Angriffspfad-Analyse

Identifizieren und Schließen von Pfaden zu Tier 0 Active Directory Assets

Erkennen und verwalten Sie die Pfade, über die Angreifer mithilfe von Tier-0-Angriffspfadanalysen die Kontrolle über Ihre kritische Active-Directory-Infrastruktur erlangen.

Mehr erfahren

Sparen Sie Zeit bei der Verwaltung von AD-Angriffspfaden

Nur wenige Angreifer erlangen sofort die Kontrolle über Active Directory. Stattdessen beginnen sie mit kompromittierten nicht privilegierten Benutzeranmeldeinformationen für den anfänglichen Zugriff auf kritische Ressourcen. Dann bewegen sie sich von System zu System und nutzen Fehlkonfigurationen und Schwachstellen, um mögliche Angriffswege zu entdecken, bis sie ihre Privilegien ausweiten können, um Ihr wichtigstes Gut zu kontrollieren: Ihr Active Directory. Indem Sie sich auf die Assets konzentrieren, die Ihren Tier 0-Assets am nächsten sind, können Sie Zeit bei der Identifizierung und Reduzierung der Wege sparen, die Angreifer nehmen, um die Kontrolle über Ihr Active Directory zu erlangen.

Microsoft Digital Defense Report 2024

7000/s

durchschnittliche Rate der blockierten Passwortangriffe im letzten Jahr

Microsoft Digital Defense Report 2024

+ 600 Mio.

Identitätsangriffe werden jeden Tag beobachtet, wobei die meisten davon auf Passwörtern basieren

Enterprise Management Associates:

86%

der Unternehmen erlebten mindestens eine identitätsbezogene Sicherheitsverletzung, meist unter Beteiligung von AD oder Entra ID

Tier 0-Angriffspfade von innen nach außen reduzieren

Unterstützen Sie Ihr Sicherheitsteam dabei, Ihre Tier-0-Assets in Active Directory zu identifizieren, zu erkennen, wer darauf zugreifen kann, und diese Zugriffswege zu minimieren.

Discover

Verwenden Sie kostenlose Tools wie Forest Druid , um Ihre tatsächliche Tier 0-Grenze und die potenziellen Angriffspfade, die zu ihr führen, zu verstehen.

Remediate

Nutzen Sie die Ergebnisse von Purple Knight und die bewährten Praktiken für die Sicherheit von Microsoft AD, um Angriffspfade auf Stufe 0 zu beseitigen, einschließlich unerwarteter potenzieller Angriffsvektoren.

Monitor

Überwachen Sie Konfigurationsabweichungen, die neue potenzielle Angriffspfade eröffnen, mit Directory Services Protector kontinuierlich

Entdecken Sie Ihre wahre Tier 0-Grenze

Es geht um mehr als nur Ihre Domain-Controller

Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs definiert Tier 0 als „die Vertrauenswurzel, auf die sich jede weitere Administration stützt“. In Active Directory umfasst Tier 0 privilegierte Konten wie Domain Admins sowie Domain Controllers (DCs). Ein anschaulicher Vergleich aus dem Mittelalter ist der innere Bereich einer Burg, in dem der König und seine engsten Berater geschützt leben. Erlangt ein Angreifer die Kontrolle über ein Tier-0-Asset, kontrolliert er damit Active Directory – oder im Bild gesprochen: das gesamte Königreich. Tier 0 in AD umfasst jedoch weit mehr als nur Domain Admins und DCs. Was ist mit der Möglichkeit, Berechtigungen für AD-Container zu ändern, in denen privilegierte Konten oder DCs gespeichert sind? Was ist mit der Kontrolle über Group Policy Objects (GPOs), die mit privilegierten Objekten oder Containern verknüpft sind oder verknüpft werden können? Was ist mit dem Entra-Connect-Server und dem zugehörigen Service Account, das Benutzer mit Entra ID synchronisiert? All das sind potenzielle Angriffsvektoren – und nur einige der Cyberbedrohungen für Ihr Active Directory.

Mehr erfahren

Konzentrieren Sie sich auf die wichtigen Angriffswege

Herkömmliche AD-Angriffspfad-Analysetools gehen von außen nach innen vor und analysieren die gesamte Umgebung, um die kleine Teilmenge der Pfade zu Tier 0 zu entdecken. Forest Druid, ein kostenloses Tool, das von den Identitätssicherheitsexperten von Semperis entwickelt wurde, nähert sich der Tier 0-Angriffspfad-Analyse aus der anderen Richtung. Warum sollten Sie sich die Mühe machen, jede Straße und jeden Weg im Königreich zu analysieren, wenn es Ihnen nur um den Schutz des Bergfrieds geht? Das ist der Ansatz, den Forest Druid verfolgt. Zunächst präsentiert Forest Druid eine Standardanalyse der Stufe 0. Dann analysieren Sie alle Objekte, die Pfade zu Tier 0 haben, und:

Fügen Sie sie zu Tier 0 hinzu (z.B. den integrierten Container, der die privilegierten Gruppen enthält)
Notieren Sie sie bei Bedarf, aber überwachen Sie den Pfad sorgfältig (z.B. bei einer alten Geschäftsanwendung)
Oder schließen Sie den Pfad (einen unnötigen oder nicht autorisierten potenziellen Angriffspfad)

Herunterladen Forest Druid

Unsere Vision findet bei Branchenführern Anklang

Heute verwende ich Forest Druid zum ersten Mal und ich bin sehr beeindruckt. Zum Erlernen von Bloodhound hat mir immer die Zeit gefehlt. Daher weiß ich es zu schätzen, dass ich das Tool nur starten muss und mit ein paar Klicks in der GUI Probleme finden kann.
SOC Ingenieur Einzelhandels- und Konsumgüterunternehmen

Fortgeschrittene Akteure greifen lokale Identitätsbereitstellungen an, um einen systemischen Einbruch zu bewirken und den Zugang zu Cloud-Administratoren zu überbrücken. Unternehmen in hybriden Active Directory-Umgebungen benötigen identitätsbasierte Sicherheit, um ihre AD- und Entra ID-Systeme vor Angriffen zu schützen. Dies erfordert eine kontinuierliche Überwachung und Bewertung der AD- und Entra ID-Sicherheitslage, um identitätsbasierte Angriffe in Zusammenarbeit mit herkömmlichen Sicherheitsteams abzuwehren.
Alex Weinert Chief Product Officer, Semperis

Das beste Tool für die Wiederherstellung von AD im Falle eines Ransomware-Angriffs!
Rezension lesen Director of Directories & IAM Solutions, IT Security & Risk Management Geschäftsbank

Häufig gestellte Fragen zur Tier 0-Angriffspfadanalyse

Was sind Vermögenswerte der Stufe 0?

Tier 0-Assets sind die Konten, Gruppen und anderen Assets, die direkte oder indirekte administrative Kontrolle über eine Active Directory-Gesamtstruktur, Domänen und Domänencontroller haben. Mit Zugriff auf diese Tier 0-Assets können Angreifer die Kontrolle über das gesamte Netzwerk übernehmen.

Was sind Verwaltungsebenen?

Microsoft hat das mehrstufige Verwaltungsmodell für Active Directory entwickelt, um es Bedrohungsakteuren zu erschweren, ihre Rechte zu erweitern, d.h. von der Workstation zu den Servern zu springen und die AD-Domäne zu beherrschen. Dieses Modell hat drei Ebenen:

Tier 2 besteht aus der Domäne angeschlossenen Clients, Druckern, mobilen Geräten und den Konten, die sie verwalten.
Tier 1 enthält die Server und Anwendungen sowie deren administrative Konten.
Ebene 0 umfasst die Server (z. B. Domänencontroller), AD-Strukturen (wie das Policy ) und privilegierte Konten, die den Active Directory-Dienst selbst unterstützen.

Diese Hierarchie wird so durchgesetzt, dass der Zugriff auf Anmeldeinformationen höherer Ebenen von niedrigeren Ebenen aus nicht möglich ist (z. B. ein Domänenadministratorkonto, das sich bei einem Client-PC anmeldet, wo diese privilegierten Anmeldeinformationen anschließend von Malware wie Mimikatz abgegriffen werden könnten). Für hybride Umgebungen wurde dieses Modell erweitert, um ihrer zusätzlichen Komplexität Rechnung zu tragen, und wird als Enterprise Access Model bezeichnet.

Warum ist der Schutz von Vermögenswerten der Stufe 0 wichtig für die Identitätssicherheit?

Tier 0-Assets haben die administrative Kontrolle über Active Directory. Wenn eines dieser Assets kompromittiert wird, kann ein Bedrohungsakteur die Kontrolle über Active Directory und damit über jedes Asset - Server, Anwendungen, Datenbanken, Clients, andere Active Directory-Konten - innerhalb von Active Directory erlangen, um seine Ziele zu erreichen.

Warum ist die Definition des Tier 0-Perimeters so wichtig?

Aufgrund von Fehlkonfigurationen, die sich im Laufe der Zeit ansammeln, gibt es in vielen Unternehmen Konten und Gruppen, die privilegierten Zugriff haben - d.h. es handelt sich um Aktiva der Stufe 0 - aber diese übermäßigen Privilegien werden entweder übersehen oder die IT- und Sicherheitsteams haben nicht die Ressourcen, um sie zu überprüfen. Das Aufspüren dieser Assets kann eine Herausforderung sein. Forest Druid Das kostenlose Community-Tool von Semperis bringt Licht ins Dunkel der sensiblen Konten, so dass die IT-/Sicherheitsteams sie als "Tier 0" markieren und entsprechende Schutzmaßnahmen ergreifen können, einschließlich der Sperrung von Privilegien oder der vollständigen Löschung unnötiger Konten.

Was sind Angriffswege?

Angriffspfade sind die Wege, die ein Bedrohungsakteur vom ersten Zugriff auf die Umgebung (z. B. einen Client-PC) über Zwischenschritte bis hin zur Dominanz der Tier 0-Domäne nehmen kann.

Gibt es Tools, die die Reduzierung von Active Directory-Angriffspfaden erleichtern?

Semperis stellt ein kostenloses Tool zur Erkennung von Tier 0-Angriffspfaden namens Forest Druid zur Verfügung, das Sie dabei unterstützt, anfällige Tier 0-Ressourcen aufzudecken, übermäßige Privilegien zu sperren und die gefährlichsten Pfade - nicht nur die häufigsten - schnell zu erkennen und zu beseitigen.(Klicken Sie hier, um mehr über Forest Druid zu erfahren).