Vor Kurzem stellten Autoren der Cybersicherheitsbehörden von Australien, Großbritannien, Kanada, Neuseeland und den USA gemeinsam den Bericht Detecting and Mitigating Active Directory Compromises (Erkennung und Verhinderung von Active Directory-Kompromittierungen) vor. Leser sollten sich am Stuhl festhalten.
Der Bericht geht detailliert auf die Komplexität von Active Directory (AD) und die damit verbundenen Sicherheitsprobleme ein – und macht dabei keine Gefangenen. Wenn Ihr Unternehmen schon länger Active Directory einsetzt, wird der Bericht sicherlich Fragen bezüglich Schwachstellen und Konfigurationsfehlern aufwerfen, die sich in Ihrer AD-Instanz verbergen. Nachdem Sie diese nun kennen, wollen Sie sicherlich etwas dagegen unternehmen.
Ein Schlüssel zum Erfolg für Cyberkriminelle
In der Cybersicherheitsbranche spottet man, dass AD für Bedrohungsakteure ebenso nützlich ist wie Mimikatz, BloodHound, Impacket und andere. Der Spruch weist dabei auf einen Umstand hin, auf den auch die Autoren in ihrer Einführung eingehen:
„Nachdem Bedrohungsakteuren der Erstzugriff auf eine Active Directory-Umgebung gelungen ist, führen sie meist eine AD-Enumeration durch. Die erhaltenen Einblicke helfen ihnen, die unternehmensspezifischen Strukturen, Objekte, Konfigurationen und Beziehungen zu verstehen. Dadurch erhalten sie oft einen besseren Überblick über die Active Directory-Umgebung als das Unternehmen selbst.“
Warum sind Schutz und Sicherheitsmaßnahmen im Zusammenhang mit AD so wichtig? Weil die Bedrohungsakteure das immer wieder demonstrieren. Allein im Jahr 2024 wurden zahlreiche schwerwiegende Datenschutzverletzungen bekannt, bei denen Active Directory für laterale Bewegungen und Rechteerweiterung missbraucht wurde. Zu diesen umfangreichen Kompromittierungen gehörten unter anderem:
- Microsoft-Kompromittierung durch Midnight Blizzard
- TeamViewer-Kompromittierung durch Cozy Bear
- Black Basta-Ransomware-Angriffe
Bedrohungsakteure müssen sich in einer Art „Seitwärtsbewegung“ lateral vom Eindringungspunkt entlang der Angriffskette bis zu ihrem eigentlichen Ziel bewegen. Meistens geht es dabei um die Exfiltration von Daten oder die Verteilung von Ransomware. Es ist also nicht schwer zu verstehen, warum der Zugriff und die Ausnutzung von Active Directory für ihren Erfolg so wichtig sind.
Hindernisse bei der Abschaffung von Active Directory
Möchten Sie Active Directory loswerden und in die Cloud wechseln, um die zahlreichen mit Active Directory verbundenen Sicherheitsprobleme zu vermeiden? Für einige Firmen wie Startups und Kleinunternehmen kann sich ein reiner Cloud-Ansatz durchaus als erfolgversprechende Strategie erweisen.
Aufgrund der komplexen Migration ist er jedoch auch oft mit enormem Aufwand verbunden. So muss beispielsweise die Identitäts- und Zugriffsverwaltung von Grund auf neu konzipiert werden. Durch die Cloud werden neue Compliance-bezogene und gesetzliche Vorschriften (z. B. die Wahl des Datenspeicherortes) relevant. Weitere Stolpersteine sind die Umstellung der Belegschaft sowie die Unterbrechung der Geschäftsprozesse während des Wechsels. All das ist zudem mit hohen Kosten verbunden. Angesichts dieser zahlreichen Hindernisse spricht einiges dafür, dass Active Directory und die damit verbundenen Sicherheitsprobleme auch in Zukunft bei den meisten Unternehmen erhalten bleiben.
Sicher in die Zukunft
Ein wichtiger Grund dafür, dass Unternehmen überhaupt erst in dieser schwierigen Lage sind, ist die traditionell fehlende Governance bei AD-Implementierungen. Bei den meisten Unternehmen besteht dieses Problem seit Jahren und zum Teil sogar Jahrzehnten und ist die Ursache einer Vielzahl von damit zusammenhängenden Problemen. AD-Administratoren kommen und gehen, geschäftliche Prioritäten und die jeweiligen Anwendungen ändern sich. Ad-hoc implementierte Rechtezuweisungen werden nicht mehr entfernt. Zudem werfen Fusionen und Übernahmen gewachsene Strukturen um. Angesichts all dessen hat die AD-Bereinigung nur geringe Priorität.
Dadurch erreichen die Berechtigungen und Konfigurationen eine derartige Komplexität mit so umfangreichen Abhängigkeiten, dass Administratoren häufig vor dem Bereinigungsprozess zurückschrecken. In vielen Fällen wissen sie nicht, welche Geschäftsprozesse sie stören könnten. Gleichzeitig ist auch nicht klar, welche Risiken höchste Priorität haben und welche Konten und Berechtigungen Direktzugriff auf die wertvollsten IT-Assets gewähren.
Daher benötigen Unternehmen ein System, das ihre AD-spezifischen Risiken sowie die allgemeinen Identitätssicherheitsrisiken kontinuierlich erkennt, priorisiert und behebt. Lösungen zur Erkennung und Abwehr identitätsbezogener Bedrohungen (Identity Threat Detection and Response, ITDR) wie Proofpoint Identity Threat Defense schließen diese Sicherheitslücke.
Die Proofpoint-Perspektive
Aus meiner Sicht wäre es wünschenswert gewesen, in dem Bericht deutlicher auf die neue Sicherheitskategorie der ITDR-Lösungen hinzuweisen. Ich rechne zwar nicht damit, dass Behörden bestimmte Anbieter bevorzugen, doch die Erwähnung von ITDR und die Rolle solcher Lösungen beim Beheben von AD-Schwachstellen wäre für die Leser nützlich gewesen.
Eine ideale ITDR-Lösung sollte kontinuierlich einen umfassenden Überblick über die Identitätsschwachstellen und Konfigurationsfehler von Active Directory bieten. Doch damit noch nicht genug: Sie sollte auch Endpunkte abdecken und weitere Identitätssysteme wie PAMs einbinden, um möglichst vollständige Identitätssicherheit zu gewährleisten.
Gleichzeitig dürfen ITDR-Systeme den „DR“-Teil von ITDR – Erkennung und Reaktion – nicht vernachlässigen. Sie müssen also erkennen, wenn Bedrohungsakteure versuchen, sich lateral im Netzwerk zu bewegen und Berechtigungen zu eskalieren, ohne dass die Kriminellen dies mitbekommen. Dabei sollten Sicherheitsexperten Zugriff auf Echtzeit-Forensik haben, um die Bedrohungsakteure zu blockieren, bevor sie wirklich Schaden anrichten können.
Weitere Informationen
Wenn Sie an einem neutralen Blick auf die Risiken von Active Directory für Ihr Unternehmen interessiert sind, empfehle ich Ihnen die Lektüre dieses neuen Berichts.
Wenn Sie mehr darüber erfahren möchten, wie Proofpoint Ordnung in Ihre AD-Implementierung bringen kann, sehen Sie sich gern unsere Webseite zu Proofpoint Identity Threat Defense an.