Sicherheitsexperten diskutieren derzeit die spektakulären Cyberangriffe, die zuletzt für Schlagzeilen sorgten: SolarWinds, die Hafnium Exchange Zero-Day-Angriffe, den Angriff auf Colonial Pipeline und den Angriff auf den Ireland Health Service.
Obwohl jeder Angriff in Bezug auf die Taktik unterschiedlich war und von verschiedenen Angreifern ausgeführt wurde, hatten sie alle verheerende Folgen. Den Angreifern geht es nicht darum, neuartige Methoden zu finden, sie wollen einfach nur eindringen in fremde Netzwerke – und dies gelingt derzeit häufig über Active Directory (AD).
Es gibt jedoch drei wichtige Präventivmaßnahmen, die Unternehmen ergreifen können, um sich vor derartigen Cyberangriffen zu schützen. Semperis, Experte für den Schutz von Active Directory, nennt drei wichtige Hebel:
1. Schutz von E-Mails vor Advanced Threats
Einer der häufigsten Türöffner für Angreifer sind E-Mails. Ausgeklügelte Phishing-Kampagnen sind für die Empfänger äußerst überzeugend und bieten Angreifern eine Möglichkeit, gültige Zugangsdaten zu erhalten und/oder Malware auf Endpunkte zu übertragen. Es ist von entscheidender Bedeutung, dass Unternehmen einen mehrschichtigen Ansatz verfolgen, um sich vor diesen Bedrohungen zu schützen. Schulungen zum Sicherheitsbewusstsein und Phishing-Simulationen sind wichtig, um das Risiko zu erfassen und zu messen. Egal, wie viele Trainingsmaßnahmen Unternehmen durchführen, werden Angreifer dennoch erfolgreich sein. Um dem entgegenzuwirken, muss eine fortschrittliche Lösung zum Schutz vor E-Mail-Bedrohungen, die über Anti-Spam- und Anti-Virus-Tools hinausgeht, Teil der Verteidigungsstrategie sein. Unverzichtbar in der heutigen Bedrohungslandschaft ist ein Service, der maschinelle Lernalgorithmen und andere fortschrittliche Erkennungsmethoden einsetzt, um Phishing-Nachrichten und verdächtige Anhänge zu erkennen und zu blockieren.
2. Verhindern von Seitwärtsbewegungen
Sobald ein Angreifer einen Client oder eServer kompromittiert hat, wird er versuchen, sich seitlich durch das Netzwerk zu bewegen und seine Privilegien zu erweitern. Das Verhindern dieser seitlichen Bewegungen erschwert die Arbeit des Angreifers erheblich. Unternehmen können einige technisch einfache, aber in der Praxis manchmal schwierig umzusetzende Kontrollen einrichten, um sogenannte laterale Bewegungen zu verhindern. Erstens, muss das lokale Administratorkennwort auf jedem Endpunkt unterschiedlich sein. Microsoft offeriert hierfür eine kostenlose Lösung namens Local Administrator Password Solution (LAPS). Zweitens, sollten keine Domain-Konten in der Gruppe der lokalen Administratoren miteinander verwoben sein, um einen einfachen IT-Support zu ermöglichen. Das IT-Personal muss LAPS (Local Administrator Password Solution) verwenden, um die administrativen Zugangsdaten für bestimmte Endpunkte abzurufen.
3. Sicherer Zugriff auf privilegierte Zugangsdaten
Zu verhindern, dass Angreifer privilegierten Zugriff erhalten, insbesondere des Domain-Administrators, ist eine wichtige Verteidigungsmaßnahme. Wenn ein Angreifer seine Privilegien eskalieren kann, ist es ihm möglich, eine höhere oder sogar vollständige Kontrolle über das gesamte Netzwerk zu erlangen. Die Implementierung effektiver Kontrollen, die die Berechtigungsnachweise isolieren und schützen, ist extrem wichtig.
Zwei der gängigsten Kontrollsets sind abgestufte Sicherheitskontrollen, auch bekannt als Tiering, und Privileged Access Workstations (PAWs). Durch Tiering wird verhindert, dass Zugangsdaten mit hohen Privilegien auf risikoreichere Systeme wie Client-Computer gelangen, wo sie gestohlen werden könnten. PAWs isolieren die Aufgaben, die ein Administrator von seiner alltäglichen Workstation ausführt, auf einer hochsicheren Workstation und schützen so die Zugangsdaten und die Sitzung des Administrators vor Bedrohungsvektoren wie E-Mail, Internetzugang und einigen Arten von Malware.
Ist die gelebte Active Directory-Praxis bereit für die heutige Bedrohungslandschaft?
Die spektakulären Angriffe der vergangenen Monate sind nur vier der unzähligen Sicherheitsverletzungen, die täglich Schlagzeilen machen. Die Absicherung der IT-Umgebung ist daher von entscheidender Bedeutung. Active Directory muss für praktisch jedes Unternehmen muss eine Kernkomponente der Absicherungsstrategie sein und darf nicht als Nischenthema betrachtet werden, fordert Semperis abschließend.
www.semperis.com