(Anmerkung der Redaktion: Dieser Artikel ist ein Gastbeitrag von Ed Amoroso, CEO und Gründer von TAG).
Jeder Beobachter der Cybersicherheit im öffentlichen Sektor wird die ernsten Herausforderungen erkennen, die sich in den letzten Jahrzehnten beim Schutz der Informationstechnologie (IT) für die Behörden des öffentlichen Sektors der USA ergeben haben. Große Vorfälle, wie die Datenpanne beim US Office of Personnel Management (OPM) im Jahr 2015, sowie Angriffe von Staaten auf wichtige Behörden, wie das US-Außenministerium, verdeutlichen die anhaltende Herausforderung für Beamte im öffentlichen Sektor.
Welchen Einfluss hat Active Directory auf die Cybersicherheit im öffentlichen Sektor?
Es sollte nicht überraschen, dass öffentliche Einrichtungen für die gleichen Schwachstellen im Bereich der Cybersicherheit anfällig sind wie jeder andere Sektor auch. Die Zugehörigkeit zum öffentlichen Sektor scheint keinen großen Vorteil in Bezug auf die Vermeidung von Bedrohungen oder den Schutz vor Cyberangriffen zu bieten. Daher ist es vernünftig anzunehmen, dass eine der häufigsten und intensivsten Schwachstellen in der Cybersicherheit des öffentlichen Sektors Schwachstellen in Microsoft Active Directory (AD) sind.
AD ist die Grundlage für das Identitätsmanagement und die Zugriffskontrolle in den meisten öffentlichen Einrichtungen.
- Die Integrität von AD ist von entscheidender Bedeutung, um sicherzustellen, dass nur autorisiertes Personal auf sensible Regierungsinformationen, kritische Systeme und klassifizierte Ressourcen zugreifen kann.
- Eine Verletzung der AD-Sicherheit kann die nationale Sicherheit gefährden, die Daten der Bürger preisgeben und wichtige öffentliche Dienste unterbrechen.
- Die Behörden des öffentlichen Sektors müssen strenge Vorschriften einhalten und gesetzliche Auflagen erfüllen, die AD-Sicherheitsprotokolle erfordern.
- Die Komplexität der IT-Ökosysteme von Behörden und die Zunahme hybrider Arbeitsumgebungen erhöhen den Bedarf an fortschrittlichen AD-Sicherheitsmaßnahmen weiter.
Organisationen des öffentlichen Sektors müssen daher dem AD-Schutz Priorität einräumen, um unbefugten Zugriff zu verhindern, die Einhaltung von Vorschriften zu gewährleisten und die betriebliche Kontinuität angesichts der sich weiterentwickelnden Cyber-Bedrohungen aufrechtzuerhalten.
Erfahren Sie mehr über die Absicherung von Active Directory
Was bedeutet AD-Angriffserkennung?
Das Erreichen eines ausreichenden Niveaus an AD-Sicherheit hängt von einer Vielzahl von Funktionen, Kontrollen und Diensten ab. Diese wiederum hängen nicht nur von guten Sicherheitsfunktionen ab, sondern auch von einer ordnungsgemäßen täglichen Verwaltung. Nach unserer Beobachtung besteht der schwierigste Aspekt der AD-Sicherheit für den öffentlichen Sektor in der Erkennung und Eindämmung von Angriffen vor, während und nach ihrer Ausführung auf ein lebendes Ziel.
Bei der Erkennung von AD-Angriffen geht es um die Identifizierung bösartiger Aktivitäten, die auf AD-Systeme abzielen. Solche Aktivitäten umfassen:
- Unbefugte Anmeldungen
- Eskalation von Privilegien
- Änderungen an Verzeichnisstrukturen
Eine wirksame Erkennung von AD-Angriffen beruht auf kontinuierlicher Überwachung, dem Einsatz von künstlicher Intelligenz und Verhaltensanalysen, um verdächtige Aktivitäten zu erkennen. Diese Funktionen ermöglichen eine schnelle Erkennung von Anomalien, wie z.B. eine ungewöhnliche Erhöhung der Zugriffsrechte oder Änderungen an Gruppenrichtlinien.
Angesichts der entscheidenden Rolle von AD bei der Verwaltung des Zugriffs auf Regierungssysteme ist die Erkennung von Angriffen in Echtzeit unerlässlich, um die Auswirkungen von Cyberangriffen zu minimieren. Eine frühzeitige Erkennung verbessert die Reaktion auf Vorfälle erheblich und minimiert das Risiko größerer Sicherheitsverletzungen. Durch die proaktive Erkennung von Bedrohungen können öffentliche Einrichtungen:
- Verweilzeit reduzieren
- Begrenzen Sie die Bewegungen von Angreifern innerhalb von Netzwerken
- Ergreifen Sie sofortige Maßnahmen zum Schutz sensibler Daten und Dienste
Aktuelle identitätsbezogene Bedrohungen für die Cybersicherheit im öffentlichen Sektor
Wie bereits angedeutet, sind Behörden aufgrund des Wertes ihrer Ressourcen ein Ziel. Ransomware-Angriffe gehören zu den am weitesten verbreiteten Bedrohungen. Sie nutzen häufig Schwachstellen in der AD aus, um sich über die Systeme von Behörden auszubreiten und Dienste zu unterbrechen.
Diese Angriffe zielen häufig darauf ab, die Infrastruktur lahmzulegen oder die Behörden zu erpressen, um hohe Summen für die Entschlüsselung wichtiger Daten zu erhalten. Nationale Akteure, die es auf AD-Anmeldeinformationen für Spionagezwecke abgesehen haben, sind ebenfalls ein ernstes Problem.
Darüber hinaus handelt es sich bei vielen IT-Umgebungen im öffentlichen Sektor um Altsysteme, die häufig ungepatchte Schwachstellen und Fehlkonfigurationen enthalten, die Angreifer ausnutzen. Die Verlagerung zur Telearbeit hat die Sicherheitsbemühungen weiter erschwert, die Angriffsfläche vergrößert und das AD potenziellen Verletzungen ausgesetzt. Diese sich entwickelnden Bedrohungen unterstreichen die dringende Notwendigkeit einer robusten AD-Sicherheit in öffentlichen Einrichtungen.
Ganz allgemein weist das Cybersecurity-Problem im öffentlichen Sektor auf allgemeine Schwächen in den Identitäts- und Zugriffsmanagement-Ökosystemen (IAM) hin, die zur Verwaltung von Benutzeridentitäten und zur Integration mit AD eingerichtet wurden. Diese Herausforderung sollte Praktiker nicht überraschen, denn IAM stellt einen der schwierigsten Aspekte der modernen Unternehmenssicherheit dar. Die Sicherheit im öffentlichen Sektor ist nicht anders.
Bundesmandate für Cybersicherheit im öffentlichen Sektor
In den Vereinigten Staaten gibt es verschiedene Bundesgesetze zur Durchsetzung von Cybersicherheitsmaßnahmen im öffentlichen Sektor, insbesondere bei IAM und verwandten Systemen wie Verzeichnisdiensten. Einer der wichtigsten Gesetzgebungsrahmen ist der Federal Information Security Modernization Act (FISMA), der von Bundesbehörden verlangt, Informationssysteme und Benutzerdaten zu schützen, einschließlich des Identitätsmanagements.
Gemäß FISMA müssen die Behörden Schutzmaßnahmen wie die Multifaktor-Authentifizierung (MFA) und Benutzerzugriffskontrollen einführen, um den sicheren Zugriff auf Regierungsressourcen zu gewährleisten. Darüber hinaus hat die Executive Order 14028 (Improving the Nation's Cybersecurity) die Einführung der Zero Trust Architecture (ZTA) vorangetrieben, die den Behörden vorschreibt, von der Perimeter-basierten Sicherheit zu einem identitätsorientierten Ansatz überzugehen, der davon ausgeht, dass jede Zugriffsanfrage bis zu ihrer Überprüfung nicht vertrauenswürdig ist.
IAM-Systeme des öffentlichen Sektors werden auch durch Richtlinien wie die Special Publication 800-63 on Digital Identity Guidelines des NIST reguliert, die Best Practices für den Identitätsnachweis, die Authentifizierung und das Lifecycle Management von Bundesbenutzern festlegt. Diese Richtlinien wirken sich direkt auf die Sicherheit von Identitätssystemen und Verzeichnisdiensten im öffentlichen Sektor aus, einschließlich der Durchsetzung strenger Überprüfungsprozesse und der Verbesserung von Identitätsverbundmechanismen.
Obwohl es keine expliziten Mandate für eine verbesserte AD gibt, deuten die allgemeinen Auswirkungen dieser Richtlinien darauf hin, dass die Sicherung der Identitätssysteme von Unternehmen vorangetrieben wird. AD spielt eine entscheidende Rolle bei der Verwaltung von Identitäten und der Durchsetzung von Richtlinien im gesamten öffentlichen Sektor, einschließlich Auftragnehmern. Im Rahmen der Bemühungen der Regierung um "Zero Trust" hat die Cybersecurity and Infrastructure Security Agency (CISA) Best Practices für die Sicherung von Identitäts- und Zugriffskontrollen veröffentlicht, die Behörden und Auftragnehmer dazu ermutigen, robustere Strategien für die Verzeichnissicherheit einzuführen.
Einsatz von Semperis für die AD-Sicherheit im öffentlichen Sektor
Eine gute Nachricht ist, dass IAM zwar weiterhin ein komplexes Unterfangen bleiben wird (dessen Lösungen den Rahmen dieses Papiers sprengen würden), wir aber berichten können, dass es für Gruppen des öffentlichen Sektors, einschließlich Bundesbehörden, wirksame Optionen gibt, um die mit ihrer AD-Einführung verbundenen Risiken zu verringern. Angesichts der wichtigen Rolle, die AD in der gesamten Identitätsumgebung der meisten Behörden spielt, sollte dies eine willkommene Situation sein.
Das Cybersecurity-Unternehmen Semperis bietet eine Reihe von AD-Sicherheitslösungen an, die auf die Bedürfnisse von Organisationen des öffentlichen Sektors zugeschnitten sind und sich auf Echtzeitüberwachung, schnelle Angriffserkennung und Disaster Recovery konzentrieren . Die Plattform von Semperis erkennt unbefugte Änderungen an AD, wie z.B. Privilegienerweiterungen oder Änderungen an Gruppenrichtlinien, und liefert automatische Warnmeldungen an Sicherheitsteams, so dass sofortige Maßnahmen ergriffen werden können.
Semperis bietet Behörden des öffentlichen Sektors robuste AD-Wiederherstellungs-Tools, die die Ausfallzeiten minimieren und die Verbreitung von Ransomware verhindern. Wenn eine AD-Umgebung kompromittiert wird, können Organisationen mit den automatisierten Wiederherstellungsfunktionen von Semperis die betroffenen Verzeichnisse schnell wieder in einen Zustand vor der Kompromittierung versetzen. Für Behörden, die an strenge Compliance- und Betriebszeitanforderungen gebunden sind, ist eine schnelle Reaktion und Wiederherstellung nach AD-Angriffen unerlässlich.
Stärken Sie die Cybersicherheit im öffentlichen Sektor mit einem Aktionsplan zur AD-Härtung
TAG rät den CISOs des öffentlichen Sektors, eine Sicherheitsstrategie zu entwickeln, die den Schwerpunkt auf AD-Härtung, kontinuierliche Überwachung und Reaktion auf Vorfälle legt. Ein wichtiger erster Schritt ist die Durchführung regelmäßiger Sicherheitsbewertungen, um AD-Fehlkonfigurationen, ungepatchte Schwachstellen und Bereiche, die ausgenutzt werden könnten, zu identifizieren. Durch den Einsatz fortschrittlicher AD-Sicherheitslösungen, wie der Plattform von Semperis, können Behörden Angriffe in Echtzeit erkennen und so eine schnelle Reaktion und Schadensbegrenzung gewährleisten. Behörden, die an einer Zusammenarbeit mit Semperis interessiert sind, sollten sich direkt mit dem Unternehmen in Verbindung setzen, um das beste verfügbare Vertragsmodell für eine Proof-of-Concept (POC)-Einführung zu ermitteln.
Entdecken Sie Expertenstrategien für die Absicherung von Active Directory
Über TAG: TAG wurde von Fast Company ausgezeichnet und ist ein vertrauenswürdiges Forschungs- und Beratungsunternehmen der nächsten Generation, das eine KI-gestützte SaaS-Plattform nutzt, um Unternehmensteams, Regierungsbehörden und kommerziellen Anbietern Einblicke, Beratung und Empfehlungen in den Bereichen Cybersicherheit, künstliche Intelligenz und Klimawissenschaft zu bieten.