Sean Deuby | Leitender Technologe

Unternehmen sind auf der Suche nach modernsten Technologien, um die steigenden Geschäftsanforderungen zu erfüllen. Aber mit dem Wachstum Ihres Unternehmens wächst auch seine Angriffsfläche. Es ist wichtig, potenzielle Schwachstellen zu verstehen - insbesondere solche, die mit Tier 0-Identitätswerten wie Active Directory zusammenhängen. Um solche Risiken zu erkennen, wenden sich viele Unternehmen an Lösungen für das Sicherheitsinformations- und Ereignis-Management (SIEM) oder die Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR). Aber wie gut sind SIEM und SOAR in der Lage, AD zu schützen?

Bedrohungsabwehr durch Protokollüberwachung

Cybersicherheit ist ein kontinuierlicher Prozess. Da ständig neue Angriffe auftauchen, müssen Sie Ihre Umgebung kontinuierlich auf Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit der Identitätswerte und Geschäftsabläufe Ihres Unternehmens überwachen. Die frühzeitige Erkennung von Bedrohungen ist von entscheidender Bedeutung, wenn Sie sie aufhalten und ihre finanziellen oder rufschädigenden Auswirkungen minimieren wollen.

Viele Unternehmen implementieren Lösungen, die Vorfälle auf der Grundlage von Sicherheitsprotokollen erkennen. Die Überwachung der massiven Protokollaktivität, die sich aus dieser Überwachung ergeben kann, kann jedoch eine mühsame Aufgabe sein. SIEM- und SOAR-Lösungen bieten automatische Antworten, die diese Aufgabe erleichtern.

Wie sich SIEM und SOAR unterscheiden

Auch wenn SIEM und SOAR in mancher Hinsicht ähnlich aussehen, gibt es doch einige Unterschiede zwischen diesen beiden Sicherheitstechnologien.

Was ist SIEM?

Unternehmen können SIEM nutzen, um Protokolle aus verschiedenen Quellen in Echtzeit zu sammeln, zu zentralisieren und zu speichern. Sie können diesen Ansatz nutzen, um verdächtige Aktivitäten zu überwachen und vergangene Ereignisse zu analysieren. SIEM kann Protokolle von Netzwerken, Systemen, Infrastrukturen, Anwendungen oder bestimmten Anlagen sammeln.

SIEM kann externe Bedrohungsdaten abrufen und Sie mithilfe fortschrittlicher Analysen über bösartige Ereignisse in Ihrer Umgebung informieren. SIEM entlastet Analysten, indem es ihnen einen Großteil der manuellen Arbeit abnimmt und eingehende Analysen durchführt, was durch die Möglichkeit der zentralen Überwachung, Protokollierung und Alarmierung erleichtert wird. Auf der Grundlage der Ereigniskorrelation bietet das Tool Einblick in die Protokolle Ihres gesamten Unternehmens und hilft Ihnen, potenzielle Bedrohungen schneller zu entschärfen, als dies bei der separaten Analyse solcher Protokolle möglich wäre. Active Directory-Ereignisprotokolle werden beispielsweise auf jedem Domänencontroller gehostet. Um einen ganzheitlichen Überblick über die Aktivitäten des Dienstes zu erhalten, müssen also alle diese Protokolle gesammelt und korreliert werden. Sie können auch benutzerdefinierte Warnmeldungen und Dashboards erstellen, um Daten und Probleme leichter zu erkennen.

Was ist SOAR?

SOAR hilft Unternehmen, die Reaktion auf Vorfälle auf der Grundlage von generierten Warnmeldungen zu automatisieren. Außerdem werden Verhaltensmuster analysiert, Vorhersagen erstellt und Reaktionen vereinheitlicht. Diese Lösungen können zur Verwaltung von Fällen verwendet werden und verfügen über automatisierte Workflows und Playbooks.

SOAR bietet sowohl technische als auch organisatorische Vorteile. Seine fortschrittliche Automatisierung spart Sicherheitsanalysten Zeit, reduziert die manuelle Arbeit und optimiert die Ressourcen. SOAR kann auch dazu beitragen, die Reaktionszeit auf Vorfälle zu verkürzen, was sich direkt auf die Produktivität und Effizienz auswirkt. Und die Fallverwaltungsfunktion der Lösung ermöglicht Ihnen den Zugriff auf frühere Warnmeldungen zu Forschungszwecken, um beispielsweise organisationsspezifische Muster und frühere Ereignisse zu verstehen.

Was ist mit AD-basierten Angriffen?

Angesichts der weiten Verbreitung von Active Directory und der Kontrolle über Geräte und Benutzer ist es kein Wunder, dass Cyberkriminelle immer neue Wege finden, AD zu kompromittieren - und sich Zugang zu den Ressourcen von Unternehmen zu verschaffen. Deshalb ist es wichtig, die Arten von Angriffen zu verstehen, die auf AD abzielen, und zu wissen, wie SIEM und SOAR bei der Erkennung dieser Bedrohungen helfen können (und wie nicht).

Der Schutz und die Überwachung von AD kann aufgrund der wachsenden Bedrohungslandschaft und der fortschrittlichen Techniken und Taktiken, die Hacker einsetzen, um ihre Spuren zu verwischen, eine Herausforderung darstellen. Bei AD-bezogenen Angriffen müssen Sie in erster Linie die Ereignisprotokolle der Domänencontroller (DC) überwachen. Sie können SIEM verwenden, um verdächtige Aktivitäten zu erkennen, aber seien Sie gewarnt: Einige der schädlichsten AD-bezogenen Angriffe verwischen ihre Spuren, so dass sie sich vor SIEM-Lösungen ohne erweiterte Funktionen verstecken können.

  • DCShadow: Diese Mimikatz-Funktion registriert kurzzeitig einen bösartigen DC, indem sie ein neues Serverobjekt in der Konfigurationspartition erstellt. Nach der Erstellung injiziert der neue DC Objekt- oder Attributaktualisierungen (z. B. fügt er die bekannte SID des Domänenadministrator-Kontos in das sIDHistory-Attribut ein, um die administrativen Rechte aufrechtzuerhalten) und entfernt sich dann sofort wieder. Da der Client des Bedrohungsakteurs zum Zeitpunkt der Aktualisierungen ein DC ist, werden die Änderungen nicht im Sicherheitsereignisprotokoll protokolliert, da es sich um eine normale DC-zu-DC-Replikation handelt. Wie die Schöpfer von DCShadow warnten, kann dieser Angriff "Ihr millionenschweres SIEM zum Erliegen bringen".
  • Zerologon: Diese Sicherheitslücke (CVE-2020-1472) ermöglicht es einem nicht authentifizierten Benutzer mit Netzwerkzugriff auf einen Domänencontroller, Domänenadministratorrechte zu erlangen und AD-Anmeldeinformationen auszulesen. Da dieser Anmeldedatenspeicher auch das KRBTGT-Konto für die Domäne enthält, steckt Zerologon auch hinter vielen Golden Ticket-Angriffen, die dieses Konto verwenden.
  • Auf Gruppenrichtlinienänderungen basierender Angriff: Dieser Angriff verändert die Gruppenrichtlinien und führt zerstörerische Handlungen aus, wie z.B. die Verbreitung der Installation von Ransomware auf Endgeräten. Leider lösen Änderungen der Gruppenrichtlinien keine verdächtigen Warnungen aus.

SIEM und SOAR Einschränkungen beim AD-Schutz

Logging- und Überwachungsprotokolle spielen eine wichtige Rolle bei der Erkennung von Bedrohungen und tragen dazu bei, die Sicherheitsstandards Ihres Unternehmens zu sichern und zu erhalten. Da jedoch nicht alle Active Directory-Angriffe Protokollspuren hinterlassen, kann es ein riskantes Unterfangen sein, sich ausschließlich auf eine SIEM- oder SOAR-Lösung zu verlassen, um sie zu erkennen. Daher sollten Unternehmen ein Produkt in Betracht ziehen, das in SIEM integriert werden kann und mehrere Datenquellen überwacht, anstatt sich nur auf Ereignisprotokolle des Domain-Controllers zu verlassen.

Wenn Cyberkriminelle auf AD abzielen, wenden sie verschiedene Taktiken an, um eine Entdeckung zu vermeiden. Da AD eine wichtige Rolle bei der Zugriffsverwaltung spielt, ist es wichtig, seine Integrität zu wahren und bösartige Änderungen sofort zu erkennen - auch solche, die eine Protokollierung vermeiden.

Gartners aktueller Bericht über Best Practices für das Identitäts- und Zugriffsmanagement (IAM), Implement IAM Best Practices on Your Active Directory, stellt fest, dass AD Threat Detection and Response (AD TDR)-Lösungen eine wichtige Funktion bei der Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) spielen und mit SIEM- und SOAR-Tools integriert werden können, um Bedrohungen zu identifizieren, die diese Tools nicht erkennen können.

AD-spezifische Überwachung für umfassenden Schutz

Durch die Überwachung und Bewertung mehrerer Datenquellen, einschließlich des AD-Replikationsstroms, um Bedrohungen zu erkennen, können Unternehmen Bedrohungen schnell erkennen. Wenn sie zusammen mit SIEM- oder SOAR-Lösungen implementiert werden, bieten für AD entwickelte Überwachungslösungen den tieferen Einblick, den Unternehmen benötigen.

Tools wie Purple Knight und Semperis Directory Services Protector (DSP) konzentrieren sich auf Active Directory-Sicherheitsindikatoren. Diese Expositionsindikatoren (IOEs ) oder Kompromittierungsindikatoren (IOCs) können Schwachstellen und Exploits aufdecken, die von gewöhnlichen SIEM- oder SOAR-Lösungen nicht erfasst werden. DSP bietet außerdem ein automatisches Rollback verdächtiger Aktivitäten, so dass Angriffe auch ohne menschliches Eingreifen abgewehrt werden können.

SIEM- und SOAR-Lösungen sind nützliche Werkzeuge. Aber in der heutigen Sicherheitslandschaft ist die beste Verteidigung ein mehrschichtiger Ansatz.

Mehr erfahren