Nach einer 10-jährigen Tätigkeit im Bereich Virtualisierungstechnologien kam ich zu Semperis und tauchte in die Welt von Active Directory ein. In den letzten drei Jahren, in denen ich einige der bösartigsten Malware-Angriffe, die je dokumentiert wurden, erlebt habe, glaube ich, dass ich diesen Teil der IAM-Welt nun endlich gut kenne.
Hier sind einige Schlussfolgerungen, zu denen ich gekommen bin. Erstens: Sicherheitsangriffe sind keine Frage des Ob, sondern des Wann. Wenn Sie das bestreiten wollen, sehen Sie sich Ihren Newsfeed an. Die zweite Schlussfolgerung ist, dass bei fast jedem Angriff Active Directory entweder manipuliert, verschlüsselt oder zerstört wird. Dabei spielt es keine Rolle, ob es sich um eine kleine Bezirksverwaltung, ein mittelgroßes Krankenhaus oder ein großes Unternehmen handelt - wenn der Angreifer erst einmal drin ist, dann will er auch dorthin. Wie könnte ein Bösewicht widerstehen, wenn er das Sicherheitsrückgrat des Unternehmens "besitzt"?
Verwandte Lektüre
Ich habe vorhin gesagt, dass ich auf dem Laufenden bin, was zugegebenermaßen nicht ganz richtig sein mag. Das größte ungelöste Rätsel für mich ist, was mit einem Unternehmen passiert, wenn sein Active Directory kompromittiert wird. Lassen Sie mich klarstellen, was ich mit kompromittiert meine. Ich meine damit, dass jemand Domänen-Administratorrechte erhalten hat. Er kann alles im Wald sehen, er kann überall hingehen, er kann sich überall verstecken, er kann sich in jeden verwandeln und so ziemlich alles tun.
Nach Dutzenden von Gesprächen mit vielen Experten gab es nur eine schlüssige Antwort - "Nuklear!" - was bedeutet, dass Sie Ihr gesamtes Active Directory löschen und es von Grund auf neu aufbauen müssen. Das ist der Punkt, an dem wir in diesen Diskussionen sind, wo jeder darüber scherzt, dass dies ein "lebenslaufveränderndes Ereignis" ist.
Ich werde der Erste sein, der Ihnen sagt, dass ich nichts über den Arbeitsaufwand sagen kann, der mit der Wiederherstellung Ihres AD verbunden ist, aber das Wort "unerschwinglich" wird oft verwendet, wenn ich nachgefragt habe. Ich weiß, dass ohne die Technologie von Semperis die manuelle Wiederherstellung eines Active Directory-Forests aus einem Backup je nach Komplexität, Bandbreite usw. zwischen mehreren Tagen und einigen Wochen dauert. Wie lange dauert also die Wiederherstellung - Monate? Jahre? Kann eine Organisation dies überleben?
Eine mögliche Antwort ist, dass ein Angreifer nur selten die Dominanz über eine Domäne erlangt und die meisten Hacks in einem viel niedrigeren Bereich des Sicherheitsstapels stattfinden. (Stichwort "Family Feud".) Das glaube ich nicht. Nach der diesjährigen Hybrid Identity Protection Conference, der letztjährigen HIP Conference und all den anderen Konferenzen zu diesem Thema, die ich besucht habe, ist es einfach zu einfach.
Ich denke, wenn sie die Finanzdaten Ihres Unternehmens, Ihre Kundenliste oder irgendetwas anderes Wertvolles in die Hände bekommen haben, dann könnten sie auch die "Kronjuwelen" haben. Können Sie mit dieser Möglichkeit leben?
Lassen Sie mich also rekapitulieren und ein leider gängiges Bild zeichnen. Sie sind ein Hersteller mit 20.000 Mitarbeitern. Ihr Active Directory steuert die Roboter in Ihren Fabriken, die gesamte IT, die VoIP-Telefone und die ID-Ausweise. Ohne dass Sie es wissen, ist jemand in Ihr Netzwerk eingedrungen und hat sich seit acht Monaten seitlich (und langsam) nach oben bewegt. Derjenige hat jetzt die Erlaubnis, alles zu tun und alles zu kartografieren - er drückt DEN Knopf und alles ist verschlüsselt.
Und was machen Sie?
Ich werde Teil 1 hier beenden ? Ich würde mich über Ihre Kommentare/Feedback freuen. Entweder hier oder per PM.
Für die Techniker da draußen füge ich noch eine Wendung hinzu und sage Ihnen, dass Sie davon ausgehen müssen, dass ein Rootkit in Ihren Domänencontrollern eingebettet ist. BMR oder die Wiederherstellung des Systemzustands werden also nicht helfen, da sie den Angreifer wieder einschleusen?