Analyse der Angriffswege

Identifizieren und Schließen von Pfaden zu Tier 0 Active Directory Assets

Entdecken und verwalten Sie die Wege, die Bedrohungsakteure nutzen, um die Kontrolle über Ihre kritische Active Directory-Infrastruktur zu erlangen, durch eine Tier 0-Angriffspfadanalyse.

Sparen Sie Zeit bei der Verwaltung von AD-Angriffspfaden

Nur wenige Angreifer erlangen sofort die Kontrolle über Active Directory. Stattdessen beginnen sie mit kompromittierten nicht privilegierten Benutzeranmeldeinformationen für den anfänglichen Zugriff auf kritische Ressourcen. Dann bewegen sie sich von System zu System und nutzen Fehlkonfigurationen und Schwachstellen, um mögliche Angriffswege zu entdecken, bis sie ihre Privilegien ausweiten können, um Ihr wichtigstes Gut zu kontrollieren: Ihr Active Directory. Indem Sie sich auf die Assets konzentrieren, die Ihren Tier 0-Assets am nächsten sind, können Sie Zeit bei der Identifizierung und Reduzierung der Wege sparen, die Angreifer nehmen, um die Kontrolle über Ihr Active Directory zu erlangen.

Enterprise Management Associates berichtet, dass Pen-Tester erfolgreich sind in
82%
ihrer Versuche, Active Directory auszunutzen
Microsoft Digital Defense Report:
3,47 Milliarden
Identitätsbedrohungen wurden im Microsoft-Ökosystem von Juli 2021 bis Juni 2022 blockiert
Enterprise Management Associates:
40%
der Unternehmen, die von einem AD-Angriff betroffen waren, berichteten, dass der Angriff erfolgreich war

Reduzierung des Angriffswegs der Stufe 0 - von innen nach außen

Helfen Sie Ihrem Sicherheitsteam, Ihre Tier 0 Active Directory-Assets (die Schlüssel zum Königreich) zu erkennen, wer darauf zugreifen kann und wie Sie diese Zugriffspfade minimieren können.

Entdecken Sie

Verwenden Sie kostenlose Tools wie Forest Druid , um Ihre tatsächliche Tier 0-Grenze und die potenziellen Angriffspfade, die zu ihr führen, zu verstehen.

Beseitigen Sie

Nutzen Sie die Ergebnisse von Purple Knight und die bewährten Praktiken für die Sicherheit von Microsoft AD, um Angriffspfade auf Stufe 0 zu beseitigen, einschließlich unerwarteter potenzieller Angriffsvektoren.

Augapfel-Symbol
Monitor

Überwachen Sie kontinuierlich die "Konfigurationsabweichung", die neue potenzielle Angriffswege mit Directory Services Protector

Entdecken Sie Ihre wahre Tier 0-Grenze

Es geht um mehr als nur Ihre Domain-Controller

Das National Cybersecurity Center des Vereinigten Königreichs definiert Tier 0 als "die Vertrauensbasis, auf die sich alle anderen Verwaltungsfunktionen stützen". Für Active Directory umfasst dies privilegierte Konten (wie z.B. Domain Admins) und Domain Controller (DCs). Eine mittelalterliche Analogie zu Tier 0 ist der Burgfried eines Königreichs, in dem der König und seine vertrauenswürdigen Berater sicher residieren. Wenn ein Bedrohungsakteur die Kontrolle über ein Tier 0-Asset erlangt, hat er die Kontrolle über Active Directory (oder möglicherweise das Königreich). Aber Tier 0 in AD umfasst mehr als nur Domänenadministratoren und DCs. Was ist mit der Fähigkeit, Berechtigungen für AD-Container zu ändern, die privilegierte Konten oder DCs enthalten? Was ist mit der Kontrolle über Gruppenrichtlinienobjekte (GPOs), die mit einem privilegierten Objekt oder Container verknüpft sind oder verknüpft werden können? Was ist mit dem Azure AD Connect Server und dem Dienstkonto, das Benutzer mit Azure AD synchronisiert? Jeder dieser Punkte stellt einen potenziellen Angriffsvektor dar - und es gibt noch mehr Cyber-Bedrohungen für Ihr Active Directory.

Mehr erfahren
Konzentrieren Sie sich auf die wichtigen Angriffswege

Herkömmliche AD-Angriffspfad-Analysetools gehen von außen nach innen vor und analysieren die gesamte Umgebung, um die kleine Teilmenge der Pfade zu Tier 0 zu entdecken. Forest Druid, ein kostenloses Tool, das von den Identitätssicherheitsexperten von Semperis entwickelt wurde, nähert sich der Tier 0-Angriffspfad-Analyse aus der anderen Richtung. Warum sollten Sie sich die Mühe machen, jede Straße und jeden Weg im Königreich zu analysieren, wenn es Ihnen nur um den Schutz des Bergfrieds geht? Das ist der Ansatz, den Forest Druid verfolgt. Zunächst präsentiert Forest Druid eine Standardanalyse der Stufe 0. Dann analysieren Sie alle Objekte, die Pfade zu Tier 0 haben, und:

  • Fügen Sie sie zu Tier 0 hinzu (z.B. den integrierten Container, der die privilegierten Gruppen enthält)
  • Notieren Sie sie bei Bedarf, aber überwachen Sie den Pfad sorgfältig (z.B. bei einer alten Geschäftsanwendung)
  • Oder schließen Sie den Pfad (einen unnötigen oder nicht autorisierten potenziellen Angriffspfad)
Herunterladen Forest Druid
Unsere Vision findet bei Branchenführern Anklang
Einzelhandel

Heute verwende ich Forest Druid zum ersten Mal und ich bin sehr beeindruckt. Zum Erlernen von Bloodhound hat mir immer die Zeit gefehlt. Daher weiß ich es zu schätzen, dass ich das Tool nur starten muss und mit ein paar Klicks in der GUI Probleme finden kann.

SOC Ingenieur Einzelhandels- und Konsumgüterunternehmen
Microsoft

Fortgeschrittene Akteure greifen lokale Identitätsimplementierungen an, um einen systemischen Einbruch zu bewirken und sich Zugang zur Cloud-Administration zu verschaffen. Unternehmen in hybriden Active Directory-Umgebungen benötigen identitätsbasierte Sicherheit, um ihre AD- und Azure AD-Systeme vor Angriffen zu schützen. Dies erfordert eine kontinuierliche Überwachung und Bewertung der AD- und Azure AD-Sicherheitslage. Nur so ist eine Abwehr identitätsbasierter Angriffe in Zusammenarbeit mit den traditionellen Sicherheitsteams möglich.

Alex Weinert VP of Identity Security, Microsoft
Gartner Peer Insights

Das beste Tool für die Wiederherstellung von AD im Falle eines Ransomware-Angriffs!

Rezension lesen Director of Directories & IAM Solutions, IT Security & Risk Management  Geschäftsbank

Häufig gestellte Fragen zur Tier 0-Angriffspfadanalyse

Was sind Vermögenswerte der Stufe 0?

Tier 0-Assets sind die Konten, Gruppen und anderen Assets, die direkte oder indirekte administrative Kontrolle über eine Active Directory-Gesamtstruktur, Domänen und Domänencontroller haben. Mit Zugriff auf diese Tier 0-Assets können Angreifer die Kontrolle über das gesamte Netzwerk übernehmen.

Was sind Verwaltungsebenen?

Microsoft hat das mehrstufige Verwaltungsmodell für Active Directory entwickelt, um es Bedrohungsakteuren zu erschweren, ihre Rechte zu erweitern, d.h. von der Workstation zu den Servern zu springen und die AD-Domäne zu beherrschen. Dieses Modell hat drei Ebenen:

  • Tier 2 besteht aus der Domäne angeschlossenen Clients, Druckern, mobilen Geräten und den Konten, die sie verwalten.
  • Tier 1 enthält die Server und Anwendungen sowie deren administrative Konten.
  • Tier 0 enthält die Server (z.B. Domänencontroller), AD-Strukturen (z.B. das Standard-Domänenrichtlinien-GPO) und privilegierte Konten, die den Active Directory-Dienst selbst unterstützen.

Diese Hierarchie wird so durchgesetzt, dass der Zugriff auf Anmeldeinformationen höherer Ebenen von niedrigeren Ebenen aus nicht möglich ist (z. B. ein Domänenadministratorkonto, das sich bei einem Client-PC anmeldet, wo diese privilegierten Anmeldeinformationen anschließend von Malware wie Mimikatz abgegriffen werden könnten). Für hybride Umgebungen wurde dieses Modell erweitert, um ihrer zusätzlichen Komplexität Rechnung zu tragen, und wird als Enterprise Access Model bezeichnet.

 

 

Warum ist der Schutz von Vermögenswerten der Stufe 0 wichtig für die Identitätssicherheit?

Tier 0-Assets haben die administrative Kontrolle über Active Directory. Wenn eines dieser Assets kompromittiert wird, kann ein Bedrohungsakteur die Kontrolle über Active Directory und damit über jedes Asset - Server, Anwendungen, Datenbanken, Clients, andere Active Directory-Konten - innerhalb von Active Directory erlangen, um seine Ziele zu erreichen.

 

Warum ist die Definition des Tier 0-Perimeters so wichtig?

Aufgrund von Fehlkonfigurationen, die sich im Laufe der Zeit ansammeln, gibt es in vielen Unternehmen Konten und Gruppen, die privilegierten Zugriff haben - d.h. es handelt sich um Aktiva der Stufe 0 - aber diese übermäßigen Privilegien werden entweder übersehen oder die IT- und Sicherheitsteams haben nicht die Ressourcen, um sie zu überprüfen. Das Aufspüren dieser Assets kann eine Herausforderung sein. Forest Druid Das kostenlose Community-Tool von Semperis bringt Licht ins Dunkel der sensiblen Konten, so dass die IT-/Sicherheitsteams sie als "Tier 0" markieren und entsprechende Schutzmaßnahmen ergreifen können, einschließlich der Sperrung von Privilegien oder der vollständigen Löschung unnötiger Konten.

Was sind Angriffswege?

Angriffspfade sind die Wege, die ein Bedrohungsakteur vom ersten Zugriff auf die Umgebung (z. B. einen Client-PC) über Zwischenschritte bis hin zur Dominanz der Tier 0-Domäne nehmen kann.

Gibt es Tools, die die Reduzierung von Active Directory-Angriffspfaden erleichtern?

Semperis stellt ein kostenloses Tool zur Erkennung von Tier 0-Angriffspfaden namens Forest Druid zur Verfügung, das Sie dabei unterstützt, anfällige Tier 0-Ressourcen aufzudecken, übermäßige Privilegien zu sperren und die gefährlichsten Pfade - nicht nur die häufigsten - schnell zu erkennen und zu beseitigen.(Klicken Sie hier, um mehr über Forest Druid zu erfahren).

Reduzieren Sie die Angriffswege der Stufe 0

Sind Sie bereit, Zeit zu sparen, indem Sie Angriffspfade zu Tier 0 Active Directory-Assets schließen?

Herunterladen Forest Druid
Unsere Vision findet bei Branchenführern Anklang

Entdecken Sie weitere AD-Sicherheits- und Wiederherstellungslösungen

Weitere Ressourcen

Erfahren Sie mehr darüber, wie Sie die AD-Angriffsfläche reduzieren und die allgemeine Sicherheitslage verbessern können.