu nutzen.
Insbesondere vergessene Administratorkonten sind ein beliebtes Ziel für Angreifer und nur eine von vielen Arten von Schwachstellen. Fusionen und Übernahmen, Fernarbeit und der exponentielle Anstieg der Anzahl menschlicher und nicht-menschlicher Identitäten verschlimmern die Situation. Zudem ist AD quasi das Nervensystem des Netzwerks, das alle Benutzer und Geräte verbindet. Wer es schafft, AD zu kompromittieren, erhält den Schlüssel zu Fort Knox. Leider ist die Ausnutzung von Active Directory bei praktisch jedem bedeutenden Cyber-Angriff zu beobachten.
Warum reichen traditionelle Identitätslösungen nicht aus, um modernen Angreifern zu widerstehen?
Leider lassen herkömmliche Identitätslösungen immer noch viel Raum für potenzielle Angriffe. Viele dieser Tools stellen sicher, dass die richtigen Benutzer über einen angemessenen Zugang verfügen und wenden eine kontinuierliche Validierung an, was dem Grundprinzip des Zero-Trust-Sicherheitsmodells entspricht. Identitäts- und Zugriffsmanagement, das sich ausschließlich auf die Bereitstellung und Kontrolle des Zugriffs konzentriert, ist jedoch nur der Anfang der Identitätssicherheit. Der Schutz muss über die anfängliche Authentifizierung und Zugriffskontrolle hinausgehen und auch andere Aspekte der Identität einbeziehen, von der Sichtbarkeit über die Exposition bis hin zur Angriffserkennung. Viele Angreifer haben entdeckt, dass AD ein offensichtlicher, aber oft ignorierter Brückenkopf sein kann ist. Wenn AD-Schwachstellen mit Fehlkonfiguration in der Cloud zusammenkommen, wird die Notwendigkeit zusätzlicher Schutzebenen über die Bereitstellung und Zugriffskontrolle hinaus viel deutlicher. Aktuelle Visibility-Lösungen bieten wichtige Einblicke in am Endpunkt gespeicherte Anmeldeinformationen, Fehlkonfigurationen von Active Directory (AD) und übermäßige Cloud-Berechtigungen.
Wie kann man Angreifer daran hindern, Active Directory auszunutzen?
Erste Schutzmaßnahmen sollten sich darauf konzentrieren, die Angriffsfläche zu reduzieren, indem Identity Exposure Visibility-Tools verwendet werden, um Angriffspfade und Schwachstellen im AD zu identifizieren, die für Angriffe offen sind. Bei Unternehmen, die in Cloud-Umgebungen tätig sind, sollten die Sicherheitsteams auch nach Risiken im Zusammenhang mit Azure AD suchen.
Sehr zweckmäßig sind auch Tools für die Verschleierung, die reale Active Directory-Objekte vor den Blicken eines Angreifers verbergen können und diesem stattdessen Fake-Informationen zurückgeben. Diese Art von Irreführung kann einen Angriff umleiten und den Angreifer dazu bringen, unwissentlich seine Vorgehensweise zu enthüllen. So können die Verteidiger das Angriffsverhalten studieren und wichtige Informationen über die Bedrohung sammeln. Der Einsatz von Verschleierungstechniken für sensible Dateien, Ordner, Anmeldeinformationen und andere Daten begrenzt auch die Schwere eines Angriffs, da Angreifer Daten, die sie nicht sehen oder auf die sie keinen Zugriff haben, nicht ausnutzen oder stehlen können.
Beim Einsatz von Deception-Technologien werden Täuschungsobjekte im Netzwerk platziert, die den Diebstahl von Zugangsdaten, seitliche Bewegungen, die Ausweitung von Berechtigungen und andere Anzeichen für gegnerische Aktivitäten erkennen. Wenn Angreifer mit diesen Anlagen interagieren, werden die Sicherheitsteams auf ihre Anwesenheit aufmerksam gemacht und können entsprechend reagieren. Solche Täuschungsobjekte können vermeintliche Anmeldeinformationen auf Endpunkten sein oder auch gefälschte Dateifreigaben, die zum Ziel von Ransomware- und anderen automatisierten Angriffen werden. Solche Objekte, die beim Öffnen „nach Hause telefonieren“, können unbefugte Zugriffe und potenzielle Exfiltrations-Versuche frühzeitig anzeigen.
Was können CISOs tun, um sich einen kontinuierlichen Überblick über die AD-Schwachstellen zu verschaffen, die für Cyber-Angriffe anfällig sind?
Zunächst ist es natürlich wichtig, Schwachstellen im AD zu erkennen, bevor Angreifer die Kontrolle erlangen und Hintertüren einrichten können. Es werden also Systeme benötigt, die Schwachstellen automatisiert detektieren und Warnmeldungen generieren. Diese sollten kritische Schwachstellen auf Domänen-, Computer- und Benutzerebene umfassend abdecken. Die dabei gewonnenen Erkenntnisse sollten auch die Risiken im Zusammenhang mit Anmeldedaten, privilegierten Konten, veralteten Konten, gemeinsam genutzten Anmeldedaten erfassen. Tools für die Erkennung von Fehlkonfigurationen und anomalen Aktivitäten in AD helfen Verteidigern ebenfalls bei der Härtung des AD und können bei Angriffen Echtzeitwarnungen ausgeben. Im Idealfall arbeiten AD-Sicherheitstools ähnlich wie kontinuierliche Penetrationstests und suchen ständig nach Schwachstellen, die es zu beheben gilt – bevor Angreifer sie finden.
Welche Rolle spielt IDR heute und in Zukunft bei der Absicherung von AD und Azure AD?
Identity Detection and Response wird immer wichtiger, um Unternehmen vor identitätsbasierten Angriffen zu schützen. Deren frühzeitige Erkennung ist von entscheidender Bedeutung, da Angreifer Anmeldedaten ausnutzen, Active Directory (AD) aushebeln und die Identität über Cloud-Berechtigungen angreifen. IDR-Lösungen ergänzen dabei etabliertere Technologien wie Endpoint Detection and Response (EDR) oder Extended Detection and Response (XDR) und konzentrieren sich auf den Schutz von Anmeldedaten, lokalen und Cloud-Berechtigungen sowie der Systeme, die diese verwalten, wie etwa Active Directory oder Azure AD. Wir erwarten, dass AD-Bewertungs- und Erkennungstools in Zukunft noch enger miteinander gebündelt oder integriert werden, so dass, wenn Schwachstellen bestehen bleiben müssen, fortschrittliche Erkennungstools eingreifen, um zu warnen und bösartige Aktivitäten umzuleiten und zu blockieren.
