Heutzutage wird das Active Directory (AD) von Angreifern sehr häufig ins Visier genommen, denn es ist eine Art Generalschlüssel, der den Zugang zum gesamten Netzwerk ermöglicht. AD stellt die Verzeichnisdienste bereit, mit denen Administratoren im gesamten Netzwerk Berechtigungen verwalten und Zugriff auf Ressourcen gewähren. Es ist somit für die täglichen Abläufe eines Unternehmens unverzichtbar – und auch ein wertvolles Ziel. Da das Active Directory Berechtigungen und Authentifizierungen verwaltet, muss es für alle Benutzer leicht zugänglich sein. Leider lässt es sich dadurch nur schwer absichern. Um das Active Directory angemessen zu schützen, müssen unbeachtete Sicherheitslücken geschlossen und auf diese Weise die allgemeine Sicherheit des Unternehmens gestärkt werden.
Die Rolle des Active Directory bei Netzwerkabläufen
Bei den Netzwerkabläufen spielt das AD eine derart große Rolle, dass es den meisten Kunden (verständlicherweise) an ausreichend Fachwissen fehlt, um Lücken in der AD-Sicherheit aufdecken zu können. Es geht dabei nicht nur um das Patchen bekannter Schwachstellen oder die Korrektur von Konfigurationsfehlern. Jede riskante Einstellung und jeder falsch gesetzte Parameter kann Angreifern als Einfallstor ins System dienen. Um das AD zu schützen, müssen Risiken aufgespürt, Angriffe in Echtzeit erkannt und Sicherheitsrichtlinien verwaltet werden. Zudem benötigen Sie Einblicke in Compliance-Verstöße von Benutzern, die diese Richtlinien nicht konsequent einhalten. In dynamischen Situationen wie Fusionen und Übernahmen gestaltet sich die Verwaltung durch die umfangreichen Umgebungsveränderungen ungleich schwerer.
Der Wert des Active Directory für Angreifer
Bei den meisten Unternehmen ist das AD das zentrale Repository für alle Konten und Systeme im Netzwerk und zudem für die gesamte Authentifizierung und Autorisierung auf Netzwerkebene verantwortlich. Das AD ist für Angreifer ein lukratives Ziel, da sie durch dessen Kompromittierung Zugriff auf alle Netzwerkressourcen erhalten. Darüber hinaus gibt es ihnen die nötigen Berechtigungen, um gewisse Änderungen vorzunehmen, die es dem Sicherheitsteam erschweren, sie aufzuspüren und aus dem Netzwerk zu entfernen.
Leider werden AD-Angriffe durch die vielen quelloffenen und frei verfügbaren Tools wie Bloodhound und Mimikatz quasi zu einem Kinderspiel. Angreifer suchen mit diesen Tools nach Konten, die ihnen Administratorrechte gewähren können, und führen ihre Angriffe so durch, dass sie ihre Zugriffsrechte erweitern und Spuren verwischen können. Bei der Vorbereitung auf Ransomware-Angriffe kann das AD zur Achillesferse eines Unternehmens werden. Bei nahezu jedem Ransomware-Angriff kompromittieren die Angreifer das AD, um an Informationen, Berechtigungen oder beides zu gelangen. Das AD kann also schnell zum besten Freund der Angreifer werden, sofern es nicht ordnungsgemäß abgesichert ist.
Wichtige Maßnahmen zum Schutz des Active Directory
Es gibt einige Best Practices, die Unternehmen unbedingt befolgen sollten. Dazu gehören zum Beispiel Schutzmaßnahmen für das AD, die erhebliche Reduzierung privilegierter Konten, die Nutzung von Jump Boxes und das Befolgen von Leitfäden zur sicheren Implementierung von Technik. Doch diese Maßnahmen reichen nicht aus, um das AD umfassend zu schützen. Verantwortungsbewusste Unternehmen sollten daher Identitätssicherheitslösungen implementieren, mit denen sie eine Übersicht über anfällige Anmeldedaten erhalten, die als potenzieller Angriffsweg und für den Zugriff auf das AD missbraucht werden können. Zudem benötigen Unternehmen einen Überblick über Risiken und Schwachstellen des AD.
Neue Tools zum Schutz des Active Directory
Es gibt mittlerweile neue Tools, die Unternehmen bei der Absicherung des AD unterstützen. Lösungen zur Erkennung von und Reaktion auf Identitätsbedrohungen (Identity Threat Detection and Response, ITDR) sind ein unverzichtbarer Bestandteil der AD-Schutzmaßnahmen, da sie die Abwehr von Angreifern erleichtern, die die AD-Infrastruktur im Netzwerk ins Visier nehmen. Um umfassendere Bedrohungserkennung, verbesserte Untersuchungen und kürzere Reaktionszeiten zu ermöglichen, müssen Unternehmen Angreifer erkennen, die es auf Anmeldedaten, Cloud-Berechtigungen und das Active Directory abgesehen haben. Hier können ITDR-Lösungen helfen. Peter Firstbrook, Vice President von Gartner Research, erklärte vor Kurzem, dass Identity Threat Detection and Response eine unverzichtbare Funktion für jede XDR-Lösung sei, und unterstrich damit den Wert der ITDR-Technologie.
Active Directory-Sicherheit als höchste Priorität
Laut Schätzungen von Microsoft wurden im Jahr 2021 täglich 95 Millionen AD-Konten angegriffen – diese Zahl ist mittlerweile wahrscheinlich noch weiter gestiegen. Die Angreifer haben erkannt, dass das AD aufgrund seiner Einzigartigkeit ein äußerst wertvolles Ziel darstellt und gleichzeitig schwer abzusichern ist. Sie werden es nun also bevorzugt ins Visier nehmen. Letztendlich können die Sicherheitsteams ihre Verzeichnisdienste nur schützen, wenn sie die Risiken kennen und einen genauen Überblick über Angriffe auf diese Ressourcen haben. Mit ITDR erhalten Sie kontinuierliche Transparenz über Risiken, Konfigurationsfehler und Anmeldedaten, die Angreifer während eines identitätsbasierten Angriffs ausnutzen wollen. Angriffe auf das AD werden so schnell nicht aufhören – Unternehmen stehen heute jedoch Tools und Ressourcen zur Verfügung, mit denen sie Angreifer, die es auf Anmeldedaten und das Active Directory abgesehen haben, schnell aufspüren und ausschalten können.