Organisationen aller Größen und Branchen versäumen es, Active Directory (AD)-Sicherheitslücken zu schließen, die sie anfällig für Cyberangriffe machen können, so die Ergebnisse einer Umfrage unter IT- und Sicherheitsverantwortlichen, die Purple Knight von Semperis eingesetzt haben.
Unternehmen erzielten in fünf Active Directory-Sicherheitskategorien durchschnittlich 68 % – eine durchwchsene Bewertung. Große Organisationen schnitten bei der Bewertung sogar noch schlechter ab – mit einem Durchschnittswert von 64 % – was darauf hindeutet, dass die Herausforderungen bei der Sicherung von Active Directory mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Organisationen.
AD-Sicherheitslücken
Microsoft Active Directory (AD) war zum Zeitpunkt der Markteinführung eine revolutionäre Technologie, die ursprünglich mit dem Windows 2000-Serverbetriebssystem veröffentlicht wurde und weiterhin einen Großteil der hypervernetzten Arbeitswelt unterstützt. Microsoft AD setzte sich aus einem Hauptgrund vor allen anderen Verzeichnissen durch: Es war offen. Aufgrund dieser Offenheit und einfachen Integration ist AD bis heute eine grundlegende Infrastruktur für 90 % der Unternehmen. Seine größte Stärke vor 21 Jahren ist jedoch inzwischen zu seiner besorgniserregendsten Schwäche geworden.
Die Bedrohung
Wenn Unternehmen berücksichtigen, dass ein Hacker jedes nicht privilegierte AD-Konto verwenden kann, um fast alle Attribute und Objekte in AD zu lesen, einschließlich der Berechtigungen, wodurch er Computerkonten in jeder Domäne eines AD-Forests finden kann, die mit uneingeschränkter Delegierung konfiguriert sind, dann wird deutlich, warum die standardmäßige AD-Offenheit zu einer Schwachstelle geworden ist.
Heute ist die Identität aufgrund des Verschwindens des Netzwerkperimeters zur letzten Verteidigungslinie gegen Cyberangriffe geworden.
Forscher bei Mandiant berichteten kürzlich, dass 90 Prozent der Vorfälle, die sie untersuchen, AD in der einen oder anderen Form betreffen. Einige der größten und jüngsten AD-Sicherheitsverletzungen sind SolarWinds, Hafnium und der Colonial Pipeline-Angriff, die aufgrund ihres Ausmaßes und der durch den Ausfall von Microsoft AD verursachten Unterbrechung Schlagzeilen machten.
Purple Knight
Semperis ist ein Pionier in der Verwaltung und dem Schutz der Identitätsnachweise in hybriden Umgebungen von Unternehmen und wurde speziell für die Sicherung von AD entwickelt. Letztes Jahr hat es ein kostenloses AD-Sicherheitsbewertungstool, Purple Knight, eingeführt und veröffentlicht heute die Ergebnisse von Daten von 1000 IT- und Sicherheitsleitern, die Purple Knight eingesetzt haben.
Wichtigste Zusammenfassung der Ergebnisse:
- Organisationen erzielten in fünf Active Directory-Sicherheitskategorien insgesamt durchschnittlich 68 %; AD-Delegierung, Kontosicherheit, AD-Infrastruktursicherheit, Gruppenrichtliniensicherheit und Kerberos-Sicherheit. Das ist kaum bestanden.
- Große Organisationen schnitten sogar noch schlechter ab – mit einem Durchschnittswert von 64 % – was darauf hindeutet, dass die Herausforderungen bei der Sicherung von Active Directory mit Legacy-Anwendungen und komplexen Umgebungen zunehmen, insbesondere in großen Organisationen.
- Organisationen meldeten die niedrigsten Punktzahlen für die Account-Sicherheit, die Einstellungen für individuelle Konten abdeckt, wie z. B. privilegierte Konten mit einem Passwort, das nie abläuft.
- Versicherungsunternehmen meldeten die niedrigsten Gesamtpunktzahlen (55 %), gefolgt von Gesundheitswesen (63 %) und Transportwesen (64 %).
- Transportunternehmen meldeten völlig ungenügende Ergebnisse bei Gruppenrichtlinien (36 %) und Account-Sicherheit (46 %).
- Betreiber öffentlicher Infrastrukturen erzielten insgesamt die höchste Punktzahl (71 %), gefolgt von staatlichen Stellen (70 %).
Die Befragten nannten verschiedene Katalysatoren für das Herunterladen der Sicherheitsbewertung, die von einer Zunahme von Angriffen in ihren Branchen über organisatorische Mandate bis hin zur Behebung von Sicherheitsverletzungen reichten. Viele der Befragten sagten, sie seien von den Ergebnissen ihrer Purple-Knight-Berichte sehr überracht worden.
Zudem ergab die Studie auch Folgendes:
- Fehlkonfigurationen nehmen in Organisationen mit veralteten Active Directory-Implementierungen zu
- Organisationen haben mit einem Mangel an Active Directory-Expertise zu kämpfen
In einem kürzlich erschienenen Bericht von 451 Research sagt Analyst Garrett Bekker: „Verzeichnisdienste bilden das Herzstück der IT-Strategien der meisten Unternehmen und sind als solche zu unternehmenskritischen Vermögenswerten geworden, die schwerwiegende Folgen haben können, wenn sie kompromittiert werden – wie wir aus dem gelernt haben der mittlerweile berüchtigte Supply-Chain-Angriff von SolarWinds und der Hafnium-Angriff auf Microsoft Exchange.“
Über den Bericht sagt Mickey Bresman, CEO von Semperis: „Wir haben gesehen, dass viele Unternehmen kein gutes Verständnis für die Angriffe auf Active Directory haben, die Angreifer gegen sie verwenden können. Wir wollten Sicherheitsteams ohne umfassende AD-Expertise eine Möglichkeit bieten, ihre AD-Sicherheitslage zu verstehen – und dann alle bestehenden Lücken schließen, damit Angreifer diese nicht gegen sie verwenden.“
Wissen hilft für effektives Handeln
Der Bericht enthält weitere Informationen zu den gekennzeichneten Sicherheitsindikatoren, Antworten der IT- und Sicherheitsverantwortlichen zu den Erkenntnissen für ihre Organisation und vor allem zu den Maßnahmen, die sie ergreifen, um diese Lücken zu schließen. Der Purple Knight Report „Facing the Unknown: Uncovering & Addressing Systemic Active Directory Security Failures“ kann bei uns einfach per E-Mail bestellt werden.
www.semperis.com