Hybride Computing-Umgebungen werden in absehbarer Zukunft die Norm sein: Einem Gartner-Bericht aus dem Jahr 2021 zufolge werden nur 3 % der mittleren und großen Unternehmen bis 2025 vollständig von einem lokalen Active Directory (AD) auf einen Cloud-basierten Identitätsdienst umsteigen. IT-Verantwortliche, die hybride Umgebungen verwalten, stehen jedoch vor einer immer komplexeren Herausforderung: der effektiven Absicherung von Identitätssystemen, die sowohl On-Premise AD als auch Azure AD umfassen. Diese hybride Welt hat eine ganz andere Risikolandschaft als die, mit der Active Directory (AD)-Administratoren vor zwei Jahrzehnten konfrontiert waren.
Als die Cloud-Nutzung explodierte, nahmen Angreifer diese Entwicklung zur Kenntnis und konzentrierten sich auf die Kompromittierung von Cloud-Anmeldedaten, die sie nutzen können, um erhöhte Berechtigungen im gesamten System zu erlangen - auch in der lokalen AD-Umgebung - und Malware zu installieren.
Die Sicherung und Überwachung von Azure AD, selbst für Unternehmen, die Azure AD nur als Nebenprodukt der Implementierung von Microsoft 365 nutzen, ist zu einem wichtigen Bestandteil der Aufrechterhaltung des Geschäftsbetriebs geworden. Genauso wie der Schutz von AD die Erkennung nicht autorisierter Änderungen und die Beseitigung von Fehlkonfigurationen und Schwachstellen beinhaltet, gilt dies auch für Azure AD.
Um Unternehmen bei der Bewältigung dieser Herausforderungen zu unterstützen, haben wir unsere LösungDirectory Services Protector ( DSP) mit neuen Bedrohungsindikatoren aktualisiert, die speziell für die Bewertung der Sicherheitslage von Azure AD entwickelt wurden. In Kombination mit den Bedrohungsindikatoren für Active Directory von DSPermöglichen die neuen Funktionen Unternehmen, Identitäten in ihren lokalen und Cloud-Umgebungen zu schützen.
Jeder Kunde ist dafür verantwortlich, die Sicherheitskontrollen von Azure AD so einzustellen und anzupassen, dass sie für sein Unternehmen sinnvoll sind. Da Azure AD den sicheren Zugriff auf interne Ressourcen sowie auf Microsoft 365 und zahllose andere Software-as-a-Service (SaaS)-Anwendungen ermöglicht, kann das Versäumnis, riskante Konfigurationen und nicht genehmigte oder versehentliche Änderungen in Azure AD zu erkennen, das moderne Unternehmen zum Stillstand bringen.
Bei der Einführung von Azure AD-Indikatoren in DSP haben wir Indikatoren priorisiert, die Unternehmen dabei helfen, einige der häufigsten Angriffsvektoren zu bekämpfen, die Bedrohungsakteure nutzen, um sich Zugang zur AD-Umgebung zu verschaffen, was zu einer Eskalation der Privilegien und schließlich zum Einsatz von Malware führen kann. Hier finden Sie eine Übersicht über die Azure AD-Sicherheitsindikatoren in DSP und warum es wichtig ist, sie zu verfolgen, um Ihre Azure AD-Sicherheitslage zu verbessern.
1. Die Verwaltungseinheiten werden nicht verwendet
In Azure AD sind Verwaltungseinheiten eine Ressource, die Benutzer, Gruppen oder Geräte enthalten kann. Sie können verwendet werden, um die Berechtigungen in einer Rolle auf einen beliebigen Teil der Organisation zu beschränken, z. B. eine bestimmte Geschäftseinheit oder eine Region. Angreifer, die ein Administratorkonto kompromittieren, könnten weitreichenden Zugriff auf alle Ressourcen haben. Mithilfe von Verwaltungseinheiten können Sie daher die Reichweite bestimmter Administratoren einschränken und sicherstellen, dass eine einzelne Kompromittierung von Anmeldeinformationen begrenzt ist und nicht die gesamte Umgebung betrifft.
2. Azure-Anwendungsregistrierung mit Lesezugriff
Siehe #4.
3. Azure-Anwendungsregistrierung gewährt Schreibzugriff
Siehe #4.
4. Azure-Anwendungsregistrierungen hinzugefügt oder entfernt
Wenn diese Azure-Anwendungsregistrierungsindikatoren ausgeführt werden, prüfen sie, ob diese Berechtigungen innerhalb der letzten sieben Tage gewährt (oder entzogen) wurden. Auch wenn diese Aktionen nicht immer ein Sicherheitsproblem darstellen, kann eine böswillige oder falsch konfigurierte Anwendung zur Offenlegung von Daten oder zur Gefährdung eines Azure-Mandanten führen.
5. Prüfen Sie, ob die Gäste die Erlaubnis haben, andere Gäste einzuladen
Gastbenutzer sollten nicht in der Lage sein, andere Gäste zum Zugriff auf Ihre Cloud-Ressourcen einzuladen. Diese Befugnis sollte auf Administratoren beschränkt sein, um eine strenge Kontrolle zu gewährleisten. DSP überprüft, ob diese Einstellung richtig konfiguriert ist.
6. Prüfen Sie auf riskante API-Berechtigungen, die den Principals der Anwendungsdienste gewährt wurden
Ein Dienstprinzipalobjekt wird erstellt, wenn eine Anwendung die Erlaubnis zum Zugriff auf Ressourcen erhält. Wenn ein Anwendungsadministrator übermäßig viele Privilegien hat, könnte dies Tür und Tor für bösartige Aktivitäten öffnen.
7. Prüfen Sie, ob die Legacy-Authentifizierung erlaubt ist
Azure AD unterstützt verschiedene Authentifizierungsprotokolle. Leider unterstützen ältere Authentifizierungsmethoden möglicherweise keine Multifaktor-Authentifizierung (MFA), eine wichtige Komponente für den Schutz von Konten. Wenn Sie die Legacy-Authentifizierung zulassen, erhöht sich das Risiko, dass sich ein Angreifer mit zuvor kompromittierten Anmeldedaten anmeldet.
8. MFA ist nicht für privilegierte Konten konfiguriert
MFA ist wichtig, um Konten vor dem Diebstahl von Zugangsdaten zu schützen. Bei privilegierten Konten ist MFA sogar noch wichtiger, und DSP gibt eine Warnung aus, wenn die Funktion nicht aktiviert ist.
9. Privilegierte Gruppe enthält Gastkonto
Die Anzahl der privilegierten Konten sollte nach dem Prinzip der geringsten Privilegien begrenzt werden. Das Vorhandensein eines Gastkontos in einer privilegierten Gruppe könnte ein Anzeichen für übermäßige Berechtigungen oder eine Kompromittierung durch einen Angreifer sein.
10. Sicherheitsvorgaben nicht aktiviert
Sicherheitsvorgaben, wie z.B. das Blockieren von Legacy-Authentifizierungsprotokollen und das Erfordern von MFA für Administratoren, bieten eine wichtige Schutzebene für Azure AD. Sicherheitsvorgaben sollten für Mandanten verwendet werden, für die keine Richtlinien für bedingten Zugriff konfiguriert sind. Diese Einstellung benachrichtigt Organisationen, wenn diese Standardeinstellungen nicht in Kraft sind.
11. Uneingeschränkte Zustimmung der Benutzer erlaubt
Dieser Indikator prüft, ob Benutzer Anwendungen von ungeprüften Herausgebern hinzufügen dürfen. Diese Einstellung kann ein zusätzliches Risiko darstellen, da diese Anwendungen aufdringliche oder riskante Aktionen durchführen könnten.
12. Azure AD privilegierte Benutzer, die auch in AD privilegiert sind
Dieser Indikator prüft auf privilegierte Benutzer in Azure AD, die auch im lokalen AD privilegiert sind. Die Kompromittierung eines Kontos, das sowohl in AD als auch in Azure AD privilegiert ist, kann dazu führen, dass beide Umgebungen gefährdet sind.
13. Nicht-Administrator-Benutzer können benutzerdefinierte Anwendungen registrieren
Dieser Indikator prüft das Vorhandensein einer Autorisierungsrichtlinie, die es Nicht-Administratoren ermöglicht, Kundenanwendungen zu registrieren. Wenn Nicht-Administrator-Benutzer benutzerdefinierte Unternehmensanwendungen registrieren dürfen, könnten Angreifer dieses Schlupfloch nutzen, um schädliche Anwendungen zu registrieren, die sie dann nutzen können, um zusätzliche Berechtigungen zu erhalten.
Absicherung einer hybriden Identitätsumgebung
Da sich die Bedrohungsrisiken ändern, sollten sich auch die Sicherheitsstrategien entsprechend anpassen. Riskante Änderungen an Azure AD - ob sie nun auf einen Cyberangriff oder einen Unfall zurückzuführen sind - können zu erheblichen Ausfallzeiten und Geschäftsunterbrechungen führen. Unternehmen benötigen einen Ansatz für das hybride Identitätsmanagement, der ihre gesamte Umgebung umfasst. Dazu müssen nicht nur Richtlinienverstöße und Fehlkonfigurationen erkannt, sondern auch Änderungen nachverfolgt und mit Aktivitäten vor Ort und in der Cloud korreliert werden. Mit Bedrohungsindikatoren, die auf einem Risikoverständnis basieren, können Unternehmen Probleme proaktiv bekämpfen, bevor sie entstehen.
