Das US-amerikanische National Institute of Standards and Technology (NIST) hat kürzlich erste Änderungen im Rahmen der Aktualisierung des NIST Cybersecurity Frameworks veröffentlicht. [...]
Die finale Version des Frameworks, die dann in der Version 2.0 vorliegen wird, wird für Anfang 2024 erwartet. Doch bereits mit dem nun veröffentlichten Dokument zeichnen sich einige richtungsweisende Änderungen ab.
Die neue Version des Frameworks wird insbesondere der veränderten Bedrohungslandschaft Rechnung tragen und sich an einen größeren Kreis von Unternehmen richten, als dies mit den Vorgängerversionen der Fall war.
Die Richtlinien des neuen Frameworks sollen die Sicherheit von Organisationen weiter verbessern, indem sie die neuesten Entwicklungen in der Cyber-Sicherheit widerspiegeln. So sollen Bedrohungen früher erkannt und verhindert werden.
Generell konzentriert sich das NIST Framework auf fünf Kernbereiche:
- Identifiation
- Protection
- Detection
- Response
- Recovery
Diese Bereiche sind notwendig, um die verschiedenen Aspekte der Cybersicherheit abzudecken und sicherzustellen, dass Unternehmen und Organisationen ihre Netzwerke vor potenziellen Bedrohungen schützen können.
Einer der wichtigsten Aspekte in diesem Zusammenhang ist die Überwachung von Unternehmensnetzwerken. Organisationen müssen in der Lage sein, ihre Netzwerke kontinuierlich zu überwachen, um Bedrohungen frühzeitig zu erkennen und gegebenenfalls reagieren zu können.
Das Framework betont auch die Bedeutung der Zusammenarbeit zwischen den verschiedenen Abteilungen eines Unternehmens, um sicherzustellen, dass alle potenziellen Bedrohungen erkannt und behandelt werden.
Kein Weg vorbei am Active Directory
In diesem Zusammenhang ist vor allem die Bedeutung des Active Directory (AD) bzw. Azure Active Directory (AAD) in modernen Unternehmensnetzwerken hervorzuheben.
Das Active Directory ist ein zentraler Verzeichnisdienst zur Verwaltung von Benutzerkonten, Authentifizierung und Autorisierung von Netzwerkressourcen in Windows-Umgebungen. Azure Active Directory ist dazu das Cloud-basierte Pendent von Microsoft. Beide Dienste sind entscheidend für die Sicherheit von Unternehmen, da sie den Zugriff auf kritische Ressourcen und Daten steuern.
Unternehmen müssen folglich sicherstellen, dass ihre AD- und AAD-Dienste geschützt sind. Dies kann durch die Implementierung von Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, Passwortrichtlinien, Netzwerksegmentierung und Zugriffsbeschränkungen erreicht werden.
Aber es sollte auch sichergestellt werden, dass Active Directory-Dienste kontinuierlich überwacht werden, um potenzielle Bedrohungen frühzeitig zu erkennen.
Ransomware bedroht auch das AD
In den letzten Jahren sorgen verstärkt Ransomware-Angriffe für Schlagzeilen, wenn über Cybersicherheitsvorfälle berichtet wird. IT-Verantwortliche sind sich dieser Problematik daher wohl bewusst und treffen Vorkehrungen, um sich vor Angriffen zu schützen.
Leider wird dabei jedoch regelmäßig das Active Directory außer Acht gelassen, was sich als kostspieliger Fehler erweisen kann. Denn moderne Ransomware-Angriffe zielen vermehrt auch auf das AD ab, was sowohl große als auch kleine und mittelständische Unternehmen betrifft, da ein funktionierendes AD für deren IT-Betrieb unerlässlich ist.
Es gibt zwei Hauptaspekte, die berücksichtigt werden sollten, um Ransomware abzuwehren bzw. ihre Auswirkungen auf das AD und somit den IT-Betrieb zu begrenzen.
Zum einen müssen Schutzmaßnahmen ergriffen werden, um eine Kompromittierung des AD zu verhindern. Zum anderen gilt es Backup-Maßnahmen zu implementieren, die sicherstellen, dass im schlimmsten Fall sowohl die Daten als auch das AD wiederhergestellt werden können.
Allerdings wird das AD als zentrales Element der IT-Infrastruktur nur selten direkt angegriffen. Vielmehr erfolgt ein Angriff auf das AD in der Regel über einen horizontalen Zugriff, bei dem der Angreifer die Netzwerkschutzmaßnahmen der Organisation umgeht und sich auf diese Weise Zugang verschafft. Um dies zu verhindern, sollte sich der Schutz des AD auf die Zugriffsberechtigungen und deren Erweiterung konzentrieren.
AD-Risiko: verschachtelte Gruppen
Besonderes Augenmerk legen viele IT-Verantwortliche hier auf privilegierte Accounts. In der Praxis zeigt sich jedoch, dass auch einfache Endanwender häufig über Zugriffsrechte verfügen, die für Angreifer ausreichen, um einmal erlangte Privilegien auszuweiten.
Eine besondere Herausforderung stellen Verbindungen über „eingebaute“ Admin-Gruppen und verschachtelte Gruppen dar. Diese automatisch erstellten Gruppen erleichtern zwar die Arbeit, sind aber auch ein beliebtes Einfallstor für Cyberkriminelle und auf vielen AD-Ebenen zu finden.
Die Komplexität wird zusätzlich dadurch erhöht, dass Gruppen auch Mitglieder anderer Gruppen sein können und mehrere Ebenen ineinander verschachtelt sein können. Eine manuelle Überwachung dieser Komplexität ist kaum möglich.
Aus diesem Grund sollten IT-Verantwortliche idealerweise auf ein zentrales Tool wie On Demand Audit von Quest Software zurückgreifen, das Berechtigungen, Gruppen und deren Verschachtelung permanent überwacht.
Wiederherstellung nicht außer Acht lassen
Trotz der besten Sicherheitsmaßnahmen kann jedoch nicht ausgeschlossen werden, dass das AD durch Hacker kompromittiert wird. Daher ist es darüber hinaus von entscheidender Bedeutung, dass die Backup- und Recovery-Strategie eines Unternehmens sicherstellt. Schließlich muss das AD nach einem erfolgreichen Angriff schnell wiederhergestellt werden. Dabei ist es wichtig, den entsprechenden Disaster-Recovery-Plan ausführlich und detailliert zu testen.
Eine virtuelle Testumgebung bietet hierfür die beste Möglichkeit und muss ein exaktes Abbild der tatsächlichen Active-Directory-Struktur darstellen. Aufgrund der Komplexität der AD-Struktur ist es außerdem ratsam, ein automatisiertes Tool für den Aufbau einer Testumgebung zu verwenden.
Ideal ist dabei ein Tool, das verschiedene Backups miteinander vergleichen und entsprechende Berichte erstellen kann. Zudem sollte es die Wiederherstellung von hybriden Umgebungen aus AD und Azure Active Directory unterstützen.
Eine umfassende Backup- und Recovery-Lösung muss im Falle eines erfolgreichen Ransomware-Angriffs nicht nur die Wiederherstellung der Daten, sondern auch des Betriebssystems und der zugehörigen Komponenten sicherstellen.
Die Bare-Metal-Recovery-Funktion einer solchen Lösung sichert alle notwendigen Komponenten auf einem bootfähigen Datenträger, um im Katastrophenfall eine schnelle Wiederherstellung zu ermöglichen. Je nach Ausmaß des Angriffs kann es notwendig sein, alle Systeme neu aufzubauen oder nur bestimmte Daten wiederherzustellen.
Im letzteren Fall ist eine hybride Wiederherstellungstaktik möglich, die jedoch aufgrund der Komplexität nur mit einem automatisierten Tool effizient durchgeführt werden kann. Eine solche Lösung spart Zeit und Ressourcen.
Kaum zu schaffen ohne Drittanbieter-Lösungen
Beim Schutz einer so elementaren Umgebung wie dem des AD bzw. AAD können die Sicherheitsverantwortlichen kaum auf automatisierte Tools verzichten. Denn nur sie steigern einerseits die Sicherheit und sorgen andererseits für eine schnelle Reaktion im Ernstfall.
Eine unzureichende Absicherung des AD kann hingegen schwerwiegende Folgen für den IT-Betrieb haben, daher ist es wichtig, den Schutz des AD als eine der wichtigsten Prioritäten der IT-Sicherheit zu betrachten.
Die Lösungen von Drittanbietern können dabei nicht nur Angriffe abwehren, sondern auch die Wiederherstellung von Daten und Systemen im Fall der Fälle beschleunigen.
Be the first to comment