Aus meiner Erfahrung im Microsoft Detection and Response Team (DART) weiß ich, dass Ransomware-Betreiber fast immer auf Benutzerkonten mit hohen Berechtigungen abzielen. Sobald Angreifer die Kontrolle erlangt haben, nutzen sie diese Konten, um Ransomware zu verbreiten, beispielsweise über Policy oder PsExec. Ransomware-Angriffe sind in der Regel lautstark und zerstörerisch und zielen darauf ab, in kürzester Zeit maximale Wirkung zu erzielen. Deshalb ist es wichtig, nach einem Angriff nicht nur die Identitätssysteme wiederherzustellen, sondern auch sicherzustellen, dass die Umgebung wieder vertrauenswürdig ist, um Folgeangriffe zu verhindern.
Incident response IR) konzentriert sich traditionell auf die Bedrohungssuche und forensische Analyse, um zu verstehen, wie ein Angriff ablief, kompromittierte Konten und Rechner zu identifizieren, Malware zu analysieren und die Aktivitäten des Angreifers nachzuverfolgen. Wenn jedoch Identitätssysteme wie Active Directory (AD) und Entra ID kompromittiert werden, reichen herkömmliche Ermittlungsmaßnahmen nicht aus. Um das Risiko zu verringern, dass Angreifer erneut Zugriff erlangen, sind Eindämmung, identitätsspezifische Forensik und sichere Wiederherstellung ebenso entscheidend. Hier zeichnet sich Identity Forensics Incident Response IFIR) aus.
Was ist IFIR?
IFIR legt den Schwerpunkt auf die Widerstandsfähigkeit von Identitätssystemen, indem es die Angriffsfläche verringert und Sicherheitsbedrohungen vor, während und nach einem Angriff beseitigt. Unser Ansatz umfasst die Aufspürung von AD-Hintertüren und Fehlkonfigurationen, die Angreifer ausnutzen können, um in eine Zielumgebung einzudringen oder erneut Zugang zu erlangen: ACL-basierte Persistenz, SID-History-Injection, Malware in SYSVOL, Missbrauch der Kerberos-Delegierung, Policy , ADCS- und PKI-bezogene Hintertüren und vieles mehr.
Im Zeitalter der Ransomware erweitern sich incident response . Matt Zorich, ein IR-Experte, schrieb in einem Tweet, dass Incident Response traditionelle digitale Forensik und Incident Response DFIR) mittlerweile auch Maßnahmen zur Eindämmung und Wiederherstellung umfasst, und betonte, dass diese Schritte ebenso wichtig sind wie die Untersuchung selbst (Abbildung 1). Dieser Wandel setzt sich in der Branche zunehmend durch. Von Incident-Response-Experten wird nicht mehr nur erwartet, dass sie den Vorfall aufklären, sondern auch, dass sie bei der Eindämmung und Wiederherstellung mitwirken.
Da Angreifer es auf Identitätssysteme wie Active Directory und Entra ID abgesehen haben, reicht eine Untersuchung allein nicht aus. Unternehmen brauchen eine Möglichkeit, ihre Identitätsumgebung mit Zuversicht wiederherzustellen, und genau hier kommt Semperis ins Spiel.
Die Wiederherstellung von Domain Controllern (DCs) nach einem Angriff ist nur ein Teil der Gleichung. Die eigentliche Herausforderung besteht darin, sicherzustellen, dass die Identitätssysteme sicher und widerstandsfähig bleiben, um Folgeangriffe zu vermeiden. Unser IFIR-Team ist nicht nur auf die Eindämmung und Wiederherstellung spezialisiert, sondern auch auf die Säuberung der Umgebung von Breadcrumbs, die die Angreifer hinterlassen haben, und auf die proaktive Identifizierung schwacher Konfigurationen in AD - so wird die Verteidigung gestärkt und das Risiko künftiger identitätsbasierter Angriffe verringert(Abbildung 2).
Viele Unternehmen arbeiten mit einem hybriden Identitätsmodell, bei dem AD vor Ort eng mit Cloud-basierten Identitätsanbietern (IdPs) wie Entra ID integriert ist. Diese Konfiguration ermöglicht eine nahtlose Authentifizierung und den Zugriff auf SaaS-Anwendungen wie Office 365, Salesforce und Zoom, aber sie vergrößert auch die Angriffsfläche. Eine Kompromittierung von AD hat nicht nur Auswirkungen auf On-Premise-Systeme, sondern kann sich auch direkt auf die Cloud-Sicherheit auswirken, so dass IFIR-Funktionen so früh wie möglich eingesetzt werden sollten.
IFIR konzentriert sich nicht nur auf die Wiederherstellung von AD. Semperis untersucht Entra ID auch auf Schwachstellen und Persistenzmechanismen, die Angreifer nutzen könnten, um langfristig die Kontrolle über Cloud-Identitäten zu behalten. Angreifer, die sich Zugang zu On-Prem-AD verschaffen, können ihre Position in der Cloud ausweiten, was die Sicherheit hybrider Identitäten zu einem wichtigen Thema macht (Abbildung 3).
Abbildung 3 veranschaulicht die Komplexität der Identitätsarchitektur von Unternehmen, in der mehrere Systeme wie On-Premise-Datenbanken, Cloud IdPs und SaaS-Anwendungen miteinander verbunden sind. Wenn Angreifer AD kompromittieren, können sie in Cloud-Umgebungen eindringen, Privilegien ausweiten oder Persistenz herstellen.
Brownfield-Bereitstellung vs. Greenfield-Bereitstellung
Bei einer Active Directory-Einführung auf der grünen Wiese wird mit einer brandneuen AD-Umgebung begonnen. In der Theorie klingt dieser Ansatz nach einer größeren Kompromittierung ideal, da er alle verbleibenden Bedrohungen aus der alten Umgebung entfernt. Aber in einem Unternehmen ist eine Wiederherstellung auf der grünen Wiese selten praktikabel.
Eine Brownfield-Bereitstellung stellt die bestehende AD-Umgebung wieder her und sichert sie, anstatt sie von Grund auf neu aufzubauen. Eine vollständige Wiederherstellung auf der grünen Wiese erfordert die Migration von Benutzern, die Neukonfiguration von Anwendungen und die Sicherstellung einer ordnungsgemäßen Integration, was einen enormen Aufwand darstellt, der kostspielig und störend sein kann. Eine Brownfield-Wiederherstellung hingegen konzentriert sich auf die Beseitigung von Bedrohungen und die Stärkung der Sicherheit, während der Geschäftsbetrieb weiterläuft.
Identity Forensics Incident Response eine entscheidende Rolle. Eine Wiederherstellung des Active Directory, ohne Fehlkonfigurationen, Hintertüren und andere Sicherheitslücken gründlich zu identifizieren und zu beheben, kann Unternehmen anfällig für erneute Infektionen machen.
Obwohl in extremen Fällen ein Neuaufbau auf der grünen Wiese notwendig sein kann, ist eine Wiederherstellung auf der braunen Wiese oft die beste Balance zwischen Sicherheit, Kosten und Geschäftskontinuität. Mit IFIR können Unternehmen AD wiederherstellen und sichern und gleichzeitig das Risiko einer erneuten Kompromittierung verringern, indem sie Fehlkonfigurationen und Schwachstellen identifizieren und beseitigen, bevor sie die Systeme wieder in Betrieb nehmen.
Holen Sie sich Hilfe von den IFIR-Experten
Im Rahmen incident response ziehen Unternehmen häufig DFIR-Spezialisten hinzu, um die Geschehnisse zu untersuchen. Die Untersuchung ist jedoch nur ein Teil des Ganzen. Die Wiederherstellung und Eindämmung sind ebenso wichtig. Die sichere Wiederherstellung des Betriebs und die Minimierung des Risikos, dass Angreifer erneut Zugriff erlangen, erfordern andere Kompetenzen.
Das IFIR-Team von Semperis macht den Unterschied. Wir sind auf die Wiederherstellung von Active Directory und Entra ID spezialisiert und sorgen dafür, dass Ihre Identitätssysteme sicher wieder online gehen können. Ganz gleich, ob Sie eine aktive Bedrohung eindämmen, unsichere Konfigurationen entfernen, einen Notfallwiederherstellungsplan entwickeln oder Ihre Identitätssicherheit insgesamt stärken müssen - wir sind für Sie da.
Semperis kann auch mit dem von Ihnen bevorzugten DFIR-Team zusammenarbeiten und das spezielle Fachwissen zur Wiederherstellung von Identitäten bereitstellen, das für die vollständige Sicherung Ihrer Umgebung erforderlich ist.
Wenn Ihr Unternehmen mit einem identitätsbezogenen Vorfall konfrontiert ist, wenden Sie sich an unser IFIR-Team, um eine sichere und zuverlässige Wiederherstellung zu gewährleisten.
Erfahren Sie mehr über die Dienstleistungen von Semperis IFIR
