Akquinet implementiert durchgängiges Konzept für die Absicherung der AD-Umgebung
Das Active Directory (AD) bildet in 90% der Unternehmen weltweit die zentrale Instanz für das Identity-Management, ob On-Prem oder in der Cloud. So verwundert es nicht, dass der Verzeichnisdienst ein bevorzugtes Ziel für Cyberangriffe darstellt. Ohne geeignete Sicherheitsmaßnahmen reichen oft schon kostenlose Tools aus, um Netzwerke zu kompromittieren. Die möglichen Schäden sind kaum abzuschätzen, schon gar dann nicht, wenn der Anwender selbst IT-Systeme im Outsourcing für andere anbietet wie die Akquinet GmbH. Grund genug auch, sich proaktiv mit der Thematik auseinanderzusetzen, noch bevor das Kind in den Brunnen gefallen ist.
Die Cloud hat Unternehmen die Möglichkeit eröffnet, ihre Datenverarbeitung in die Hände kompetenter Dienstleister zu legen. Das erspart es ihnen, selbst Infrastrukturen zu errichten und zu betreiben, um sich auf die eigentliche Geschäftstätigkeit zu konzentrieren. Auf der anderen Seite müssen die Anbieter von Outsourcing-Dienstleistungen ein Höchstmaß an Kompetenz und Sicherheit garantieren, um ihre Kunden und deren Daten optimal zu schützen.
Die Akquinet GmbH ist ein ebensolcher Provider, der vier Hochleistungsrechenzentren betreibt und rund 1.000 Mitarbeiter mit der Einführung und dem Betrieb von ERP-Systemen von SAP und Microsoft, der Individualentwicklung von Softwarelösungen sowie dem Hosting der Anwendungen beschäftigt. Das international tätige Unternehmen hat seinen Hauptsitz in Hamburg und verfügt über langjährige Branchenkompetenz speziell im Gesundheitswesen, der Sozialwirtschaft, dem Maschinen- und Anlagenbau, dem öffentlichen Sektor sowie in der Logistik. Die Rechenzentren erfüllen die entsprechenden Standards wie TÜV IT TSI 4.1 oder EN50600, und es gehört zur Geschäftsstrategie, das eigene Know-how sowie die Infrastrukturen mit modernsten Technologien weiterzuentwickeln.
Der purpurne Ritter
Das Active Directory begleitet das Unternehmen seit der Gründung im Jahr 2002. Es dient als zentrale Instanz des eigenen Identity-Managements. Darüber hinaus liegt auch der Betrieb des Active Directory einiger Kunden in der Hand der Akquinet. Die Verantwortlichen für die Administration der Active Directory, kümmern sich nicht nur um den reibungslosen laufenden Betrieb, sondern machen sich kontinuierlich Gedanken über neue Entwicklungen. So blieb ihnen selbstverständlich auch die Zunahme von Angriffen auf das AD wie etwa den sogenannten Golden-Ticket-Attacken nicht verborgen, die sich seit der Entwicklung des quelloffenen Mimikatz-Tools rasant verbreiteten. "Wir fühlten uns mit unserer Lösung lange auf der sicheren Seite", erinnert sich Björn Skutsch (Senior System Administrator), "bis wir merkten, dass die Einschläge langsam näherkamen, und auch einige Kunden von Angriffen betroffen waren." Das war Anlass, sich vorsorglich mit dem optimalen Schutz des Verzeichnisdienstes zu beschäftigen. "Uns war schnell klar, dass eine erfolgreiche Attacke nicht nur Auswirkungen auf unsere eigenen, sondern auch auf die Business-Continuity unserer Kunden haben würde. Natürlich hatten wir alle Best-Practices und Regeln für Arbeitsprozesse bereits etabliert, aber wie ließ sich deren Wirksamkeit in der Praxis überprüfen?"
Die Recherche von Herrn Skutsch führte schließlich zu Purple Knight einem von Semperis entwickelten Community-Tool, das es ermöglicht, Active-Directory-Umgebungen auf Schwachstellen und Fehlkonfigurationen hin zu untersuchen. Es liefert Indikatoren für die Verwundbarkeit und mögliche Kompromittierung des AD und gibt Hinweise zum Schließen eventueller Lücken. Dazu fragt Purple Knight Konfigurationen und Policies ab und führt eine Reihe nichtinvasiver Tests gegen die häufigsten und erfolgreichsten Angriffsvektoren durch, die mit bekannten Security-Frameworks wie dem MITRE ATT&CK korrelieren. Der durchschnittliche Score von Anwendern, die Purple Knight erstmalig zur Sicherheitsbewertung einsetzen, liegt bei 68%. Für die meisten Unternehmen ist das ein Beweggrund, sich über die Verbesserung des Messwertes Gedanken zu machen. So auch bei Akquinet.
"Die Befürchtung, einen Angriff nicht rechtzeitig zu erkennen und gegebenenfalls schnellstmöglich einzudämmen, steht als Aufgabe ganz oben auf der Liste", erläutert Herr Skutsch. "Aber auch im Falle eines solchen Angriffs muss das Business-Continuity-Management in der Lage sein, die Wiederaufnahme des Tagesgeschäftes schnellstmöglich zu gewährleisten." Die notwendige Geschwindigkeit der Wiederherstellung, die Verlässlichkeit und die schiere Größe der AD-Umgebung hatten Akquinet bis dato vor Herausforderungen gestellt. Außerdem entschlossen sich Herr Skutsch und sein Team, einen Proof-of-Concept für die Einführung von Semperis Active Directory Forest Recovery (ADFR) durchzuführen. Semperis ADFR bietet drei Kernfunktionen: Es vereinfacht die Planung der Notfallwiederherstellung, indem es eine Replik der AD-Produktionsumgebung einrichtet, es ermöglicht die Automatisierung des gesamten Wiederherstellungsprozesses und verhindert zudem die Neuinfektion mit Malware. Dazu entkoppelt Semperis das Active Directory vom zugrunde liegenden Betriebssystem. Unternehmen sind auf diese Weise in der Lage, die drohenden Ausfallzeiten um bis zu 90% zu reduzieren.
Tiefes Wissen, enorme Datenmengen
Der PoC brachte positive Ergebnisse. Damit war die Entscheidung für den produktiven Einsatz gefallen. Die Bereitstellung benötigte lediglich einen Tag. "Unsere bestehenden Lösungen waren stark darauf ausgelegt, dass meine Kollegen mit tiefem Wissen tätig werden mussten. Auch sind enorme Datenmengen angefallen. Die Wiederherstellung hätte ein Vielfaches der Zeit gekostet, die nun mit der Installation von ADFR erforderlich sein würde." Alleine die gesicherten Domaincontroller haben einen Platz von 40GB pro Domaincontroller eingenommen, welches sich nach der Einführung auf 700MB pro Domaincontroller verringert hat. Zudem ermöglicht die unkomplizierte Handhabung des Systems, in regelmäßigen Abständen Disaster Recoveries durchzuspielen. Diese Übungen stellen sicher, im Ernstfall schnell und zielorientiert handeln zu können.
Die positiven Erfahrungen führten folgerichtig zu der Entscheidung, über das ADFR hinaus auch den Directory Services Protector (DSP) von Semperis einzuführen. Die ITDR-Plattform für Identity Threat Detection and Response (ITDR) ermöglicht die Erkennung von sowie die Reaktion auf hybride AD-Bedrohungen. Experten gehen davon aus, dass 9 von 10 Cyber-Attacken auf Unternehmen das Active Directory betreffen, weil sich Fehlkonfigurationen im Laufe der Zeit anhäufen und damit Sicherheitslücken schaffen, die Angreifer gerne ausnutzen. Der Directory Services Protector überwacht kontinuierlich die gesamte AD-Umgebung, schafft einen Überblick über die aktuelle Sicherheitslage und ermöglicht es zudem, böswillige oder unerwünschte Änderungen aufgrund verschiedener Regeln nach ihrer Feststellung rückgängig zu machen. "DSP hat uns die Unsicherheit dahingehend genommen, dass ggf. ungewollt vorgenommene Manipulationen durch die Regeln sofort zurückgesetzt wurden", erklärt Herr Skutsch. "Wir haben durch DSP einen Sicherheitsmonitor auf unser gesamtes Active Directory sowie einzelne Bereiche wie etwa Group-Policy-Objekte, DNS oder User und Gruppen. Damit lassen sich alle Aktivitäten transparent überwachen und nachvollziehen und gegebenenfalls wieder automatisch rückgängig machen."
Im Prinzip arbeitet der Semperis DSP als eine Art Autopilot zur kontinuierlichen Bedrohungsüberwachung, zur Erzeugung von Echtzeitwarnungen und für autonome Abhilfemaßnahmen. DSP nutzt dazu mehrere Datenquellen und stellt vorgefertigte Dashboards zur Verfügung, die Änderungsdaten, Sicherheitsindikatoren oder Ereignisse bei den Benachrichtigungsregeln anzeigen. Administratoren werden auf diese Weise optimal dabei unterstützt, potenzielle Sicherheitslücken zu begutachten.
Weil viele Unternehmen nunmehr auf die Vorteile Cloud-basierter Lösungen setzen, ist es durchaus schwieriger geworden, der Bedrohung des Active Directory durch Cyberangriffe standzuhalten. In einer hybriden Umgebung vergrößert sich die potenzielle Angriffsfläche erheblich. So lag es auch für Akquinet nahe, den AD-Schutz auf die Überwachung in der Cloud zu erweitern. Dazu wurde entsprechend auch die Hybrid Active Directory Protection des AD-Security-Spezialisten installiert.
Sicherheit mit Perspektive
Es ist bei Systemen für die Erkennung und die Abwehr von Cyber-Angriffen naturgemäß schwierig, eine Kosten-/Nutzen-Analyse zu erstellen. Schließlich lässt es sich nicht tiefgründig ermitteln, welche Schäden in welcher Höhe durch ihren Einsatz verhindert wurden. Messbar sind allerdings die Zeitaufwände für manuelle Prüfungen von Alarmen, für händische Back-ups oder auch für Sicherheitsaudits. Hat sich die Installation der verschiedenen Semperis AD-Produkte für Akquinet gelohnt?
"Unser bestehendes BCM-Konzept ist bereits sehr ausgereift gewesen, aber mit dem Einsatz der neuen Tools werden wir es mit aller Wahrscheinlichkeit nie einsetzen müssen", resümiert Björn Skutsch. "Aber selbst wenn, dann würde ich heute schätzen, dass wir einen kleinen Bruchteil der Zeit für eine komplette Wiederherstellung des Active Directory benötigen würden. Testszenarien haben gezeigt, dass wir unser AD in unter 2 Stunden auf komplett neuer Infrastruktur wiederhergestellt bekommen, und zwar aller Controller, virenfrei und tagesaktuell." Eine Aufgabe, die manuell kaum zu bewerkstelligen ist.
So haben die bisherigen Erfahrungen mit ADFR und DSP nicht nur dazu beigetragen, den Sicherheitsstatus in Bezug auf das Active Directory erheblich zu erhöhen, die manuellen Eingriffe zu minimieren und die Transparenz zu steigern. Derzeit denkt Akquinet darüber nach, auf Basis der Semperis-Lösungen nicht nur die eigene Infrastruktur optimal zu schützen, sondern auch den Kunden weitere Service-Instanzen anzubieten.