:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Advertorial Notwendiger denn je: der Schutz von privilegierten Domain Accounts
Viele Angreifer, die zunächst unentdeckt bleiben, versuchen, an die privilegierten Benutzerkonten in einer Domain zu gelangen. Mit Hilfe einfacher Vorkehrungen und qualifizierter Sicherheitslösungen können Unternehmen wirksame Schutzmaßnahmen umsetzen, die dies verhindern.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/63/21/6321c5a61e622/09-spec-color-white-space-mne-logo.jpeg "09-spec-color-white-space-mne-logo (Specops Software GmbH)"){kind=logo}
Die Angriffsmethode einer Advanced Persistent Threat (APT) zielt häufig auf die Erlangung von Zugriffsrechten und Zertifikaten im Netzwerk ab. Der Angreifer geht Schritt für Schritt vor, um jeweils wertvollere Zugangsdaten und somit größere Zugriffsrechte in der Domain zu erlangen. Das wertvollste Ziel sind die Privilegien des Domain Administrators, um so Zugriff auf den Domain Controller, den wichtigsten Netzwerkserver, zu erhalten. Mit diesen Privilegien kann der Angreifer dann schalten und walten, bis er die vertraulichsten Daten eines Unternehmens erhalten hat.
Für das Unternehmen ist es von wesentlicher Bedeutung, die Zugangsberechtigungen eines Domain Administrators bestmöglich zu schützen und das Vorgehen des Angreifers zu blockieren. Dies kann der Sicherheitsbeauftragte auf zwei Wegen erreichen: Entweder indem er den Diebstahl von Zugangsberechtigungen und Zertifikaten verhindert; oder indem er die Seitwärtsbewegung des Angreifer auf unteren Domain-Ebenen blockiert. Eine Kombination aus aktiven Kontrollen und Aufspürfähigkeiten ist nötig, um den Diebstahl von Zugangsdaten und Rechten zu verhindern und die Angriffsmethode zu entdecken.
:quality(80)/images.vogel.de/vogelonline/bdb/917900/917956/original.jpg "Von System 1 hat der Benutzer 1 Zugriff auf System 2, System 3, System 4 und System 5. Ein Angreifer kann daher von System 1 aus die Hash-Zugangsdaten von Benutzer 1 weitergeben und sich bei jedem angeschlossenen System authentifizieren. Der Angreifer sucht nach weiteren Hash-Werten, mit denen er dann von einem System zum nächsten vordringen und sich dann bei System 9 anmelden kann, dem einzigen Rechner im Diagramm, der Zugang zum Domain Controller hat. Bei einem systematisch durchgeführten Angriff ist das gesamte Netzwerk bedroht, sobald ein Angreifer Zugriff auf einen privilegierten Passwort-Hash hat.")
:quality(80)/images.vogel.de/vogelonline/bdb/917900/917957/original.jpg "Karte der für die Pass-the-Hash-Methode verwundbaren Schwachstellen in einer Organisation. Pass-the-Hash ist eine ernstzunehmende Bedrohung für Unternehmen, weil diese Methode den Zugang zum Zentrum des Unternehmens ermöglicht. Solche Angriffe können Sicherheitsvorkehrungen umgehen und erlauben es den Angreifern, unentdeckt im Netzwerk herumzustreifen.")
:quality(80)/images.vogel.de/vogelonline/bdb/917900/917958/original.jpg "Der DNA-Report liefert umfassende, detaillierte Informationen über Systeme und Benutzerkonten und den Gefährdungsstatus des Unternehmens in Bezug auf Pass-the-Hash-Angriffe. Für Pass-the-Hash enthält der Report ein übersichtliches Dashboard, das umfassende Informationen über gefährdete Zugangsdaten liefert.")
:quality(80)/images.vogel.de/vogelonline/bdb/917900/917959/original.jpg "Mit seinen zwei Lösungen Privileged Session Manager und Digital Vault vereitelt CyberArk die Anwendung der Pass-the-Hash-Methode.")
Der Pass-the-Hash-Angriff
Bei der Seitwärtsbewegung durch die Domain kann der unbefugte Nutzer mehrere Schwachstellen ausnutzen, um mehr Rechte zu erlangen. Die verbreitetste Schwachstelle ist "Pass-the-Hash". Wenn ein Domain-Nutzern auf einem Windows-Rechner eine interaktive Session startet, werden Passwort-Hash-Codes erzeugt und im Hauptspeicher des Clients abgelegt. Ein Eindringling, der sich auf dem Server eingenistet hat, kann diese Hashcodes aus dem Hauptspeicher des Clients auslesen und sie dazu missbrauchen, sich auf einem anderen Rechner als Domain-User anzumelden. Der Unbefugte, der diese Zugangsdaten verwendet, braucht also nicht einmal das echte Passwort zu kennen.
Schutzmaßnahmen gegen Rechtediebstahl
Viele Accounts in einem Active Directory verfügen über unnötige oder verwaiste Privilegien. Jeder Account vergrößert die Angriffsfläche und sollte aufgespürt, gelöscht oder mit den angemessenen Berechtigungen versehen werden. Des weiteren sollten die Anmeldedaten regelmäßig verändert werden.
Das Beseitigen aller persönlich zugewiesenen Administrations-Accounts ist der nächste Schritt. Das Unternehmen sollte solche Zugangsdaten in einem digitalen Tresor speichern und jeden Zugriff protokollieren. Größtes Augenmerk verlangen Benutzerkonten auf der Ebene von Domain-Admins. Entsprechende Lösungen können automatisiert den gesamten Lebenszyklus aller Accounts verwalten.
Jump-Server nutzen
Als wirksame Schutzmethode hat sich der Einsatz von Proxy-Servern erwiesen. Damit lässt sich verhindern, dass ein – egal ob legitimer oder unbefugter - Nutzer das tatsächliche Passwort zu sehen bekommt. Der Jump-Server, der privilegierte Sessions verwaltet, startet eine Sitzung, ohne dass das Passwort je den Endpunkt des Nutzers erreicht. Gleichzeitig können auch Schädlinge, die sich evtl. auf dem Endpunkt befinden, nicht auf die Serverlandschaft übergreifen.
Die Lösung verbindet den User direkt mit dem von ihm gewünschten Zielrechner. Dabei holt sie die nötigen Zugangsdaten dieses Users aus dem digitalen Tresor und leitet sie direkt an den Zielrechner weiter, der dann den Zugang gewährt. Ein Beispiel für einen solchen Proxy Server wäre der Privileged Session Manager von CyberArk.
Seitwärtsbewegung unterbinden
In der zweiten Phase nach dem Eindringen in ein Netzwerk bewegt sich ein Angreifer im Netzwerk quasi seitwärts, um so möglichst viele und hochwertige Zugangsberechtigungen zu erlangen. Ein einziger so kompromittierter Rechner kann bis zu 80 Prozent der Netzwerkrechner einem Risiko aussetzen. Diesen Vorgang zu stoppen, wäre also eine sehr wirksame Schutzmaßnahme. Ein Diagramm der von einem Rechner infizierbaren anderen Rechner hilft herauszufinden, wo man mit diesem Schutz als erstes ansetzen sollte.
Wenn beispielsweise ein Local Administrator Account in einer Organisation stets mit dem gleichen Passwort versehen ist und der Angreifer dieses per Pass-the-Hash knackt, hat er Zugang zum gesamten Netzwerk. Es ist daher ratsam, jeweils ein einzigartiges Passwort pro lokalem Server-Account zu vergeben. Das gleiche gilt für das turnusmäßige Wechseln des Passworts, damit die im Speicher abgelegten Hashcodes unwirksam werden.
Eine weitere wirksame Maßnahme ist die Begrenzung des Gültigkeitsbereichs von Zugangsdaten, nicht nur auf der gleichen Ebene, sondern zwischen den verschiedenen Ebenen der Workstations, Server und des Domain Controllers. Das bedeutet, dass Zugangsdaten für einen Domain Controller sich nicht auf Server oder Workstations anwenden lassen. Damit kann der Sicherheitsbeauftragte die Ausweitung von Zugriffsrechten wirksam begrenzen. Auch hier kommt es auf die automatisierte Durchsetzung dieser Richtlinie und die transparente Rechteverwaltung durch entsprechend qualifizierte Lösungen an.
(ID:43589904)
:quality(80)/p7i.vogel.de/wcms/b7/77/b7778f0f670e34b6ff10b1f6c16da1b0/0103690990.jpeg "Christian Götz von CyberArk erläutert, wie sich Schatten-Admins mithilfe einer ACL-Analyse ermitteln lassen – ein wichtiger Schritt auf dem Weg hin zu einem Domänennetzwerk. (Bild: CyberArk)")
:quality(80)/p7i.vogel.de/wcms/e6/57/e6574acfc8cdb3be097a2e72f8e5341e/0111094277.jpeg "Angriffe auf das Active Directory sicher abzuwehren ist praktisch unmöglich! Die neue Strategie lautet, alles für die Absicherung zu tun, aber mit erfolgreichen Hacks und Breaches zu rechnen und den Schaden über die Faktoren Aufmerksamkeit und Schnelligkeit gering zu halten. (Bild: © flashmovie - stock.adobe.com)")