In einem Webinar, das ich vor kurzem gemeinsam mit Semperis (den Entwicklern des Sicherheitstools Purple Knight ) veranstaltet habe, haben wir uns auf einen wichtigen gemeinsamen Nenner der jüngsten Angriffe konzentriert - Active Directory. In der Sitzung "Wie Angreifer Active Directory ausnutzen: Lessons Learned from High-Profile Breaches" diskutierten Sean Deuby und Ran Harel von Semperis mit mir vier aktuelle Angriffe, die für Schlagzeilen sorgten - SolarWinds, die Hafnium Exchange 0-Day-Angriffe, der Angriff auf Colonial Pipeline und der Angriff auf den Ireland Health Service. Obwohl jeder Angriff eine andere Taktik verfolgte und von unterschiedlichen Tätern durchgeführt wurde, hatten sie alle verheerende Folgen. In unserer Diskussion haben wir drei der wichtigsten Präventivmaßnahmen besprochen, die Unternehmen ergreifen können, um sich vor Cyberangriffen zu schützen.
"Man muss im letzten Jahr unter einem Felsen gelebt haben, um die bedeutenden Ereignisse im Bereich der Cybersicherheit nicht mitbekommen zu haben, die sich Woche für Woche ereignet haben. Wir verbringen viel Zeit damit, über die neuartigen Angriffsmethoden der Bösewichte zu sprechen. Aber in Wirklichkeit geht es den Bedrohungsakteuren nicht darum, neue Wege zu finden; sie wollen einfach nur eindringen - und die Superautobahn für Bedrohungsakteure ist Active Directory."
Sean Deuby, Semperis Direktor für Dienstleistungen
1. Schützen Sie E-Mails vor fortgeschrittenen Bedrohungen
Einer der häufigsten Einfallstore für Angreifer sind E-Mails. Fortgeschrittene Phishing-Kampagnen wirken auf Endbenutzer äußerst überzeugend und bieten Angreifern eine Möglichkeit, an gültige Anmeldedaten zu gelangen und/oder Malware auf Endgeräte zu übertragen. Es ist von entscheidender Bedeutung, dass Unternehmen einen vielschichtigen Ansatz verfolgen, um sich vor diesen Bedrohungen zu schützen. Schulungen zum Sicherheitsbewusstsein und Phishing-Simulationen sind wichtig, um das Risiko zu ermitteln und zu messen. Egal, wie viel Sie schulen, Angreifer werden trotzdem Erfolg haben. Um dies zu bekämpfen, muss eine fortschrittliche Lösung zum Schutz vor E-Mail-Bedrohungen - eine, die die Messlatte über Anti-Spam- und Anti-Virus-Tools hinaus erhöht - Teil Ihrer Verteidigungsstrategie sein. Ein Dienst, der maschinelle Lernalgorithmen und andere fortschrittliche Erkennungsmethoden einsetzt, um Phishing-Nachrichten und verdächtige Anhänge zu erkennen und zu blockieren, muss in der heutigen Bedrohungslandschaft unbedingt vorhanden sein.
2. Verhindern Sie seitliche Bewegungen
Sobald ein Angreifer einen Client-Computer oder einen Mitgliedsserver kompromittiert hat, wird er versuchen, sich seitlich durch das Netzwerk zu bewegen und seine Privilegien zu erweitern. Die Verhinderung seitlicher Bewegungen erschwert die Arbeit des Angreifers dramatisch. Sie können einige technisch einfache - aber in der Praxis manchmal schwierige - Maßnahmen ergreifen, um seitliche Bewegungen zu verhindern. Erstens muss das lokale Administratorkennwort auf jedem Endpunkt unterschiedlich sein. Microsoft bietet eine kostenlose Lösung namens Local Administrator Password Solution (LAPS) an, um dies zu erreichen. Zweitens können Sie keine Domänenkonten in der Gruppe der lokalen Administratoren einrichten, um den IT-Support zu erleichtern. Das IT-Personal muss LAPS verwenden, um die administrativen Anmeldedaten für bestimmte Endpunkte abzurufen.
3. Sicherer Zugang zu privilegierten Anmeldeinformationen
Das Verhindern, dass Angreifer privilegierten Zugriff erhalten - insbesondere Domain Admin - ist ein wichtiger Schutz. Wenn ein Angreifer seine Privilegien ausweiten kann, kann er eine höhere oder sogar vollständige Kontrolle über das gesamte Netzwerk erlangen. Die Implementierung wirksamer Kontrollen, die die Berechtigungsnachweise isolieren und schützen, ist äußerst wichtig. Zwei der von uns bei der Ravenswood Technology Group am häufigsten implementierten Kontrollmechanismen sind die Konzepte der abgestuften Sicherheitskontrollen und der privilegierten Zugriffsarbeitsplätze (PAWs). Die abgestuften Sicherheitskontrollen verhindern, dass Anmeldedaten mit hohen Privilegien auf risikoreichere Anlagen wie Client-Computer gelangen, auf denen die Anmeldedaten gestohlen werden könnten. PAWs isolieren die Aufgaben, die ein Administrator von seiner täglichen Workstation ausführt, auf einer hochsicheren Workstation und schützen die Zugangsdaten und die Sitzung des Administrators vor Bedrohungen wie E-Mail, Internetzugang und einigen Arten von Malware.
Ist Ihr AD auf die heutige Bedrohungslandschaft vorbereitet?
Die Angriffe, die wir in diesem Webinar besprochen haben, sind nur vier der unzähligen Sicherheitsverletzungen, die täglich für Schlagzeilen sorgen. Die Härtung der IT-Umgebung Ihres Unternehmens ist von entscheidender Bedeutung, und für praktisch jedes Unternehmen muss Active Directory eine Kernkomponente Ihrer Härtungsstrategie sein. Eine kostenlose Bewertung der Active Directory-Sicherheitskontrollen finden Sie unter Purple Knight für eine kostenlose Testfahrt, um Ihr Active Directory zu evaluieren. Zwischen Ravenswood und Semperis gibt es wahrscheinlich keine zwei Organisationen (außerhalb von Microsoft selbst), die über mehr kombinierte AD-Sicherheitsexpertise verfügen. Wir haben eine äußerst leistungsstarke Partnerschaft, die Unternehmen weltweit dabei hilft, die Messlatte für die Sicherheit hybrider Identitäten höher zu legen.
Wenn Sie weitere Ratschläge zum Schutz Ihres Unternehmens erhalten möchten, sehen Sie sich das On-Demand-Web-Seminar an. Und natürlich können Sie Purple Knight kostenlos herunterladen, um AD-Sicherheitslücken zu identifizieren und zu schließen und Vertrauen in die Sicherheit Ihrer AD-Umgebung zu gewinnen - egal wie komplex, verworren oder vernachlässigt sie ist.
