Aus meiner Erfahrung beim Microsoft Detection and Response Team (DART) weiß ich, dass Ransomware-Betreiber fast immer auf hochprivilegierte Identitäten abzielen. Sobald die Angreifer die Kontrolle erlangt haben, nutzen sie diese Identitäten, um Ransomware zu verbreiten, zum Beispiel über Gruppenrichtlinien oder PsExec. Ransomware-Angriffe sind in der Regel laut und zerstörerisch und zielen darauf ab, in kürzester Zeit maximale Wirkung zu erzielen. Deshalb ist es nicht nur wichtig, die Identitätssysteme nach einem Angriff wiederherzustellen, sondern auch sicherzustellen, dass der Umgebung wieder vertraut werden kann, um Folgeangriffe zu verhindern.
Die Reaktion auf einen Vorfall (Incident Response, IR) konzentriert sich traditionell auf die Suche nach Bedrohungen und die forensische Analyse, um zu verstehen, wie es zu einem Angriff kam, um kompromittierte Konten und Rechner zu identifizieren, Malware zu analysieren und die Aktivitäten des Angreifers zurückzuverfolgen. Wenn jedoch Identitätssysteme wie Active Directory (AD) und Entra ID kompromittiert werden, reicht eine Standarduntersuchung nicht aus. Um das Risiko zu verringern, dass Angreifer wieder Zugriff erhalten, sind Eindämmung, identitätsspezifische Forensik und sichere Wiederherstellung ebenso wichtig. Hier hebt sich Identity Forensics & Incident Response (IFIR) ab.
Was ist IFIR?
IFIR legt den Schwerpunkt auf die Widerstandsfähigkeit von Identitätssystemen, indem es die Angriffsfläche reduziert und Sicherheitsbedrohungen vor, während und nach einem Angriff eliminiert. Unser Ansatz umfasst das Aufspüren von AD-Hintertüren und Fehlkonfigurationen, die Angreifer ausnutzen können, um in eine Zielumgebung einzudringen oder sie erneut zu betreten: ACL-basierte Persistenz, SID-History-Injection, Malware in SYSVOL, Missbrauch der Kerberos-Delegation, Manipulation von Gruppenrichtlinien, ADCS- und PKI-bezogene Hintertüren und vieles mehr.
Im Zeitalter von Ransomware werden die Aufgaben der Reaktion auf Vorfälle immer umfangreicher. Matt Zorich, ein IR-Experte, twitterte, dass die traditionelle Digital Forensics & Incident Response (DFIR) nun auch die Eindämmung und Wiederherstellung umfasst und betonte, dass diese Schritte genauso wichtig sind wie die Untersuchung selbst(Abbildung 1). Dieser Wandel setzt sich in der Branche immer mehr durch. Von den Spezialisten für Vorfälle wird nicht nur erwartet, dass sie herausfinden, was passiert ist, sondern auch, dass sie bei der Eindämmung und Wiederherstellung helfen.
Da Angreifer es auf Identitätssysteme wie Active Directory und Entra ID abgesehen haben, reicht eine Untersuchung allein nicht aus. Unternehmen brauchen eine Möglichkeit, ihre Identitätsumgebung mit Zuversicht wiederherzustellen, und genau hier kommt Semperis ins Spiel.
Die Wiederherstellung von Domain Controllern (DCs) nach einem Angriff ist nur ein Teil der Gleichung. Die eigentliche Herausforderung besteht darin, sicherzustellen, dass die Identitätssysteme sicher und widerstandsfähig bleiben, um Folgeangriffe zu vermeiden. Unser IFIR-Team ist nicht nur auf die Eindämmung und Wiederherstellung spezialisiert, sondern auch auf die Säuberung der Umgebung von Breadcrumbs, die die Angreifer hinterlassen haben, und auf die proaktive Identifizierung schwacher Konfigurationen in AD - so wird die Verteidigung gestärkt und das Risiko künftiger identitätsbasierter Angriffe verringert(Abbildung 2).
Viele Unternehmen arbeiten mit einem hybriden Identitätsmodell, bei dem AD vor Ort eng mit Cloud-basierten Identitätsanbietern (IdPs) wie Entra ID integriert ist. Diese Konfiguration ermöglicht eine nahtlose Authentifizierung und den Zugriff auf SaaS-Anwendungen wie Office 365, Salesforce und Zoom, aber sie vergrößert auch die Angriffsfläche. Eine Kompromittierung von AD hat nicht nur Auswirkungen auf On-Premise-Systeme, sondern kann sich auch direkt auf die Cloud-Sicherheit auswirken, so dass IFIR-Funktionen so früh wie möglich eingesetzt werden sollten.
IFIR konzentriert sich nicht nur auf die Wiederherstellung von AD. Semperis untersucht Entra ID auch auf Schwachstellen und Persistenzmechanismen, die Angreifer nutzen könnten, um langfristig die Kontrolle über Cloud-Identitäten zu behalten. Angreifer, die sich Zugang zu On-Prem-AD verschaffen, können ihre Position in der Cloud ausweiten, was die Sicherheit hybrider Identitäten zu einem wichtigen Thema macht (Abbildung 3).
Abbildung 3 veranschaulicht die Komplexität der Identitätsarchitektur von Unternehmen, in der mehrere Systeme wie On-Premise-Datenbanken, Cloud IdPs und SaaS-Anwendungen miteinander verbunden sind. Wenn Angreifer AD kompromittieren, können sie in Cloud-Umgebungen eindringen, Privilegien ausweiten oder Persistenz herstellen.
Brownfield-Bereitstellung vs. Greenfield-Bereitstellung
Bei einer Active Directory-Einführung auf der grünen Wiese wird mit einer brandneuen AD-Umgebung begonnen. In der Theorie klingt dieser Ansatz nach einer größeren Kompromittierung ideal, da er alle verbleibenden Bedrohungen aus der alten Umgebung entfernt. Aber in einem Unternehmen ist eine Wiederherstellung auf der grünen Wiese selten praktikabel.
Eine Brownfield-Bereitstellung stellt die bestehende AD-Umgebung wieder her und sichert sie, anstatt sie von Grund auf neu aufzubauen. Eine vollständige Wiederherstellung auf der grünen Wiese erfordert die Migration von Benutzern, die Neukonfiguration von Anwendungen und die Sicherstellung einer ordnungsgemäßen Integration, was einen enormen Aufwand darstellt, der kostspielig und störend sein kann. Eine Brownfield-Wiederherstellung hingegen konzentriert sich auf die Beseitigung von Bedrohungen und die Stärkung der Sicherheit, während der Geschäftsbetrieb weiterläuft.
Identity Forensics & Incident Response spielt eine entscheidende Rolle. Die Wiederherstellung von AD ohne gründliche Identifizierung und Behebung von Fehlkonfigurationen, Hintertüren und anderen Sicherheitslücken kann Unternehmen anfällig für eine erneute Infektion machen.
Obwohl in extremen Fällen ein Neuaufbau auf der grünen Wiese notwendig sein kann, ist eine Wiederherstellung auf der braunen Wiese oft die beste Balance zwischen Sicherheit, Kosten und Geschäftskontinuität. Mit IFIR können Unternehmen AD wiederherstellen und sichern und gleichzeitig das Risiko einer erneuten Kompromittierung verringern, indem sie Fehlkonfigurationen und Schwachstellen identifizieren und beseitigen, bevor sie die Systeme wieder in Betrieb nehmen.
Holen Sie sich Hilfe von den IFIR-Experten
Während einer Reaktion auf einen Vorfall ziehen Unternehmen oft DFIR-Spezialisten hinzu, um den Vorfall zu untersuchen. Aber die Untersuchung ist nur ein Teil der Gleichung. Wiederherstellung und Eindämmung sind genauso wichtig. Die sichere Wiederherstellung des Betriebs und die Minimierung des Risikos, dass Angreifer wieder Zugriff erhalten, erfordern andere Fähigkeiten.
Das IFIR-Team von Semperis macht den Unterschied. Wir sind auf die Wiederherstellung von Active Directory und Entra ID spezialisiert und sorgen dafür, dass Ihre Identitätssysteme sicher wieder online gehen können. Ganz gleich, ob Sie eine aktive Bedrohung eindämmen, unsichere Konfigurationen entfernen, einen Notfallwiederherstellungsplan entwickeln oder Ihre Identitätssicherheit insgesamt stärken müssen - wir sind für Sie da.
Semperis kann auch mit dem von Ihnen bevorzugten DFIR-Team zusammenarbeiten und das spezielle Fachwissen zur Wiederherstellung von Identitäten bereitstellen, das für die vollständige Sicherung Ihrer Umgebung erforderlich ist.
Wenn Ihr Unternehmen mit einem identitätsbezogenen Vorfall konfrontiert ist, wenden Sie sich an unser IFIR-Team, um eine sichere und zuverlässige Wiederherstellung zu gewährleisten.
Erfahren Sie mehr über die Dienstleistungen von Semperis IFIR
