Die Enthüllung des Angriffs auf die Lieferkette von SolarWinds Ende 2020 war ein Weckruf für die Bundesbehörden, die für die Sicherung der US-Informationsbestände verantwortlich sind - und für die Sicherheitsbranche. Da immer mehr Details über den Angriff ans Licht kommen, ist eine der wichtigsten Enthüllungen, dass die Angreifer altbewährte Methoden verwendet haben, um sich Zugang zu verschaffen - über das lokale Active Directory (AD).
Wie Sean Deuby, Director of Services bei Semperis, in einem kürzlich erschienenen Artikel im InfoSecurity Magazine schrieb, kann ein Angreifer, wenn er die Authentifizierungskontrollen umgehen und sich Administratorzugriff auf AD verschaffen kann, einen vollständigen Einblick in die AD-Umgebung gewinnen - sowohl vor Ort als auch in der Cloud. Da staatlich gesponserte Bedrohungen weiter zunehmen, ist die kontinuierliche Überwachung von AD auf verdächtige Aktivitäten eine Schlüsselkomponente, um bösartige Aktivitäten zu verhindern, zu erkennen und zu stoppen.
Der Angriff von SolarWinds ist ein Zeichen dafür, dass Identitätsressourcen vor Ort zunehmend als Einstiegspunkt in Cloud-Umgebungen genutzt werden. Solide Sicherheitspraktiken können jedoch dazu beitragen, selbst die komplexesten Angriffe zu entschärfen. Deuby verweist auf aktuelle Ressourcen, darunter einen Microsoft-Blogbeitrag, der Richtlinien für die Sicherung von Azure AD enthält, sowie auf aktualisierte Leitlinien der CISA.
Die Verwendung eines mehrschichtigen Ansatzes zur Sicherung von AD, der eine kontinuierliche Überwachung auf Anzeichen für eine Gefährdung von AD beinhaltet, hilft Unternehmen, ihre Informationswerte zu schützen. Obwohl Cyberangriffe immer raffinierter werden, ist die Absicherung von Active Directory ein grundlegender Schritt im Abwehrplan eines Unternehmens gegen Cyberangriffe.