ADSecure geht mit Täuschungsmanövern gegen den Missbrauch von Active-Directory-Informationen vor. Angreifer, die etwa auf der Suche nach Informationen über Domain-Admins oder Domain-Controller sind, werden laut Hersteller Attivo Networks in eine virtuelle Umgebung voller Fallen geführt.
ADSecure führt Angreifer in die virtuelle Attivo Networks Deception Fabric und zu gefälschten AD-Informationen.
(Bild: Attivo Networks)
ADSecure werde aktiv, sobald ein Angreifer über einen kompromittierten Endpoint eine illegitime Query in Microsoft Active Directory (AD) startet. Die Anfrage werde zunächst ganz regulär an den AD-Server geleitet und dort ordnungsgemäß verarbeitet. Die Antwort, die vom AD-Server an den Endpoint zurückkommt, werde jedoch von ADSecure modifiziert; der Angreifer ende in der virtuellen Attivo Networks Deception Fabric.
Dort erhalte der Angreifer, der nach Informationen über privilegierte Domänenkonten, Systeme und andere hochwertige Objekte sucht, gefälschte Active-Directory-Ergebnisse, die die automatisierten Tools eines Angreifers unwirksam machen. Jegliche Angriffsversuche in dieser Köderumgebung liefen so in eine virtuelle Umgebung bestehend aus Fallen.
Indem Angreifer in die Täuschungsumgebung geleitet würden, könne die ThreatDefend-Plattform von Attivo Networks den Angriff genau untersuchen, um Taktiken, Techniken und Verfahren zu eruieren und unternehmensspezifische Bedrohungsinformationen für eine beschleunigte Reaktion zu sammeln.
Die Besonderheit bei der Verwendung von ADSecure sei, dass das Active Directory nicht modifiziert werden müsse und die produktiven Domain-Controller durch die Implementierung von ADSecure nicht gestört würden. Auch ein AD-Admin müsse bei der Einrichtung von ADSecure nicht aktiv werden.
Fokus auf verkürzte Dwell-Time
Der in ADSecure implementierte Ansatz zur Bedrohungserkennung konzentriere sich insbesondere darauf, die so genannte Dwell-Time – die Zeitspanne, in der sich ein Cyberangreifer in einer Netzwerkumgebung bis zu seiner Entdeckung und Eliminierung bewegen kann – zu reduzieren. Hierfür würden sowohl auf Netzwerk- als auch auf Endpoint-Ebene Köder ausgelegt, etwa in Applikationen oder in Dateien. Die Zeitspanne, in der ein Unternehmen maliziösen Aktivitäten ausgesetzt sei, werde verkürzt, da man weder von einem Signatur- noch von einem Datenbankabgleich abhängig sei.
Live-Angriffserkennung
ADSecure fange Angriffe in Echtzeit ab und biete so eine proaktive Verteidigung gegen die unautorisierte Sammlung von AD-Informationen. Dabei könne ADSecure Methoden antizipieren, die ein Angreifer möglicherweise verwenden wird, um über einen infizierten Endpoint in das Unternehmensnetzwerk einzubrechen.
(ID:46494748)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.