Identitätsbasierte Angriffe boomen. Laut Global Threat Report nutzen mittlerweile 80 Prozent aller Cyberangriffe identitätsbasierte Angriffsmethoden, um Unternehmen zu kompromittieren. [...]
Für CISOs gehört daher das Thema Identitätsschutz zu den größten Sicherheitsherausforderungen der heutigen Zeit. Besonderes Augenmerk sollten sie dabei auf das weltweit viel genutzte Active Directory legen – die Achillesferse vieler IT-Security-Programme, wenn es um Identitätsschutz geht.
Einfallstor Active Directory
Identitätssysteme, wie das global von zahllosen Unternehmen genutzte Microsoft Active Directory (AD), gehören zu den beliebtesten Angriffsvektoren vieler Cyberangreifer.
Gelingt es den Cyberangreifern nämlich eine AD-Schwachstelle erfolgreich auszunutzen, halten sie oftmals kurze Zeit später den „Generalschlüssel“ der Unternehmen in der Hand, der ihnen Zugang zu wertvollen Informationen, Anwendungen und Systemen verschafft. Zugleich fristet die AD-Sicherheit in vielen Unternehmen ein Schattendasein und verstärkt dadurch die Attraktivität für Angreifer.
Wie ernst die Gefahr für Unternehmen ist, veranschaulicht einer der jüngsten Patch Tuesday, bei dem 40 Prozent der veröffentlichten Microsoft-Patches sogenannte „privilege-escalation vulnerabilities“ waren – darunter auch eine Zero-Day-Schwachstelle, die Microsoft dazu veranlasste, folgende Warnung auszusprechen: „Ein Angreifer, der diese Schwachstelle erfolgreich ausnutzt, könnte Systemrechte erlangen.“
Warum Angreifer heutzutage auf identitätsbasierte Techniken setzen, liegt auf der Hand: Identitätsbasierte Cyberangriffe sind mit herkömmlichen Methoden extrem schwer zu erkennen, da die bestehenden Sicherheitsmaßnahmen und -tools oft nicht ausreichend zwischen dem typischen Verhalten legitimer Benutzerinnen und Benutzer und dem von Hackern mit gestohlenen Berechtigungen unterscheiden können.
Umso wichtiger ist es, dass sich angesichts der sich immer weiterentwickelnden TTPs der Angreifer, sich auch die Cybersicherheitsmaßnahmen der Unternehmen anpassen.
Dafür muss den Verteidigern klar sein, über welche Wege Identitätssysteme heutzutage angegriffen werden und ob die aktuelle Sicherheitsstrategie hier eine adäquate Lösung bietet. Ein Blick auf drei gängigen AD-Angriffsszenarien und wie man diese erfolgreich löst.
Drei beliebte AD-Angriffsszenarien
Aus Angreifersicht ist der LSASS-Prozess auf einem Windows-Rechner oft ein attraktives Einfallstor, um an gültige Anmeldeinformationen von legitimen Nutzern zu gelangen, diese auszunutzen und sich anschließend lateral zu bewegen.
Wichtig ist daher für die Verteidigung, dass die eingesetzte Sicherheitslösung diese Angriffsmethode umgehend erkennt und blockiert und darüber hinaus auch verhindert, dass der Angreifer mit gültigen Anmeldedaten auf einen nicht verwalteten Host wie einen Laptop ausweicht.
Um mehr Informationen über die Angreifer zu erhalten, haben sich Honeytokens zu einer praktikablen und empfohlenen Sicherheitsebene für Unternehmen entwickelt, die sie in ihre Informationssicherheitsstrategie integrieren sollten.
Mit Hilfe von Honeytoken-Konten, werden Angreifer verleitet, diese Konten auszunutzen. Dadurch erhalten Sicherheitsteams Daten und detaillierte Einblicke in den Angriffspfad und können so sicherstellen, dass ihre wichtigen Ressourcen und Konten geschützt bleiben.
Häufig versuchen Angreifer auch, Endpunkte mithilfe von TTPs wie Privilegienerweiterung lokaler Konten oder Command & Control zu kompromittieren.
Werden diese Versuche durch eine leistungsstarke Endpoint-Protection-Plattform gestoppt, weichen die Cyberakteure oft auf Brute-Force-Angriffe aus, die auf AD-Konten abzielen – in der Regel auf Service-Konten mit geteilten, doppelten oder Standardpasswörtern. Leistungsstarke Identitätsschutzlösungen schaffen auch hier Abhilfe, indem sie die Erkennung von wiederverwendeten Passwörtern im gesamten AD des Unternehmens vereinfachen, sodass Administratoren diese Konten ohne manuelle AD-Audits sofort identifizieren und die Verwendung eindeutiger Passwörter zur Abwehr von Bedrohungen wie Credential Stuffing-Angriffen durchsetzen können.
Ein weiterer Weg der Angreifer, um an die begehrten Identitätsdaten zu gelangen, ist die Ausnutzung älterer Protokolle. Denn vielen Unternehmen fehlt es an Transparenz bei SMB- und DC-Authentifizierungen, um bösartiges und anormales Benutzerverhalten zu erkennen, das zu Brute-Force- und Pass-the-Hash-Angriffen (PtH) führt.
Moderne Sicherheitslösungen sollten daher nicht nur Kerberos, NTLM und LDAP/S abdecken, sondern auch die Erkennung und Authentifizierungen über SMB ermöglichen. Dank der Einblicke in fehlgeschlagene und erfolgreiche SMB-zu-DC-Authentifizierungsereignisse und eines aktiven Threat Huntings, das CrackMapExec, PtH, Password Bruteforce, Mimikatz usw. abdeckt, erhalten Sicherheitsteams zusätzliche Basisdaten, um verdächtiges Verhalten zu erkennen und die AD-Sicherheit zu stärken.
Die Wahl der richtigen Identitätsschutzlösung ist für CISOs in diesem Jahr von entscheidender Bedeutung und wird wahrscheinlich eine der wichtigsten Verteidigungslinien darstellen. Dies muss jedoch nicht zwangsläufig zu einer Verkomplizierung sowie zu einer weiteren Welle von Warnmeldungen führen und zusätzliche Arbeit für die ohnehin dünn besetzten Teams bedeuten.
Eine gute und moderne Lösung bietet Unternehmen eine Fülle von Vorteilen und fortschrittlichen Funktionen – und das aus einer Hand.
Be the first to comment