Michele Crockett

Neue EMA-Studie zeigt den Anstieg von Active Directory-Angriffen

Active Directory ist in letzter Zeit in aller Munde - aber nicht auf eine gute Art. AD ist nach wie vor ein Hauptziel für Cyberkriminelle: Zu den jüngsten Beispielen gehören AD-bezogene Angriffe auf die Sinclair Broadcast Group, den Kamerahersteller Olympus und eine Nokia-Tochtergesellschaft.

Ein neuer Bericht von Enterprise Management Associates (EMA) - "The Rise of Active Directory Exploits: Is It Time to Sound the Alarm?" - untersucht die Auswirkungen von AD-Sicherheitslücken auf Unternehmen und wie sie darauf reagieren. Ein wichtiges Ergebnis, das den Grad der Besorgnis über AD-Sicherheitsbedrohungen verdeutlicht: 86% der befragten Unternehmen gaben an, dass sie planen, ihre Investitionen in den AD-Schutz zu erhöhen. Die sprunghaft ansteigende Zahl der öffentlich bekannt gewordenen Angriffe auf AD hat das Bewusstsein für AD als Angriffsvektor geschärft.

Verwandte Lektüre

Wie EMA-Analystin Paula Musich in dem Bericht feststellte, ist ein Angriff auf AD für Bedrohungsakteure das Mittel zum Zweck. Angreifer nutzen AD, um in die Netzwerke von Unternehmen einzudringen und sich dann durch das kompromittierte Informationssystem zu bewegen, um Zugang zu wertvollen Ressourcen zu erhalten. Bei der jüngsten Reihe von Golden-Ticket-Angriffen, einschließlich des Golden-SAML-Angriffs auf SolarWinds, erstellten die Angreifer gefälschte Benutzeranmeldedaten, gaben sich als echte Benutzer aus und umgingen die Zwei-Faktor-Authentifizierung. Im Fall von SolarWinds haben die Angreifer ihre Privilegien erweitert, indem sie unberechtigte Zugriffe in AD-Zugriffskontrolllisten ausnutzten. Auf diese Weise konnten sie sich seitlich in den Netzwerken der Opfer bewegen - unter dem Deckmantel dieser gestohlenen erhöhten Berechtigungsstufen - und auf sensible Daten zugreifen und diese exfiltrieren. Angriffe wie diese veranlassen Unternehmen dazu, die Sicherheit von AD zu verdoppeln.

Obwohl AD-Angriffe im letzten Jahr sowohl an Schwere als auch an Kosten zugenommen haben, sind sie nicht neu. Sicherheitsforscher identifizierten Golden-Ticket-Exploits erstmals 2017, und Angreifer haben AD schon seit Jahren im Visier, in der Hoffnung, sich Zugang zu hochwertigen Unternehmensressourcen zu verschaffen. AD ist ein interessantes Ziel, da es der primäre Identitätsspeicher ist, der zur Authentifizierung von Benutzern und zur Gewährung des Zugriffs auf die Daten von Unternehmen verwendet wird - einschließlich sehr wertvoller Kundendaten.

Wie Unternehmen auf Active Directory-Bedrohungen reagieren

Um die wachsende Zahl lähmender Angriffe auf AD besser zu verstehen, befragte EMA 250 IT-Fachleute und Führungskräfte dazu, wie ihre Unternehmen auf das wachsende Risiko reagieren und wie sich ihre Prioritäten bei der AD-Sicherheit ändern. Musich stellte die wichtigsten Ergebnisse des EMA-Berichts in dem Web-Seminar "The Rise of Active Directory Exploits: How Enterprises Are Responding to an Increasingly Virulent Threat". Die wichtigsten Erkenntnisse zeichnen ein alarmierendes Bild davon, wie sich AD-Sicherheitsschwächen auf die allgemeine Sicherheitslage von Unternehmen auswirken.

1. 50% der Unternehmen haben in den letzten 1-2 Jahren einen Angriff auf Active Directory erlebt.

Angesichts der zunehmenden Verbreitung von AD-Angriffen ist es überraschend, dass nur 50 % der Befragten angaben, dass ihr AD-System in den letzten ein bis zwei Jahren angegriffen worden ist. Nach Microsofts eigenen Angaben werden täglich 95 Millionen AD-Konten Ziel von Cyberangriffen.

Musich wies darauf hin, dass ein erheblicher Teil dieser Angriffe unbemerkt geblieben sein könnte: 25 % der Befragten gaben an, dass die Entdeckung aktueller Angriffe die größte Herausforderung für die AD-Sicherheit darstellt. Dieser deutliche Mangel an Sichtbarkeit und die hohe Rate an AD-Angriffen legen nahe, dass Unternehmen möglicherweise heimliche Angreifer übersehen, die ihre Spuren erfolgreich verwischt haben. (Guido Grillenmeier, Chief Technologist bei Semperis, hat in "How to Defend Active Directory Attacks That Leave No Trace" darüber geschrieben, wie einige Bedrohungen Protokollierungslösungen umgehen können). Es ist auch möglich, dass einige Sicherheitsexperten nicht wissen, dass AD häufig eine Rolle bei Ransomware-Angriffen spielt.

2. Mehr als 40% der Angriffe auf Active Directory waren erfolgreich.

Bedrohungsexperten von Mandiant schätzen, dass 90 % der Vorfälle, die sie bei ihren Kunden bearbeiten, in irgendeiner Form AD betreffen. In einigen Fällen ist AD der ursprüngliche Angriffsvektor, in anderen Fällen wird AD von Cyberkriminellen ausgenutzt, um sich für einen längeren Zeitraum im Netzwerk einzunisten oder Berechtigungen zu erlangen. Durch diese Erkenntnis wird die hohe Erfolgsquote von AD-Angriffen besonders alarmierend.

3. Penetrationstester haben in 82% der Fälle erfolgreich Sicherheitslücken in Active Directory ausgenutzt.

Obwohl IT-Operations- und Security-Operations-Teams die primären Gruppen sind, die mit der Durchführung von Bewertungen beauftragt sind, wird ihre Arbeit manchmal durch Bewertungen unterstützt, die von internen Red Teams oder Pen-Testing-Teams durchgeführt werden. Für die 29% der befragten Unternehmen, die interne Red-Team-Übungen oder Penetrationstests gegen AD durchführen, ist der Versuch, AD-Schwachstellen auszunutzen, ein üblicher Teil des Programms. Bei Unternehmen, die AD-Exploit-Tests durchführen, ist die Erfolgsquote mit 82 % erstaunlich hoch.

Angesichts der umfangreichen Fachkenntnisse, die erforderlich sind, um Schwachstellen zu finden und die Arten von Fehlern zu verstehen, die zu solchen Gefährdungen führen können, verfügen viele Unternehmen nicht über die Ressourcen, um AD-Bewertungen regelmäßig durchzuführen. Außerdem bieten automatisierte Penetrationstests nur begrenzte Möglichkeiten zur Aufrechterhaltung einer guten AD-Sicherheitslage. Selbst mit dem vorhandenen Fachwissen ist die Behebung von Sicherheitslücken und Schwachstellen aufgrund der komplexen Struktur von AD immer noch ein mühsamer Prozess. Faktoren wie die mangelnde Sichtbarkeit von AD-Schwachstellen und die Notwendigkeit, die Schwachstellen zu untersuchen, stellten für 38 % bzw. 37 % der Befragten eine Herausforderung dar.

4. 86% der Unternehmen planen, mehr in den Schutz von Active Directory zu investieren.

Angesichts der wachsenden Zahl von Schlagzeilen über AD-Angriffe ist es keine Überraschung, dass Sicherheitsteams AD-Sicherheit ganz oben auf die Prioritätenliste setzen. Der Anstieg der AD-Angriffe veranlasste den größten Prozentsatz der Unternehmen, eine Erhöhung der Ausgaben für die Sicherheit zu planen, aber auch andere Themen treiben diese Entscheidungen voran. Die Pandemie verursachte zwei wichtige, miteinander verbundene Veränderungen in der IT: die Notwendigkeit, umfangreiche Remote- oder Heimarbeitsplätze zu unterstützen, und beschleunigte Pläne zur Cloud-Migration.

Kein Ende der AD-Angriffe in Sicht

Auch wenn Microsoft weiterhin Sicherheitsupdates für AD bereitstellt, wird nichts AD-Angriffe verhindern, wie die wachsende Zahl von Vorfällen zeigt. Um ihre Unternehmen vor den heutigen Bedrohungen zu schützen, müssen Sicherheitsteams die AD-Angriffsfläche besser durchschauen und einen getesteten Plan haben, wie sie reagieren können, wenn ein aktiver Angriff entdeckt wird.

Darüber hinaus sind Audits nach wie vor eine wichtige Methode zur Identifizierung und Absicherung von Schwachstellen, aber sie sind nicht das einzige Instrument, das Sicherheitsteams einsetzen können oder sollten, insbesondere, da es sich um Momentaufnahmen handelt. Heute können neue Tools Muster bösartiger Aktivitäten in Echtzeit erkennen, wenn Angreifer versuchen, sich Zugang zu privilegierten Konten zu verschaffen und Hintertüren zu schaffen. Das kürzlich von Semperis, Purple Knight ist ein kostenloses AD-Sicherheitsbewertungstool, das die AD-Umgebung eines Unternehmens abfragt und eine umfassende Reihe von Tests gegen die häufigsten und effektivsten Angriffsvektoren durchführt, um riskante Konfigurationen und Sicherheitsschwachstellen aufzudecken. Semperis bietet außerdem die branchenweit umfassendste Plattform zur Erkennung von und Reaktion auf hybride AD-Bedrohungen, Directory Services Protector.

Wenn Sie mehr darüber erfahren möchten, wie Unternehmen ihre Prioritäten verschieben, um der wachsenden Bedrohung durch AD-Sicherheitslücken zu begegnen, laden Sie den vollständigen EMA-Bericht hier herunter.