Mickey Bresman CEO, Semperis

Cyberangriffe werden immer ausgefeilter und umfangreicher. Die Grenzen zwischen der digitalen und der physischen Welt verschwimmen immer mehr. Ausländische Cyberangreifer haben zerstörerische Malware eingesetzt, um Daten von Festplatten zu löschen, und haben versucht, in industrielle Systeme einzudringen. In Anbetracht der jüngsten politischen Ereignisse und verbalen Drohungen könnten sie in Zukunft ähnlich schädliche Aktionen durchführen.

Jeder, der für die Cyber-Bereitschaft eines Unternehmens verantwortlich ist, befindet sich gerade in einer wichtigen Lage. Das Sprichwort "Die beste Verteidigung ist eine gute Offensive" trifft hier nicht zu. In diesem Fall ist die beste Verteidigung eine gute Verteidigung.

In der Praxis müssen Sie sowohl einen Plan für die Reaktion auf Zwischenfälle (IR) als auch einen Plan für die Aufrechterhaltung des Geschäftsbetriebs (BCP) bereithalten und testen. Sie müssen nicht nur Risiken identifizieren und versuchen, sich mit Methoden wie der Multifaktor-Authentifizierung dagegen zu schützen und sie mit Virenscannern und SIEM-Systemen aufzuspüren, sondern auch auf sie reagieren. Sie müssen sie bis zum Ende verfolgen und sich im Voraus Gedanken darüber machen, wie Sie sich erholen werden.

Identitätsdienste sind der Kern der meisten Ziele von Advanced Persistent Threats (APT). Deshalb ist es klug, Ihren Active Directory (AD) BCP und Disaster Recovery Plan (DRP) mindestens alle 13 Monate zu testen. Der Grund, warum nicht mehr Menschen dies tun, ist, dass es banal und schwierig ist, es richtig zu machen. Ein Test der Wiederherstellung der Produktionsumgebung ist keine Option, und der Test einer Vanilla-Umgebung ist nur bedingt hilfreich. Eine Sicherung der Produktionsumgebung und deren Wiederherstellung in einem isolierten Labor ist der effektivste Ansatz.

Wir raten unseren Kunden, ihre BCP- und DRP-Pläne am besten zu testen, indem sie die kritischen Unternehmensprozesse den Anwendungen zuordnen, die sie unterstützen, und schließlich auch der Infrastruktur, die diese Anwendungen unterstützt. Kein Unternehmen gleicht dem anderen, und für einige hat die Wiederherstellung des Hauptsitzes (HQ) oberste Priorität, während die Zweigstellen folgen (ein gängiges Szenario für Finanzinstitute), während es bei anderen umgekehrt sein kann (ein gängiges Szenario für Produktionsunternehmen).

Die Entscheidung für ein einheitliches Service Level Agreement (SLA) für Ihre gesamte Infrastruktur ist die einfachste Entscheidung, bedeutet aber in den meisten Fällen, dass die kritischen Anwendungen in der gleichen Warteschlange stehen wie die unkritischen. Für die meisten Unternehmen bedeutet dies, dass alle Wege zu AD führen. Trotzdem haben wir festgestellt, dass die AD-Wiederherstellungsplanung oft übersehen wird, obwohl sie eine der wichtigsten Komponenten eines jeden Cyber-First-Ansatzes für DR ist.

AD DR ist ein mühsamer Prozess. Das dänische Unternehmen Maersk benötigte neun Tage, um sein AD von dem NotPetya-Malware-Angriff im Jahr 2017 wiederherzustellen. Laut Andy Powell, dem CISO von Maersk, waren rund 55.000 Geräte im weltweiten Netzwerk von Maersk innerhalb von sieben Minuten vollständig infiziert.

Bei einer Cyberkatastrophe ist das AD von entscheidender Bedeutung, da es die Grundlage für die Wiederherstellung aller anderen Komponenten des Netzwerks ist. Bis Sie Ihr AD erfolgreich wiederhergestellt haben, können Sie nicht viel mehr tun. Einfach nur die Systeme herunterfahren, sobald ein Angriff beginnt, funktioniert nicht. Sie müssen die wahrscheinlichen Angriffsvektoren und potenziellen Schwachstellen kennen und davon ausgehen, dass sogar Ihre Backup-AD-Server kompromittiert werden könnten.

Der Rat von Andy Powell lautet, dass Sie sicherstellen sollten, dass Sie AD in weniger als 24 Stunden wiederherstellen können. Das wirft die Frage auf: Wann haben Sie das letzte Mal Ihren AD-Wiederherstellungsplan getestet? Genauso wichtig: Wurde Ihr AD-Wiederherstellungsplan aktualisiert, um Cyber-Szenarien wie einen Ransomware- oder Wiper-Angriff zu berücksichtigen?

Abschließend möchte ich sagen, dass es manchmal erst eine unmittelbare Bedrohung braucht, damit Unternehmen ihre Pläne zur Erkennung von und Reaktion auf Bedrohungen ernster nehmen. Jetzt ist ein guter Zeitpunkt, um zu versuchen, Lücken in Ihren BCP- und DRP-Plänen zu schließen, indem Sie nach den schwächsten Gliedern suchen, angefangen bei Ihrer AD-Infrastruktur und den Anwendungen, die sich darauf stützen.

AD-Sicherheitsexperten, dies ist Ihre Zeit zu glänzen. AD ist nicht nur genauso wichtig wie die anderen Schichten in jeder Sicherheitsstrategie - wir würden behaupten, dass es heutzutage sogar noch wichtiger ist. Und es ist Ihre Herausforderung und Verantwortung, den Rest Ihres Teams davon zu überzeugen, dass AD im Mittelpunkt Ihres Verteidigungsplans stehen muss.