In 2021 gab es spektakuläre Cyber-Angriffe auf Firmen, Behörden und Organisationen, bei denen die Angreifer in das Active Directory eingedrungen sind und die dort gefundenen Informationen zur Verbreitung im Unternehmens-Netzwerk verwendeten. Sicherheitsanbieter hat in einem Dokument Hinweise zur Absicherung von Active Directory-Instanzen vor Ransomware-Attacken zusammengetragen. Ich stelle die Informationen mal unkommentiert hier im Blog ein.
Anzeige
Sicherheitsexperten diskutieren derzeit die spektakulären Cyberangriffe, die zuletzt für Schlagzeilen sorgten: SolarWinds, die Hafnium Exchange Zero-Day-Angriffe, den Angriff auf Colonial Pipeline und den Angriff auf den Ireland Health Service. Obwohl jeder Angriff in Bezug auf die Taktik unterschiedlich war und von verschiedenen Angreifern ausgeführt wurde, hatten sie alle verheerende Folgen. Den Angreifern geht es nicht darum, neuartige Methoden zu finden, sie wollen einfach nur eindringen in fremde Netzwerke – und dies gelingt derzeit häufig über Active Directory (AD).
Es gibt jedoch drei wichtige Präventivmaßnahmen, die Unternehmen ergreifen können, um sich vor derartigen Cyberangriffen zu schützen. Semperis, Experte für den Schutz von Active Directory, nennt drei wichtige Hebel:
1. Schutz von E-Mails vor Advanced Threats
Einer der häufigsten Türöffner für Angreifer sind E-Mails. Ausgeklügelte Phishing-Kampagnen sind für die Empfänger äußerst überzeugend und bieten Angreifern eine Möglichkeit, gültige Zugangsdaten zu erhalten und/oder Malware auf Endpunkte zu übertragen. Es ist von entscheidender Bedeutung, dass Unternehmen einen mehrschichtigen Ansatz verfolgen, um sich vor diesen Bedrohungen zu schützen.
Schulungen zum Sicherheitsbewusstsein und Phishing-Simulationen sind wichtig, um das Risiko zu erfassen und zu messen. Egal, wie viele Trainingsmaßnahmen Unternehmen durchführen, werden Angreifer dennoch erfolgreich sein. Um dem entgegenzuwirken, muss eine fortschrittliche Lösung zum Schutz vor E-Mail-Bedrohungen, die über Anti-Spam- und Anti-Virus-Tools hinausgeht, Teil der Verteidigungsstrategie sein.
Unverzichtbar in der heutigen Bedrohungslandschaft ist ein Service, der maschinelle Lernalgorithmen und andere fortschrittliche Erkennungsmethoden einsetzt, um Phishing-Nachrichten und verdächtige Anhänge zu erkennen und zu blockieren.
2. Verhindern von Seitwärtsbewegungen
Sobald ein Angreifer einen Client oder eServer kompromittiert hat, wird er versuchen, sich seitlich durch das Netzwerk zu bewegen und seine Privilegien zu erweitern. Das Verhindern dieser seitlichen Bewegungen erschwert die Arbeit des Angreifers erheblich. Unternehmen können einige technisch einfache, aber in der Praxis manchmal schwierig umzusetzende Kontrollen einrichten, um sogenannte laterale Bewegungen zu verhindern.
- Erstens, muss das lokale Administratorkennwort auf jedem Endpunkt unterschiedlich sein. Microsoft offeriert hierfür eine kostenlose Lösung namens Local Administrator Password Solution (LAPS).
- Zweitens, sollten keine Domain-Konten in der Gruppe der lokalen Administratoren miteinander verwoben sein, um einen einfachen IT-Support zu ermöglichen.
Das IT-Personal muss LAPS (Local Administrator Password Solution) verwenden, um die administrativen Zugangsdaten für bestimmte Endpunkte abzurufen.
3. Sicherer Zugriff auf privilegierte Zugangsdaten
Zu verhindern, dass Angreifer privilegierten Zugriff erhalten, insbesondere des Domain-Administrators, ist eine wichtige Verteidigungsmaßnahme. Wenn ein Angreifer seine Privilegien eskalieren kann, ist es ihm möglich, eine höhere oder sogar vollständige Kontrolle über das gesamte Netzwerk zu erlangen. Die Implementierung effektiver Kontrollen, die die Berechtigungsnachweise isolieren und schützen, ist extrem wichtig.
Anzeige
Zwei der gängigsten Kontrollsets sind abgestufte Sicherheitskontrollen, auch bekannt als Tiering, und Privileged Access Workstations (PAWs). Durch Tiering wird verhindert, dass Zugangsdaten mit hohen Privilegien auf risikoreichere Systeme wie Client-Computer gelangen, wo sie gestohlen werden könnten. PAWs isolieren die Aufgaben, die ein Administrator von seiner alltäglichen Workstation ausführt, auf einer hochsicheren Workstation und schützen so die Zugangsdaten und die Sitzung des Administrators vor Bedrohungsvektoren wie E-Mail, Internetzugang und einigen Arten von Malware.
Ähnliche Artikel:
Ransomware-Angriff auf US-Pipeline-Betreiber (Mai 2021)
Ransomware-Angriff auf die US-Pipeline – die Hütte brennt
Colonial Pipeline-Angriff: 5 Mio. $ für die Katz und ungepatchte Exchange-Server
Neues zu Colonial Pipeline: Hack über VPN-Zugang, FBI holt Lösegeld teilweise zurück
Exchange-Server 0-day-Exploits werden aktiv ausgenutzt, patchen!
Exchange-Hack: Neue Patches und neue Erkenntnisse
Anatomie des ProxyLogon Hafinum-Exchange Server Hacks
Exchange-Hack: Neue Opfer, neue Patches, neue Angriffe
Neues zur ProxyLogon-Hafnium-Exchange-Problematik (12.3.2021)
FireEye: Wenn Hacker eine Sicherheitsfirma plündern
US-Finanzministerium und weitere US-Behörde gehackt
SolarWinds SUNBURST-Schwachstelle: Die Folgen und Schutzmaßnahmen
SolarWinds-Produkte mit SunBurst-Backdoor, Ursache für FireEye- und US-Behörden-Hacks
Microsoft Insides zum SolarWinds Orion SunBurst-Hack
2015
Der vierte Baustein fehlt aber noch, nämlich das Erkennen von laufenden Angriffen. Da braucht man ein gutes Monitoring, welches insbesondere Benutzeraccount-Aktivitäten (wer meldet sich wann wo an, wo werden gerade Passwörter durchprobiert, bei welchem User werden gerade von wem die Rechte erhöht, wer bekommt gerade wo Rechte wo er eigentlich garnichts zu suchen hat, usw.) erkennt und die verantwortlichen Personen warnt.
M.e. sollte jedes Unternehmen heute ein SIEM System einsetzten. Leider wird das noch viel zu wenig gemacht und auch zu wenig propagiert (z.B. vom BSI). Außerdem höre ich schon die Betriebsräte sagen: Das ist Überwachung der User und somit nicht gestattet. An dieser Stelle kollidiert der Datenschutz mit der Sicherheit…..
Hast du einen guten Tipp für ein SIEM-System? Brauche in dieser Hinsicht mal paar Anregungen.