Die Feiertage sind eine geschäftige Zeit für Einkäufer, Einzelhandelsunternehmen - und Cyberkriminelle. Die Cybersecurity and Infrastructure Security Agency (CISA) hat in der Vergangenheit "eine Zunahme von Ransomware-Angriffen mit großer Wirkung an Feiertagen und Wochenenden festgestellt, wenn die Büros normalerweise geschlossen sind" und bezeichnete die Weihnachtseinkaufszeit als "eine hervorragende Gelegenheit für böswillige Akteure, ahnungslose Kunden über gefälschte Websites, bösartige Links und sogar gefälschte Wohltätigkeitsorganisationen auszunutzen." Tipps zur Cybersicherheit für die Feiertage stehen bei allen ganz oben auf der Wunschliste.
Weiterführende Lektüre: Was ist Active Directory Sicherheit?
Die Feiertage sind die perfekte Zeit für Cyberkriminalität
Es macht durchaus Sinn, dass Einzelhandelsunternehmen rund um die Feiertage ins Visier genommen werden, da sie eine Vielzahl von Kreditkartendaten speichern und verarbeiten. Der 2023 Data Breach Investigations Report von Verizon befasst sich mit den Techniken, die Cyberkriminelle einsetzen, um Kreditkartendaten zu stehlen, insbesondere während der Haupteinkaufszeiten wie dem Black Friday und dem Cyber Monday. Zwischen Typosquatting (die Verwendung von falsch geschriebenen Domains, um sich als legitimer Einzelhändler auszugeben), Grinch Bots (automatisierte Programme, die ganze Lagerbestände beliebter Produkte aufkaufen, um sie mit höheren Gewinnspannen weiterzuverkaufen) und Request Bots (die verwendet werden, um Lösungen zur Bot-Abwehr zu umgehen) sind die Feiertage eine Herausforderung für Einzelhändler.
Aber die Bedrohungen gehen weit über den Einzelhandel oder eine bestimmte Zeit des Jahres hinaus. Angreifer bevorzugen das ganze Jahr über Feiertage und Wochenenden, um Ransomware und andere Einbruchsversuche in Netzwerke zu starten. Zu diesen Zeiten sind Sicherheits- und IT-Teams eher überfordert, abgelenkt oder nicht bei der Arbeit, so dass Cyberangreifer eine bessere Chance haben, Ihre Abwehr zu überwinden.
Organisationen, die über die Feiertage geschlossen sind - wie Banken, staatliche und lokale Behörden sowie Schulbezirke und Universitäten - sind vorrangige Ziele. (Von einem solchen Angriffsversuch habe ich kürzlich in einem Interview im HIP-Podcast gehört. Sie können sich die ganze Geschichte hier anhören.)
Nachdem Angreifer in Ihr Netzwerk eingedrungen sind, ist ihr erster Schritt oft die Suche nach dem schnellsten Weg zur Eskalation der Privilegien: Ihre Identitätsinfrastruktur. Cyber-Kriminelle können Active Directory auch nutzen, um Malware zu verbreiten.
Ist Active Directory erst einmal kompromittiert, können Angreifer den Geschäftsbetrieb stören, Daten stehlen und sogar Hintertüren schaffen, um unentdeckt zu bleiben und Bereinigungs- und Wiederherstellungsmaßnahmen zu widerstehen.
Die besten Tipps zur Cybersicherheit für Identitätsinfrastrukturen im Urlaub
Der Aufbau eines effektiven Cybersicherheitskonzepts ist einfacher, wenn Sie Ihre Umgebung aus der Perspektive eines Angreifers betrachten. Und die Rolle von Active Directory als Verzeichnisdienst macht es zu einem häufigen und beliebten Ziel für Angreifer, die ihre Position in einem angegriffenen Netzwerk ausbauen wollen.
Obwohl privilegierte Konten im Fokus von Angreifern stehen, sollten Sie nicht vergessen, dass Nicht-Administrator-Konten fast genauso wertvoll sein können. Ein Benutzerkonto auf Serviceebene mit Zugriffsrechten auf eine sensible Datenbank ist beispielsweise Gold wert.
Jetzt, wo das neue Jahr vor der Tür steht, ist ein guter Zeitpunkt, um Ihren Ansatz für die AD-Sicherheit zu überprüfen. Hier sind drei Tipps, wie Sie es gegen Angriffe abhärten können.
1: Scannen Sie Ihre Active Directory-Umgebung
Unternehmen benötigen eine umfassende Übersicht über ihre Active Directory-Umgebung, einschließlich der Frage, welche Konten über welche Berechtigungen verfügen und wie diese Rechte geschäftlich oder technisch begründet sind. Die Umsetzung einer Strategie, die auf dem Prinzip der geringsten Privilegien basiert, reduziert die Angriffsfläche für Angreifer.
Die Bewertung Ihrer Angriffsfläche für Identitätsdiebstahl, damit Sie potenzielle Schwachstellen und Lücken beseitigen können, ist ein wichtiger erster Schritt. Verwenden Sie für diesen Schritt ein kostenloses, einfaches Tool wie Purple Knight.
Die Überprüfung von Active Directory, um sicherzustellen, dass Gruppen und einzelne Konten auf die Berechtigungen beschränkt sind, die sie für die Erfüllung ihrer Aufgaben benötigen, ist sowohl für die Sicherheit als auch für die Einhaltung gesetzlicher Vorschriften entscheidend. Diese Aussage ist besonders wichtig für Konten mit hohen Berechtigungen, die auf ein Minimum beschränkt werden sollten, um das Risiko zu verringern, dass eines dieser Konten kompromittiert und von Bedrohungsakteuren genutzt wird.
Weitere bewährte Praktiken sind:
- Betrachten Sie jedes Konto, dessen Dienstprinzipalnamen als hoch privilegiert definiert sind.
- Speichern Sie keine Gruppenrichtlinien-Passwörter irgendwo in Ihrer SYSVOL.
- Überarbeiten Sie privilegierte Dienstkonten so, dass sie die geringsten erforderlichen Privilegien verwenden, und ziehen Sie die Nutzung von gruppenverwalteten Dienstkonten in Betracht.
- Verlangen Sie die Verwendung eindeutiger, komplexer Passwörter für Servicekonten.
Möchten Sie Ihre Bewertung auf den nächsten Schritt bringen? Ein kostenloses Tool zur Analyse von Angriffspfaden wie Forest Druid kann Ihnen dabei helfen, potenzielle Pfade in Ihren Tier 0-Perimeter zu finden, so dass Sie übermäßige Privilegien einschränken können.
2: Haben Sie einen Plan zur Wiederherstellung im Notfall
Überlassen Sie Ihre Identitätssicherheit (und damit Ihre betriebliche Widerstandsfähigkeit) nicht dem Zufall. Kennen Sie die Antworten auf diese Fragen:
- Was werden Sie tun, wenn ein Cyberangriff erfolgt?
- Enthält Ihr Disaster-Recovery-Plan spezifische Maßnahmen für die Reaktion auf einen identitätsbasierten Angriff?
- Haben Sie einen speziellen Backup- und Wiederherstellungsplan für Ihr Active Directory?
- Wissen Sie, wie lange die AD-Wiederherstellung dauern wird, und verfügen Sie über die Tools, um den Wiederherstellungsprozess von Active Directory zu automatisieren?
- Wen werden Sie anrufen, wenn Sie Unterstützung benötigen?
Wenn Ihnen die Zeit oder die Teammitglieder fehlen, um sich angemessen auf Cyber-Bedrohungen vorzubereiten, sollten Sie diese Aufgabe auslagern. Semperis zum Beispiel verfügt über ein Team von Active Directory- und Cybersecurity-Experten, die Dienstleistungen zur Vorbereitung auf Sicherheitsverletzungen und zur Reaktion darauf anbieten, von der Bewertung Ihrer AD-Infrastruktur über die AD-Wiederherstellungsplanung und -tests bis hin zur Reaktion auf Vorfälle und zur Angriffsforensik.
3: Erkennen Sie verdächtige Aktivitäten in Active Directory
So unauffällig Angreifer auch sein mögen, sie hinterlassen oft Spuren ihres Verhaltens. Die Fähigkeit, potenziell verdächtige Aktivitäten, wie z.B. Änderungen von Berechtigungen für das AdminSDHolder-Objekt, und Fehlkonfigurationen, wie z.B. nicht standardmäßige Prinzipale mit DC Sync-Rechten in der Domäne, zu erkennen, ist ein wichtiger Aspekt der Active Directory-Sicherheit.
Aus diesem Grund sollten Unternehmen Active Directory kontinuierlich überwachen und regelmäßige Sicherheitsbewertungen durchführen. Nach einem Einbruch ist es nicht ungewöhnlich, dass Bedrohungsakteure das AD auf verschiedene Weise verändern, damit sie weiter bestehen können. Änderungen der Gruppenmitgliedschaft, das plötzliche Auftauchen eines neuen Administratorkontos und ähnliche Hinweise sind Anzeichen dafür, dass etwas nicht stimmt.
Sicherheitsbewertungstools wie Purple Knight und andere bieten Sicherheitsexperten die Möglichkeit, Schwachstellen in der AD-Infrastruktur ihres Unternehmens zu identifizieren und zu beseitigen, bevor Angreifer sie zum erneuten Einbruch nutzen können. Noch besser ist, dass Tools wie Directory Services Protector es Ihnen ermöglichen, verdächtige Änderungen automatisch rückgängig zu machen.
Härten Sie Active Directory für fröhlichere Feiertage
Es ist nicht nur die Zeit des Gebens, sondern auch des Nehmens: Ihre Daten, die Daten Ihrer Kunden und Ihr Seelenfrieden. Lassen Sie nicht zu, dass Cyberangreifer Ihnen das neue Jahr oder andere Feiertage verderben. Indem Sie AD gegen Angriffe abhärten, können Sie eine stärkere Barriere zwischen Angreifern und ihren Zielen errichten.
