Erkennen und Verhindern von identitätsbasierten Angriffen

Identity Runtime Protection (IRP) vereint das fundierte Fachwissen unseres Teams in der Entwicklung von KI-Modellen für die Bedrohungsanalyse mit unserer praktischen Incident-Response-Erfahrung, um die am weitesten verbreiteten und problematischsten Muster von Identitätsangriffen zu erkennen. IRP richtet den Fokus der Security-Teams auf die kritischsten Warnmeldungen zu Identitätsangriffen und reduziert Rauschen, indem es ein Identitätsrisikomodell einsetzt, das Erkenntnisse aus verschiedenen Quellen bündelt:

1. Daten zur Verfolgung von Verzeichnisänderungen in hybriden Active Directory- und Entra ID-Umgebungen
2. Hunderte von Indicators of Exposure and Indicators of Compromise, die vom Identity-Threat-Research-Team von Semperis regelmäßig aktualisiert werden
3. Tier 0-Angriffspfadanalyse, um riskante Beziehungen zu privilegierten Gruppen mit Zugang zu sensiblen Daten aufzuzeigen

Identity Runtime Protection (IRP) konzentriert sich auf einige der am weitesten verbreiteten und problematischsten Angriffe, darunter:

• Password-Spray-Angriffe: Überwacht Anmeldeversuche, um Muster zu erkennen, die auf einen Password-Spray-Angriff hindeuten
• Brute-Force-Angriffe: Überwacht wiederholte und schnelle Anmeldeversuche gegen einen einzelnen Benutzer, um potenzielle Brute-Force-Angriffe zu erkennen
• Anomale Anmeldungen: Sucht nach Anomalien bei der Benutzeranmeldung, die auf eine anomale AD-Anmeldung hinweisen
• Anomaler Ressourcenzugriff: Überwacht die Aktivitäten eines Benutzers und jede Interaktion mit Diensten, die auf einen Angriff auf AD-Dienste hindeuten
• Service-Ticket-Anomalien: Sucht nach verdächtigen Service-Ticket-Anforderungen, die auf einen Kerberoasting-Angriff auf AD hinweisen

Bewährte Angriffstechniken wie Password Spray und Brute Force funktionieren immer noch, weil sie aufgrund der schieren Menge an Rauschen, die sie erzeugen, schwer zu erkennen sind. Etwa 31% der ursprünglichen Angriffsvektoren sind Brute-Force-Angriffe und fast ein Drittel aller Kontokompromittierungen gehen auf Password Spray zurück. 

Bei einem Password-Spray-Angriff versucht ein Angreifer wiederholt, sich mit einer begrenzten Anzahl von Passwörtern bei einer großen Anzahl von Zielkonten anzumelden, bis er das Authentifizierungssystem des Ziels knackt, um Zugang zu Konten und Systemen zu erhalten. Bei einem Brute-Force-Angriff versucht ein Angreifer wiederholt, sich mit verschiedenen Passwörtern anzumelden, bis er das Authentifizierungssystem des Ziels knackt und sich Zugang zu Konten und Systemen verschafft.

In beiden Fällen erzeugen diese Techniken eine große Menge an Daten, was die Analyse zeitaufwändig und mühsam macht.

Anomales Verhalten kann auf einen bevorstehenden Angriff hindeuten. Eine anomale Anmeldung kann zum Beispiel auf einen nicht autorisierten Zugriff auf das Identitätssystem hinweisen. Service-Ticket-Anomalien kennzeichnen verdächtige Service-Ticket-Anfragen, die auf einen Versuch hinweisen können, den Active Directory-Ticket-Mechanismus als Teil eines Cyberangriffs zu missbrauchen, z.B. Kerberoasting. Zu solchen anormalen Anfragen gehören die Anforderung eines Tickets für selten genutzte Dienste oder die Anforderung eines Tickets mit herabgestuftem kryptografischem Algorithmus.