Laut einem neuen Bericht von Enterprise Management Associates (EMA) sind unbekannte Schwachstellen die größte Sorge der IT-Sicherheitsexperten in Bezug auf Active Directory. Bekannte, aber nicht behobene AD-Schwachstellen folgen dicht dahinter.
Die größten Risiken für die allgemeine Sicherheitslage wurden von den Umfrageteilnehmern genannt:
- Native Microsoft Sicherheitslücken
- Social-Engineering-Angriffe, wie Phishing
- Angreifer bewegen sich zwischen AD vor Ort und Azure AD
Angesichts der erhöhten Aufmerksamkeit, die AD in den Medien und von Forschungsunternehmen wie 451 Research und Gartner zuteil wird, überrascht es nicht, dass unbekannte Schwachstellen bei den Befragten, zu denen IT-Direktoren und -Manager, IT-Architekten, DevOps-Experten und Sicherheitsbeauftragte gehörten, ganz oben auf der Liste standen.
Im Jahr 2021 hat sich die Wahrnehmung von Active Directory - dem zentralen Identitätsspeicher für 90 % der Unternehmen weltweit - als Angriffsvektor für Cyberkriminelle stark verändert. Einer der größten Warnrufe war der SolarWinds-Angriff. Obwohl es einige Zeit dauerte, bis die Ermittler diesen ausgeklügelten Angriff entschlüsselt hatten, war die Rolle von Active Directory offensichtlich. (Weitere Einzelheiten darüber, wie AD in den SolarWinds-Angriff einbezogen wurde, finden Sie in Guido Grillenmeiers Beitrag "Jetzt ist es an der Zeit, die Sicherheit von Active Directory zu überdenken"). Als es zu weiteren öffentlichkeitswirksamen Sicherheitsverletzungen kam, an denen AD beteiligt war - einschließlich des Angriffs auf Colonial Pipeline -, rückten AD-Schwachstellen in den Mittelpunkt des Interesses.
Die Ergebnisse der Berater von Mandiant bestätigen die häufige Ausnutzung von AD: Sie berichteten, dass bei 90 Prozent der von ihnen untersuchten Angriffe AD in irgendeiner Form entweder als ursprünglicher Einstiegspunkt oder als Teil einer Privilegienerweiterung beteiligt ist. Wie Paula Musich, EMA Research Director, in der Einleitung des Berichts schreibt, sind Sicherheitsexperten bei der Verwaltung von AD mit einer Vielzahl von Risiken konfrontiert.
"Da die Konfiguration von Active Directory ständig in Bewegung ist, finden böswillige Akteure immer wieder neue Wege, um Schwachstellen auszunutzen und ihre illegalen Ziele zu erreichen.
Bekannt gewordene Schwachstellen wie die im Juni 2021 entdeckte Sicherheitslücke im Windows Print Spooler Service haben IT- und Sicherheitsexperten dazu veranlasst, die Sicherheit der AD-Umgebungen ihrer Unternehmen zu untersuchen. Seit seiner ersten Veröffentlichung im März 2021 haben mehr als 5.000 Benutzer Purple Knight, ein kostenloses Sicherheitsbewertungstool von Semperis, heruntergeladen, das die AD-Umgebung auf Anzeichen für eine Gefährdung und Kompromittierung untersucht und einen Bericht erstellt, der eine Gesamtsicherheitsbewertung sowie Expertenhinweise zur Behebung von Schwachstellen enthält. Die Unternehmen haben eine durchschnittliche Anfangsbewertung von etwa 68% angegeben - eine gerade noch ausreichende Note.
In persönlichen Gesprächen sagten viele Nutzer von Purple Knight , dass sie von den Ergebnissen des Berichts überrumpelt wurden.
"Ich weiß, dass ich Active Directory habe", sagte ein CISO eines kanadischen Fertigungsunternehmens. "Aber ich wusste nicht, dass ich diese Probleme habe. Und ich bin sehr auf Sicherheit bedacht. Es war also ein guter Schlag ins Gesicht."
Sorgen um die Erholung von AD sind groß
Neben der Sorge um unbekannte und nicht behobene AD-Schwachstellen gaben die Befragten auch an, dass sie sich Sorgen um ihre AD-Wiederherstellungspläne machen:
- Fehlen eines Wiederherstellungsplans für die Zeit nach einem Cyberangriff
- Die Unfähigkeit, sich schnell zu erholen
- Keine definierte Verantwortung für die Wiederherstellung von AD
Die Mehrheit der Befragten gab an, dass die Auswirkungen eines Angriffs, der ihre Domain-Controller außer Gefecht setzt, von "erheblich" bis "katastrophal" reichen würden, was die Besorgnis über einen unzureichenden Reaktionsplan schürt. Erst in den letzten Jahren haben Unternehmen den Schwerpunkt von Business-Continuity-Plänen, die sich mit Naturkatastrophen oder menschlichen Fehlern befassen, auf Pläne verlagert, die eine angemessene Reaktion auf einen bösartigen Cyberangriff ermöglichen.
Wie Gil Kirkpatrick (Semperis Chief Architect) und Guido Grillenmeier (Chief Technologist) in ihrem Whitepaper "Does Your Active Directory Disaster Recovery Plan Cover Cyberattacks?" schreiben, waren IT-Teams in den Anfängen von AD darauf vorbereitet, AD bei verschiedenen Problemen wiederherzustellen, darunter das versehentliche Löschen von AD-Objekten, Fehlkonfigurationen von Gruppenrichtlinien und ausgefallene Domänencontroller. Aber die Wahrscheinlichkeit, dass ein kompletter AD-Ausfall - wie er durch Cyberattacken verursacht werden kann - wiederhergestellt werden muss, war "sehr gering".
Die Bedrohungslandschaft hat sich seit den Anfängen von AD dramatisch verändert, nicht aber die Herausforderungen bei der Wiederherstellung eines ganzen AD-Forests. Wie die Autoren des Whitepapers feststellten, "ist es immer noch ein fehleranfälliger, komplexer Prozess, der Planung und Übung für alle außer den trivialsten AD-Implementierungen erfordert".
Die Ergebnisse des EMA-Berichts zeigen, dass IT- und Sicherheitsteams die Herausforderungen bei der Wiederherstellung von AD nach einer Cyberkatastrophe kennen und sich darüber Gedanken machen.
Hybride Umgebungen erhöhen die Komplexität bei der Sicherung von Identitätsdiensten
Die Verlagerung von Arbeitslasten und Anwendungen in die Cloud wird ein kontinuierlicher, langwieriger Prozess sein, so der EMA-Bericht (und bestätigt durch einen kürzlich erschienenen Gartner-Bericht), so dass IT- und Sicherheitsteams auf absehbare Zeit die Sicherheit in einer hybriden Umgebung verwalten müssen. Während 47% der Befragten in der EMA-Studie ihre eigenen Fähigkeiten zur Verwaltung und Sicherung von AD vor Ort als "sehr kompetent" einstuften, gaben nur 37% der Befragten diese Einschätzung für hybride Identitätsumgebungen ab. Etwa ein Drittel der Befragten bewertete ihre Fähigkeiten zur Verwaltung und Sicherung einer hybriden Umgebung als "ausreichend".
Das Vertrauen der Befragten in die Wiederherstellung von Azure AD-Ressourcen (wie Benutzer, Gruppen und Rollen) nach einem Cyberangriff war nicht beruhigend: Etwa 55% der Teilnehmer gaben ein "mittleres" Maß an Vertrauen an. Die adäquate Verwaltung der Sicherheit in einer hybriden Identitätsumgebung könnte eine der Situationen sein, in denen Praktiker noch nicht wissen, was sie nicht wissen: Die Integration von lokalem Active Directory mit der Azure AD-Authentifizierung erfordert eine andere Denkweise, und wenn man einige der wichtigsten Unterschiede nicht versteht, können Unternehmen Sicherheitsrisiken ausgesetzt sein.
Wie Unternehmen AD-Sicherheitsprobleme angehen
Angesichts des gestiegenen Bewusstseins für AD-bezogene Angriffe nehmen Unternehmen Änderungen vor, um ihre Verteidigungsmaßnahmen als Reaktion auf öffentlichkeitswirksame Angriffe wie den von SolarWinds zu verstärken. Der EMA-Bericht ergab Folgendes:
- 45% der Unternehmen haben die Zusammenarbeit zwischen Betriebs- und Sicherheitsteams verstärkt
- 44% konzentrieren sich verstärkt auf die Schließung von AD-Sicherheitslücken, die Erkennung von Angriffen und die Sicherstellung von Backups ohne Malware
- 37% fügten qualifizierte Fachkräfte hinzu, um AD-Sicherheitslücken zu schließen
Die Feststellung, dass Unternehmen die Zusammenarbeit zwischen Betriebs- und Sicherheitsteams fördern, passt zu einem Bericht der Identity Defined Security Alliance (IDSA) aus dem Jahr 2021, "2021 Trends in Securing Digital Identities", in dem berichtet wird, dass 64 % der Unternehmen in den letzten zwei Jahren Änderungen vorgenommen haben, um die Sicherheits- und Identitätsfunktionen besser aufeinander abzustimmen. Die Unternehmen erkennen nun, dass ein sicheres Identitätssystem der Ausgangspunkt für den Schutz aller anderen Vermögenswerte im Unternehmen ist.
Diese organisatorischen Veränderungen werden den Weg zur Bewältigung der Herausforderungen und der Dringlichkeit der Identifizierung und Behebung von AD-Schwachstellen ebnen, die von den Befragten im EMA-Bericht als größte Sorge genannt wurden. In dem Maße, wie Identitäts- und Sicherheitsteams ihr Wissen austauschen und gemeinsam an Lösungen arbeiten, werden Unternehmen ihre Abwehr gegen identitätsbezogene Angriffe stärken. Nur 3 % der Befragten gaben an, dass ihre Unternehmen AD weiterhin als eine operative Ressource betrachten und verwalten. Wie Musich im EMA-Bericht bemerkt: "Diese Nachzügler werden es schwer haben, zu den 56% der befragten Unternehmen aufzuschließen, die Active Directory zum Kern ihrer allgemeinen Sicherheitsstrategie machen."