Chris Roberts

Beginnen wir mit einer kleinen Geschichtsstunde... Damals, im Jahr 2014, gab es eine Reihe von Artikeln, in denen aus verschiedenen Gründen die Abschaffung und der Tod von Active Directory (AD) gefordert wurde. Spulen Sie ins Jahr 2018 vor, und wir forderten seinen Untergang oder einfach nur, dass Unternehmen ihre AD-Server nehmen, von der Klippe werfen und auf den Cloud-Zug der verwalteten Verzeichnisdienste und der Identität als Service aufspringen sollten...

Wenn Sie heute den Anbietern von Identitätslösungen zuhören, erklären sie Ihnen, dass AD 20 Jahre alt ist und in Rente geschickt werden muss, weil sie sich um alles kümmern können. Und wer muss sich schon mit gemeinsam genutzten Druckern und all dem Kleinkram im Büro herumschlagen? Schon gut, die Cloud macht's, und was auch immer da fehlt, sie werden sich darum kümmern, ODER es ist keine große Sache. 

Hmmm, Realitätscheck, bitte. 

Erstens: Ja, Active Directory gibt es seit etwa 20 Jahren und es hat sich weiterentwickelt, ist gereift und vielseitig geworden, um mit vielen der modernen Komplexitäten fertig zu werden, mit denen wir es konfrontiert haben. Es ist nicht perfekt, genauso wenig wie alles andere auf dem Markt, aber es ist in der Lage, als Teil einer hybriden Lösung zu arbeiten und sich um viele dieser Cloud-bezogenen Anwendungen zu kümmern, die wir alle nutzen. 

Zweitens: Jeder, der glaubt, dass sich Ressourcen wie Drucker "von selbst erledigen", muss sich den Kopf untersuchen lassen. Als Hacker sind Drucker einer meiner Lieblingsorte, an denen ich mich aufhalte, die Landschaft kartiere, das Büro beobachte, Daten ernte, sammle und exfiltriere... sie sind großartig. Niemand setzt gerne Virenschutz auf sie an, patcht sie oder fügt sie sogar zu den Regeln für die Netzwerksperre hinzu, weil die Verwaltung so mühsam ist... was bedeutet, dass sie für jeden Angreifer einen Sitz in der ersten Reihe in der Oper bieten. 

Drittens: Sie müssen verrückt sein, wenn Sie glauben, dass Sie das, was Sie heute haben, einer Identitätsmanagement-Organisation überlassen können. Ja, vieles von dem, was sie tun, ist ausgezeichnet und ergänzt einen Teil der AD-Architektur. Es fügt eine Ebene hinzu und bietet zusätzliche Authentifizierungsmechanismen, die AD einfach nicht hat. Aber es wird ganz sicher NICHT alle Ihre Systeme, Architekturen, Freigaben, Umgebungen und Feinheiten in Ihrem Unternehmen verwalten. 

Das bringt uns zum Abschnitt "WARUM"...

Wie bereits unter Punkt 3 erwähnt, ist Active Directory komplex und umfangreich. Es hat mehr Tentakel in Ihrem Unternehmen als Cthulhu an einem guten Tag - was bedeutet, dass es Schwachstellen und Herausforderungen mit sich bringt. Einige dieser Probleme sind auf die Art und Weise zurückzuführen, wie AD eingerichtet ist, einige auf die Verwaltung und deren Entwicklung und einige einfach darauf, dass die Verwaltung von AD (ich meine die WIRKLICHE Verwaltung) eine schwarze Kunst ist, die nur von wenigen guten Leuten beherrscht wird... von denen die meisten im Laufe der Jahre verrückt geworden sind. 

All dies führt dazu, dass AD ein erstklassiges Ziel für jeden Angreifer ist, der in Ihre Umgebung eindringen möchte. Eine schnelle Zählung der verschiedenen Datenbanken mit Sicherheitslücken zeigt, dass AD so viele Schwachstellen aufweist, dass wir eine Gruppe von Freunden bräuchten, um zu zählen, wie man in das System einbrechen oder es ausnutzen kann. Und das arme LDAP hat so viele Probleme, dass es fast wöchentlich von einem Therapeuten behandelt wird, seit es auf der Bildfläche erschienen ist (fast 600 Möglichkeiten, LDAP zum Einbruch in Systeme zu nutzen... und es werden immer mehr). 

Herzlichen Glückwunsch, das Herzstück Ihres Unternehmens ist eine fantastische technologische Lösung, die alle Ihre Assets, Benutzer, Systeme, Richtlinien, Profile und Rechte verwaltet... und dennoch so undicht wie ein Sieb und so anfällig wie ein einjähriges Fohlen ist. 

Und was machen Sie? Sie umgeben es mit einer Fülle von Akronymen, die schützen und dienen sollen, aber als Gegner werde ich trotzdem reinkommen. Im Durchschnitt bin ich sogar schon drin. Ich sitze wahrscheinlich in diesem Drucker und habe mehrere Monate lang nur zugesehen... und Sie wussten nicht einmal, dass ich hier bin. Wir hatten diese Diskussion schon einmal, aber ich werde Sie daran erinnern. Sie können mich nicht aufhalten, keine Chance, nichts, was Sie kaufen, nichts, was Sie abonnieren oder in das Sie investieren, wird mich daran hindern, in Ihrem (oder in Ihrem) Netzwerk die erste Base zu erreichen. Die Herausforderung ist, was tun Sie als nächstes? 

WENN Sie die Philosophie des "assume breach" verfolgen, dann haben Sie bereits einige Überlegungen angestellt. Sie haben Tabletop-Übungen durchgeführt. Sie werden Ihre Probleme und Herausforderungen kennen. Sie werden verschiedene Technologien einsetzen, um proaktivere und präventive Hinweise zu erhalten, und hier kommen die Leute von Semperis ins Spiel. UND das ist auch der Grund, warum ich mich mit ihnen treffe und ihnen helfe, etwas mehr zu verstehen. (Sie haben bereits eine Menge Informationen darüber, wie der Gegner arbeitet... ich bin nur für die wirklich hinterhältigen Dinge hier...)

Wie wäre es, wenn Sie das Konzept des AD Gesundheits-, Sicherheits- und Überwachungsprogramms auf die Spitze treiben und es der Community kostenlos zur Verfügung stellen? Ja, das wird bald etwas für die Forscher und Geeks sein. 

Wie wäre es, wenn wir die Herausforderungen von AD nehmen, die Angriffsvektoren dem MITRE ATT&CK-Framework zuordnen und Ihnen dann helfen zu verstehen, wie wir diese Probleme entschärfen? Ja, das wird bald veröffentlicht und sollte Audit und Management zufrieden stellen. 

Für den schlimmsten Fall... wenn es Sie erwischt, wie wäre es, wenn wir einen Genesungsprozess ausarbeiten, damit Sie Ihre Zeit damit verbringen können, wieder auf die Beine zu kommen, ohne Lösegeld an gesichtslose Identitäten im Internet zu zahlen? Ja, dafür haben wir gesorgt... das wird die Geeks UND die Versicherungsleute glücklich machen.

Sie haben die Idee. Das Team hier geht die Dinge proaktiv an. Es wendet sich an die Gemeinschaft, um eine Forschungseinrichtung einzurichten, die den Wissensaustausch fördert und den Gesprächen ein dringend benötigtes Gefühl der Zusammenarbeit verleiht. 

Daher ist es logisch, dass Sie sich mit ihnen treffen, denn sie kümmern sich.

Alles für den Moment 

Chris