- So automatisieren Sie die Wiederherstellung von Multi-Forest AD in einer Stunde oder weniger
- Wie man Angriffe erkennt, die SIEM und herkömmliche Tools umgehen
- So erhalten Sie Einblick in Angriffe aus dem AD
- Wie Sie Fehlkonfigurationen und Schwachstellen in Legacy AD aufdecken
- Wie Sie erkannte Bedrohungen automatisch beseitigen
- Warum ITDR-Lösungen vor, während und nach einer Attacke schützen müssen
Es hat sich herumgesprochen, dass Identitätssysteme - und insbesondere Active Directory - Hauptziele für Cyberangriffe sind. Als Unternehmen, das Pionierarbeit für Lösungen zum Schutz und zur Wiederherstellung von Active Directory vor Cyberangriffen geleistet hat, waren wir erfreut zu sehen, dass mehrere Forschungsunternehmen vor kurzem die Wichtigkeit von AD-spezifischen Cybersicherheitslösungen bestätigt haben. Gartner hat nicht nur die Verteidigung von Identitätssystemen als einen der Top-Trends im Bereich Cybersicherheit für 2022 genannt, sondern auch eine völlig neue Kategorie geschaffen - Identity Threat Detection and Response (ITDR) - und Semperis als Beispiel für einen Anbieter von ITDR-Lösungen genannt.
Aus unserer Arbeit an vorderster Front, bei der wir Unternehmen dabei helfen, Cyberkatastrophen zu verhindern, zu beheben und sich davon zu erholen, wissen wir jedoch, dass eine wirksame ITDR-Sicherheitsstrategie mehr umfasst als das Abhaken der Kästchen der Forschungsunternehmen. Auf dem jüngsten Gartner Identity & Access Management Summit in Las Vegas haben wir die Teilnehmer nach ihren wichtigsten Kriterien für die Bewertung von ITDR-Lösungen befragt.
Wichtigste Erkenntnis: Unternehmen sind auf der Suche nach ITDR-Lösungen, die den gesamten Angriffslebenszyklus abdecken - vor, während und nach einem Angriff - undspeziell für AD und Azure AD Schutz bieten. Wie Gartner und andere Analystenfirmen festgestellt haben, benötigen Unternehmen AD-spezifische Sicherheits- und Wiederherstellungslösungen, um ihre hybriden AD-Umgebungen angemessen zu schützen.
Als Vorschau auf unseren in Kürze erscheinenden vollständigen Bericht über diese Ergebnisse finden Sie hier die wichtigsten ITDR-Funktionen, nach denen Unternehmen suchen, um ihre hybriden AD-Umgebungen zu sichern und wiederherzustellen, sowie einige Kommentare von Darren Mar-Elia, VP of Products bei Semperis. (Schauen Sie sich das Video unten an, um seine Zusammenfassung der ITDR-Bewertungskriterien zu sehen, die wir von den Teilnehmern des Gartner IAM Summit gesammelt haben).
Verwandte Lektüre
Im Folgenden haben wir die fünf wichtigsten ITDR-Ergebnisse im Detail aufgeschlüsselt:
- Automatisierte, Malware-freie Wiederherstellung von AD in mehreren Wäldern in einer Stunde oder weniger
- Erkennung von Angriffen, die SIEM und andere traditionelle Tools umgehen
- Sichtbarkeit von Angriffen, die von On-Prem AD auf Azure AD übergehen
- Fähigkeit, Fehlkonfigurationen und Schwachstellen in bestehenden AD-Umgebungen aufzudecken
- Automatische Beseitigung von erkannten Bedrohungen
1. Automatisierte, Malware-freie Multi-Forest AD-Wiederherstellung in einer Stunde oder weniger
Die "Reaktionskomponente" von ITDR ist für die von uns befragten Unternehmen von großer Bedeutung, da die meisten Führungskräfte und ihre Sicherheits- und IT-Teams wissen, dass kein Unternehmen die Möglichkeit eines Cyberangriffs ausschließen kann. Die Befragten äußerten sich pessimistisch über ihre Fähigkeit, AD von einem Cyberangriff zu erholen: 77% der Unternehmen gaben an, dass sie im Falle eines Cyberangriffs entweder eine schwerwiegende Auswirkung erleben würden - was bedeutet, dass sie eine allgemeine Lösung für die Wiederherstellung im Notfall haben, aber keine spezielle Unterstützung für AD - oder eine katastrophale Auswirkung - was bedeutet, dass sie eine manuelle Wiederherstellung unter Verwendung ihrer Backups durchführen müssten, was Tage oder Wochen dauern würde. Der Verlust von Geschäftseinnahmen, der Rufschädigung und - im Falle von Gesundheitseinrichtungen - der Gesundheit und Sicherheit der Patienten durch eine langwierige Wiederherstellung kann ein verheerendes Ereignis sein.
"Unternehmen können alles tun, um einen Ransomware-Angriff zu verhindern, aber am Ende des Tages ist es immer noch möglich, kompromittiert zu werden", sagt Darren Mar-Elia, VP of Products bei Semperis. "Und Sie brauchen eine Lösung, die Sie so schnell wie möglich in einen bekannten guten Zustand zurückbringt."
2. Erkennung von Angriffen, die SIEM und andere traditionelle Tools umgehen
Angesichts des wachsenden Bewusstseins, dass Cyberkriminelle ständig neue Taktiken, Techniken und Verfahren (TTPs) für Angriffe auf Identitätssysteme entwickeln, nannten die Umfrageteilnehmer das Versagen bei der Erkennung von Angriffen, die herkömmliche Überwachungstools umgehen, als größte allgemeine Sorge beim Schutz von AD. Die Besorgnis ist gerechtfertigt: Viele Angriffe, die AD erfolgreich ausnutzen, umgehen protokoll- oder ereignisbasierte Produkte wie SIEM-Systeme (Security Incident Event Management). Unternehmen benötigen Lösungen, die mehrere Datenquellen - einschließlich des AD-Replikationsstroms - nutzen, um fortgeschrittene Angriffe zu erkennen.
3. Sichtbarkeit von Angriffen, die von On-Prem AD auf Azure AD übergehen
Da immer mehr Unternehmen hybride Cloud-Umgebungen einführen, ist die Erkennung von Angriffen, die vom lokalen AD auf Azure AD übergehen - oder umgekehrt, wie bei dem Angriff von SolarWinds - für viele Unternehmen zu einem der wichtigsten Anliegen geworden. Die Vorhersage von Gartner, dass nur 3 % der Unternehmen bis 2025 vollständig von einem lokalen Active Directory (AD) zu einem Cloud-basierten Identitätsdienst migrieren werden, wird dadurch bestätigt, dass 80 % der Befragten in unserer Umfrage angaben, dass sie entweder ein lokales Active Directory verwenden, das mit Azure AD synchronisiert ist, oder dass sie mehrere verschiedene Identitätssysteme verwenden, einschließlich AD und/oder Azure AD.
Der Schutz dieser hybriden AD-Systeme hat jedoch oberste Priorität: Die Umfrageteilnehmer gaben an, dass die wichtigste Fähigkeit zur Verhinderung von Angriffen in ihren Unternehmen die kontinuierliche Überwachung auf AD- und Azure AD-Schwachstellen und riskante Konfigurationen ist. Nur ein Drittel der Befragten gab an, "sehr zuversichtlich" zu sein, dass sie einen AD-Angriff vor Ort verhindern oder beheben können, und nur 27% gaben an, dass sie dasselbe Vertrauen in Bezug auf Azure AD haben.
"Ich vermute, dass wir im Laufe der Zeit mehr vertikale Angriffe sehen werden, die sich von On-Prem AD zu Azure AD bewegen, und bei Semperis konzentrieren wir uns darauf, diese hybriden Angriffspfade sichtbar zu machen", so Mar-Elia.
4. Fähigkeit, Fehlkonfigurationen und Schwachstellen in bestehenden AD-Umgebungen aufzudecken
Es überrascht nicht, dass die Umfrageteilnehmer die Bedeutung einer kontinuierlichen Überwachung auf AD- und Azure AD-Schwachstellen und riskante Konfigurationen so hoch einschätzen. Angesichts der Zahl der Angriffe, die fast täglich AD-Schwachstellen ausnutzen, sind Unternehmen verständlicherweise besorgt, ihre Umgebungen auf Schwachstellen zu überprüfen, die sie für Angreifer anfällig machen könnten.
Benutzer von Purple Knight, dem kostenlosen AD-Sicherheitsbewertungstool von Semperis, sind oft bestürzt über ihr anfängliches niedriges Sicherheitsergebnis. Aber wenn man weiß, wo die Schwachstellen liegen und die Anleitungen der Experten zur Behebung anwendet, erhält man einen Fahrplan zur Verbesserung der Sicherheit.
"Purple Knight hat uns dabei geholfen, sofort Maßnahmen zu ergreifen, wie z.B. das Herunterfahren oder Deaktivieren von Active Directory-Konten, die nicht hätten deaktiviert werden dürfen", sagt Keith Dreyer, CISO von Maple Reinders in Kanada. "Und dann half es uns, einen langfristigen Wartungsplan zu entwickeln.
5. Automatische Beseitigung von erkannten Bedrohungen
Cyberangriffe verlaufen oft blitzschnell, nachdem Angreifer die Malware einschleusen. Daher ist eine automatische Abhilfe entscheidend, um zu verhindern, dass ein Exploit zu erhöhten Zugriffsrechten und einer eventuellen Netzwerkübernahme führt. Bei dem berüchtigten NotPetya-Angriff auf die Containerschiff-Reederei Maersk im Jahr 2017 wurde das gesamte Netzwerk des Unternehmens innerhalb weniger Minuten infiziert.
Die Umfrageteilnehmer gaben an, dass die automatische Beseitigung bösartiger Änderungen, um sich schnell ausbreitende Angriffe zu stoppen, die wichtigste Beseitigungsfunktion ist, gefolgt von der Verfolgung und Korrelation von Änderungen zwischen On-Prem AD und Azure AD.
ITDR-Lösungen müssen hybride Identitätssysteme vor, während und nach einem Angriff schützen
Die Tatsache, dass Gartner eine eigene Kategorie von Lösungen für die Verteidigung von Identitätssystemen geschaffen hat, ist ein Beleg dafür, dass Active Directory immer mehr zum Hauptziel von Cyberkriminellen wird - in 9 von 10 Fällen wird es für Cyberangriffe missbraucht. Aus unseren Umfrageergebnissen und Gesprächen mit Kunden wissen wir, dass Unternehmen über die Herausforderungen beim Schutz hybrider Identitätsumgebungen während des gesamten Angriffslebenszyklus besorgt sind. Wenn Sie ITDR-Lösungen evaluieren, sollten Sie der Prävention, Erkennung, automatischen Behebung und Wiederherstellung von AD-basierten Cyberangriffen Priorität einräumen.
Abonnieren Sie unseren Blog, um mehr über die neue Kategorie Identity Threat Detection and Response zu erfahren und darüber, wie Sie eine mehrschichtige Verteidigungsstrategie für Identitätssysteme aufbauen können.