Active Directory: Wie Angreifer mit Deception in die Falle gelockt werden
Überlistet und ausgebremst
Neben passiven Schutzmaßnahmen, die ein Eindringen von Angreifern in Active-Directory-Umgebungen verhindern sollen, gibt es auch offensivere Methoden: Eine aktive Verteidigung soll Eindringlinge in die Irre führen, damit sie schneller entdeckt werden und weniger Schaden anrichten.
Der letzte Teil der in den vergangenen Monaten erschienenen Artikelreihe widmet sich einem noch jungen Ansatz zur Absicherung des Active Directory (AD): der aktiven Verteidigung. Ging es bei den vorherigen Beiträgen darum, welche Einfallstore das Active Directory bietet, wie Systemverwalter Fehlkonfigurationen vermeiden, ihre Umgebung härten und mögliche Angriffe durch Logs und Monitoring entdecken können, so zielt die neue Methode darauf, Angriffsversuche schnell zu erkennen und Eindringlinge in die Irre zu führen. Vermeintlich fehlkonfigurierte Konten, die aussehen, als seien sie echt, bei Missbrauch aber Alarm auslösen, sollen unerwünschte Gäste im Unternehmensnetzwerk in die Falle locken. Unter Sicherheitsexperten ist unumstritten: Nach dem „Assume Breach“-Ansatz bereitet es Angreifern keine Schwierigkeiten, ein beliebiges System in einem Unternehmen zu kompromittieren, beispielsweise durch Phishing oder das Ausnutzen einer Schwachstelle, und von dort Befehle auszuführen. Dass eine Organisation angegriffen wird, ist also keine Frage des Ob, sondern nur eine Frage des Wann. Spätestens mit den immer verheerenderen Ransomware-Attacken sollte dies deutlich geworden sein.
Spät erkannte Angriffe
Noch immer investieren Unternehmen meist nur in das Verhindern und kaum in das Erkennen möglicher Sicherheitsvorfälle. Zwar drängen mit Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) neuere Techniken auf den Massenmarkt, die kompromittierte Systeme erkennen sollen (siehe [1] und Artikel „Auf dem Radar“ Seite 52). Allerdings haben sich fortgeschrittene Angreifer daran angepasst und können diese und etablierte Sicherheitsmaßnahmen wie Malwarescanner mit etwas Aufwand umgehen (siehe ix.de/zbmf). Selbst wenn ein Monitoring eingerichtet ist, auf das ein internes oder externes Security Operations Center (SOC) [2] ein wachsames Auge hat, sind die Meldungen größtenteils falsche Warnungen, was zu einer gewissen Alarmmüdigkeit der Verteidiger führt. All dies bedeutet, dass es in Europa – je nach Quelle, jüngst erschien beispielsweise der FireEye M-Trends Report 2021 (siehe ix.de/zbmf) – im Mittel immer noch zwei Monate dauert, bis ein Angriff entdeckt wird.