Vor kurzem hatte ich das Vergnügen, gemeinsam mit Ran Harel, Principal Security Product Manager bei Semperis, ein Webinar zu halten, in dem es darum ging, das MITRE ATT&CK Framework für Unternehmen, die ihre Sicherheit erhöhen wollen, relevant und umsetzbar zu machen. In dem Webinar konzentrierten wir uns auf das am häufigsten angegriffene Ziel - Active Directory - und demonstrierten, wie Angreifer AD ausnutzen, wie diese Angriffe dem MITRE Framework entsprechen und zeigten einige wertvolle Tools, die bei der Entdeckung und Bekämpfung dieser unerbittlichen Angriffe helfen können.
Ein interessanter Punkt, der sich aus dem Webinar ergab, war das falsche Gefühl der Sicherheit, das die meisten Praktiker in Bezug auf ihre AD-Implementierungen haben. Zu Beginn der Sitzung baten wir alle Teilnehmer zu bewerten, wie sicher sie ihr AD empfinden. Fünfzig Prozent gaben an, dass sie AD für "sehr sicher" halten, während 43% angaben, es sei "etwas sicher". Diese Ergebnisse stehen in direktem Widerspruch zu den realen Daten, die aus Hunderten von Semperis Purple Knight Bewertungen von AD stammen. Die durchschnittliche Purple Knight Sicherheitsbewertung für AD insgesamt liegt bei 64% - das ist nach allen Maßstäben eine mangelhafte Note. Das ist angesichts des heutigen Zustands des AD-Schutzes nicht wirklich überraschend.
Verwandte Lektüre
Ich habe während der Sitzung darauf hingewiesen, dass viele Unternehmen den AD-Schutz "aufgegeben" haben. Der beste Schutz besteht heute in Form von Microsoft-Richtlinien und Best Practices - das reicht nicht aus, um die Schlüssel zum Königreich zu schützen. Die Unternehmen haben viel Zeit und Geld in die Prüfung und Verwaltung von AD gesteckt, aber nicht in den Schutz und die Erkennung. Ich würde behaupten, dass AD in den meisten Unternehmen das am wenigsten geschützte Gut ist. Um in AD einzubrechen, müssen Sie nur ein einziges Benutzerkonto kompromittieren.
Ran Harel hat diesen Punkt mit einer großartigen Demo von AD-Angriffstaktiken verdeutlicht. Er zeigte, wie der aktuelle Print Nightmare Exploit auf Standard-AD-Implementierungen ausgeführt wird, und wenn Sie den Rat von Microsoft befolgt hätten, wären Sie immer noch anfällig gewesen. Microsoft hat inzwischen Patches zur Verfügung gestellt, um die Schwachstellen zu beseitigen, aber nicht bevor Tausende von Unternehmen dem Angriff zum Opfer gefallen sind. Anhand des MITRE ATT&CK-Frameworks lässt sich leicht erkennen, dass die meisten Unternehmen selbst mit den besten Absichten kaum in der Lage sind, die von Angreifern angewandten Taktiken der lateralen Bewegung und der Privilegienerweiterung zu erkennen und zu vereiteln, die durch das Framework aufgedeckt werden.
Der Wert des MITRE ATT&CK Framework entsteht, wenn Praktiker es nutzen, nicht nur als theoretische Erkenntnis, sondern als Leitfaden für praktische und umsetzbare Abhilfemaßnahmen und Prävention. Bedrohungsakteure denken anders als Sicherheitsexperten, und das Framework ermöglicht es uns allen, wie ein Angreifer zu denken und uns so besser zu schützen.
Das Wunderbare an diesem Übergang von der Theorie zur Praxis ist, dass es Organisationen gibt, die Ihnen dabei helfen. Mein Unternehmen, ISSQUARED, liefert die Erkenntnisse und die Beratung, die Ihnen helfen, das Framework in die Tat umzusetzen. Und Semperis bietet die leistungsfähigsten Tools der Branche für den gesamten Lebenszyklus von Angriffen - vor, während und nach dem Angriff. Die Tools von Semperis bieten eine kontinuierliche Überwachung auf Unternehmensniveau und automatische Abhilfemaßnahmen durch die Lösung Directory Services Protector (DSP) - die Ran auf eindrucksvolle Weise demonstriert hat - sowie eine punktuelle Bewertung durch Purple Knight, ein kostenloses Tool, das bei der Erstellung einer Baseline hilft und einen realistischen Überblick über die tatsächliche Sicherheit Ihrer AD-Umgebung bietet. Beide Tools sind gründlich auf das MITRE ATT&CK Framework sowie auf viele Branchenvorschriften und Best-Practice-Frameworks wie CIS und NIST abgestimmt.
Ich lade Sie ein, sich die Aufzeichnung dieses Webinars anzusehen, um mehr über das MITRE ATT&CK Framework zu erfahren und wie Sie es von der Theorie in die Praxis umsetzen können. Sie können die Aufzeichnung hier finden. Und wenn Sie schon dabei sind, empfehle ich Ihnen, Semperis herunterzuladen und auszuführen Purple Knight herunterzuladen und auszuführen, um herauszufinden, wo Sie derzeit stehen und wie sich diese Position mit dem Framework deckt. Sobald Sie das wissen, können Sie mit der Verteidigung beginnen.