Active Directory ist seit mehr als zwei Jahrzehnten ein Top-Tool für die Cybersicherheit. Das Problem beim Schutz von AD - das von etwa 90 % der Fortune-1000-Unternehmengenutzt wird - vorRansomware-Angriffen besteht einfach darin, dass es nicht für die heutige Sicherheitslandschaft konzipiert wurde. Viele Unternehmen kennen nicht einmal die vollständige Karte ihres Einsatzes, was AD zu einem perfekten Ziel für Bedrohungsakteure macht.
Vor allem Organisationen des Gesundheitswesens sind erheblichen Risiken ausgesetzt. Einst als "tabu" für Angreifer betrachtet, wird dieser Sektor zunehmend zur Zielscheibe. Was können Organisationen im Gesundheitswesen tun, um sich zu schützen?
Was macht Active Directory zu einem so attraktiven Ziel?
Wenn es um die IT-Infrastruktur geht, ist Active Directory das Fundament der gesamten IT-Infrastruktur. Stellen Sie es sich so vor: Wenn eine AD-Installation kompromittiert wird, hat der Angreifer nicht nur die Schlüssel zum Königreich in der Hand, sondern auch eine Schatzkarte, die ihm zeigt, wo alles Wertvolle zu finden ist, und eine Autobahn, die ihn dorthin führt.
"In Active Directory sind eine Menge Informationen gespeichert", sagt Matt Sickles, Strategic Architect bei Sirius Healthcare. "Eine Karte des Netzwerks, eine Liste der Standorte und Dienste, die Standorte und Details aller Administratoren, sogar ein Organigramm. Dies ermöglicht es Angreifern, Active Directory für hochentwickelte Angriffe zu nutzen."
Prävention beginnt mit den Grundlagen
Ausgeklügelte Cyberangriffe wie SolarWinds mögen in der Presse viel Beachtung finden, aber solche öffentlichkeitswirksamen Fälle sind nicht die Regel. Die meisten Angreifer suchen nach niedrig hängenden Früchten. Sie wollen Ziele finden, die ihnen das bestmögliche Verhältnis zwischen Aufwand und Ertrag bieten.
Bei den meisten Angriffen nutzt ein Angreifer eine Schwachstelle aus, z. B. einen ungepatchten Server. Grundlegende Sicherheitsmaßnahmen können viel dazu beitragen, diese Arten von Bedrohungen, einschließlich Ransomware, zu beseitigen.
"Da so viele Angriffsszenarien auf kompromittierten, erhöhten Anmeldeinformationen basieren, ist das Konzept der geringsten Rechte ein wichtiger Faktor bei der Sicherung von Active Directory", erklärt Sickles. "Schränken Sie die Berechtigungen ein, stellen Sie sicher, dass Sie einen Katalog Ihrer Gruppenrichtlinien haben, und überwachen Sie alle Änderungen. Außerdem müssen Sie sicherstellen, dass jedes Dienstkonto ein sicheres Passwort hat.
"Unternehmen brauchen auch eine Möglichkeit, AD-Sicherheitswarnungen zu durchforsten und Dienstkonten zu verwalten oder zu kontrollieren", fügt er hinzu. "Und schließlich ist die Multi-Faktor-Authentifizierung eine der besten Verteidigungsmaßnahmen gegen Ransomware, die Sie haben.
Warum "traditionelle" Sicherheit nicht ausreicht
Wenn es um Cybersicherheit geht, erweist sich Active Directory als besonders schwierig. Aufgrund der inhärenten Komplexität von AD und der Art der Dienstkonten kann es schwierig sein, Anzeichen für eine Kompromittierung zu erkennen und AD proaktiv vor Bedrohungen zu schützen, insbesondere wenn die Erkennung auf der Überprüfung von Sicherheitsprotokollen beruht.
"Wenn ein Kennwort für ein Dienstkonto mit erhöhten Berechtigungen erlangt wird, sieht das häufig wie eine normale Aktivität aus", bemerkt Sickles. "In der Regel merken Sie nicht, dass das Konto kompromittiert wurde, bis eine Art von Nutzdatenübertragung oder ein direkter Angriff erfolgt. Außerdem gibt es zwar einige von Microsoft bereitgestellte Tools zum Schutz von Active Directory, aber es gibt keinen einzigen Download, der die grundlegenden Sicherheitsprobleme einfach abdeckt."
"Es ist sehr schwierig, die Komplexität von Active Directory zu bewältigen", fährt er fort. "Als spezialisierter Anbieter hat Semperis einige ausgezeichnete Toolsets dafür."
Kriminelle haben es zunehmend auf Backups abgesehen
Backups sind die beste Verteidigung gegen Ransomware. Leider wissen das die Kriminellen. Daher warten viele Ransomware-Akteure Wochen oder sogar Monate, um ihre Nutzlast auszulösen. Schlimmer noch, viele zielen direkt auf Active Directory-Backups ab.
Wenn Sie ein herkömmliches Backup eines AD-Domänencontrollers durchführen, sichern Sie den gesamten Server und alles, was sich auf ihm befindet - einschließlich jeglicher lauernder Malware.
"Eines der größten Risiken für jedes Unternehmen ist die Verbindung von SSO aus Active Directory mit Ihrem Backup-System", sagt Sickles. "Ihre Backups müssen daher entweder separate, vollständig isolierte Domänen oder lokale Konten sein. Meine oberste Empfehlung ist jedoch, sicherzustellen, dass die Backups wirklich unveränderlich sind, und Kopien aller kritischen Systeme aufzubewahren, nicht nur von Active Directory."
Kennen Sie Ihre Active Directory-Bereitstellung
Viele Unternehmen halten Active Directory für selbstverständlich. Sie wissen entweder nicht, wie wichtig es ist, oder sie haben keinen Einblick in AD. Sie gehen auch davon aus, dass ihr Disaster Recovery Plan Active Directory abdeckt, was oft nicht der Fall ist.
"Active Directory ist einer der wichtigsten Basisdienste des Unternehmens", bemerkt Sickles. "Es ist wichtig, ein Sicherheitsnetz für den Fall zu haben, dass es offline ist - zum Beispiel einen Domain Controller im Safe Harbor Modus. Und es ist wichtig, dass Unternehmen wissen, wie alles zusammenpasst.
Installieren Sie nicht einfach Sicherheitslösungen, sondern haben Sie einen Plan
Sicherheitslösungen allein werden niemals ausreichen. Damit Unternehmen sich wirklich schützen können, müssen sie auch die organisatorischen Abläufe überprüfen.
Der Unterschied zwischen einer schnellen und einer langsamen Reaktion - zwischen der erfolgreichen Abwehr oder Wiederherstellung eines Angriffs und der Gefahr, Opfer eines Angreifers zu werden - hängt oft davon ab, wie gut Sie im Voraus geplant haben.
"Unternehmen müssen sich fragen, wie sie ihr Active Directory wiederherstellen, wenn sie ihr Backup-System verlieren", sagt Sickles. "Das fängt damit an, dass das Security Operation Center die richtigen Anwendungsfälle und Szenarien geplant und geübt hat. Sie müssen regelmäßig Tabletops durchführen, um sicherzustellen, dass ihre Pläne und Tools tatsächlich funktionieren."
Bekämpfen Sie die größten AD-Bedrohungen im Gesundheitswesen
Der Schutz von Organisationen des Gesundheitswesens vor Cyberkriminalität umfasst die proaktive Bewertung von Bedrohungen, die Eindämmung von Cyberangriffen und einen getesteten Plan zur Wiederherstellung von Active Directory. Kostenlose Bewertungstools wie Purple Knight können nach Anzeichen für eine Gefährdung und Kompromittierung suchen und sind ein hervorragender Ausgangspunkt, um Ihre AD-Sicherheit zu verbessern. AD-zentrierte Backup- und Wiederherstellungs-Tools und -Dienste, einschließlich Semperis Directory Services Protector (DSP) und Active Directory Forest Recovery (ADFR), können zuverlässige AD-Backups erstellen und sogar den Prozess der Beseitigung verdächtiger Änderungen am AD automatisieren.