Forest Druid ist ein kostenloses Tool zur Erkennung von Cyber-Angriffspfaden für hybride Identitätsumgebungen, wie Active Directory und Entra ID. Im Gegensatz zu herkömmlichen Tools, die Angriffspfade von außen nach innen abbilden, Forest Druid konzentriert sich auf den Schutz der wichtigsten Ressourcen.
Bei dieser Methode liegt der Schwerpunkt auf der Identifizierung und Sicherung von Tier 0-Ressourcen, den privilegiertesten und sensibelsten Teilen des Netzwerks(Abbildung 1), vor Cyber-Bedrohungen. Zu diesen Ressourcen gehören administrative Konten und Server mit Kontrolle über Identitätsmanagementsysteme wie Active Directory. Durch die Sicherung dieser Tier 0-Ressourcen können Unternehmen ihre gesamte IT-Infrastruktur besser schützen.
Die Herausforderung der kompromittierten Identitäten
Incident response sehr belastend sein, insbesondere bei schwierigen Vorfällen wie dem Missbrauch von Identitäten in einer Active-Directory-Umgebung. Während incident response laufenden incident response, beispielsweise eines Ransomware-Angriffs, ist es von entscheidender Bedeutung, das Risiko durch neu kompromittierte Identitäten zu ermitteln und zu verstehen, wie Angreifer ihre Berechtigungen eskalieren könnten, um Zugriff auf Tier-0-Ressourcen zu erlangen.
Angreifer haben es oft auf diese Konten mit hohen Privilegien abgesehen, um die Kontrolle über das Netzwerk zu erlangen, damit sie ihre Ransomware verbreiten können. Daher ist es wichtig, dass Sie diese Konten vorrangig schützen, um die Auswirkungen eines solchen Angriffs abzuschwächen.
Die von Forest Druid bereitgestellte visuelle Darstellung Forest Druid Ihre incident response , erleichtert das Verständnis der potenziellen Auswirkungen eines kompromittierten Kontos und bietet einen besseren Einblick in die damit verbundenen Risiken.
Im folgenden Beispiel sehen Sie, dass die angegebene Identität drei Hops benötigen würde, um ihre Privilegien auf ein Tier 0 Asset zu erhöhen(Abbildung 2). Indem Sie die Anzahl der Sprünge ermitteln, die eine kompromittierte Identität benötigt, um Ihre Tier 0-Anlagen zu erreichen, können Sie den Grad der Gefährdung dieser Anlagen besser einschätzen. Dies hilft Ihnen, die kritischen Angriffspfade zu priorisieren, die behoben werden müssen, und den Aufwand zu verstehen, den ein Angreifer benötigt, um Tier 0 zu erreichen.
Angenommen, Sie beobachten eine weitere kompromittierte Identität. Sie können dieses Konto als Quellfilter festlegen, um alle direkten Angriffspfade zu ermitteln, die es zu Tier 0 hat(Abbildung 3).
Sobald Sie ein Konto als Quellfilter festgelegt haben, beginnt Forest Druid mit der visuellen Darstellung aller Angriffspfade, die von diesem Konto zu Tier 0 führen(Abbildung 4).
Incident response Eindämmung und Wiederherstellung
Angesichts der Zunahme von Ransomware-Angriffen haben sich incident response effektiven incident response um die Bereiche Eindämmung und Wiederherstellung erweitert. Diese Veränderung verdeutlicht die Notwendigkeit, sowohl die Untersuchungen als auch die Eindämmungsmaßnahmen gleichzeitig zu steuern. Bei der Eindämmung liegt der Schwerpunkt darauf, die Ausbreitung eines Angriffs zu stoppen, den Schaden zu minimieren, die Angriffsfläche von Tier-0-Ressourcen zu verringern und kritische Systeme wie Active Directory abzusichern. Die Wiederherstellung umfasst die Wiederherstellung des normalen Betriebs von Systemen und Daten – insbesondere von kritischen Identitätssystemen wie Active Directory – sowie die Gewährleistung ihrer Sicherheit und Funktionsfähigkeit.
Incident-Responder können Forest Druid Teil ihres Werkzeugkastens nutzen. Auch wenn es keine Allzwecklösung ist, Forest Druid eine visualisierte Übersicht über das Netzwerk und die potenziellen Auswirkungen kompromittierter Konten, wodurch Ihre incident response verbessert werden. Das Tool bildet Verbindungen und Angriffspfade ab, was Incident-Respondern dabei helfen kann, Pfade zu den kritischsten Ressourcen (z. B. Tier 0) schnell zu identifizieren und zu beheben sowie Active Directory abzusichern (Abbildung 5). Das Tool bietet einen Mehrwert sowohl für die Eindämmungs- als auch für die Wiederherstellungsmaßnahmen des Incident Responders.
Wie Sie Daten sammeln mit Forest Druid
Wenn Sie Forest Druid zum ersten Mal ausführen, werden Sie aufgefordert, die Art der zu sammelnden Daten auszuwählen: entweder aus Active Directory oder aus Entra ID. In diesem Beispiel habe ich Active Directory ausgewählt.
Forest Druid beginnt dann mit der Ausführung von LDAP-Abfragen im Hintergrund und sammelt alle Informationen innerhalb der Umgebung(Abbildung 6). Diese punktuelle Datensammlung ermöglicht es Forest Druid , die Angriffspfade zu visualisieren.
Alle erfassten Daten werden in einem Unterordner namens „Database“ im Ordner „Backend“ von Forest Druid gespeichert Forest Druid Abbildung 7). Die im Ordner „Database“ gesammelten Daten können in eine ZIP-Datei komprimiert und auf sichere Weise an das incident response zur Analyse weitergeleitet werden.
Um die Daten offline zu analysieren, muss das Team die Dateien lediglich in seinen eigenen Datenbankordner im Verzeichnis Forest Druid kopieren. Diese Aktion bietet dieselbe Ansicht der Active Directory-Gesamtstruktur wie bei der ersten Ausführung von Forest Druid .
Laden Sie Forest Druid herunter und beginnen Sie mit der Zuordnung von Angriffspfaden zu Ihren Tier 0 Assets.
Mehr Forest Druid Ressourcen zur Analyse von Angriffspfaden
- Sehen Sie sich das Forest Druid Demo-Video an
- Lesen Sie die Forest Druid FAQs
- Sehen Sie, wie Ran Harel Forest Druid auf der Black Hat USA 2022 demonstriert.
- Video-Interview über Forest Druidmit Ran Harel und David Raviv vom NY Information Security Meetup ansehen
- Besuchen Sie Forest Druid
