Aspekte einer Zero-Trust-Strategie Ein sicheres Active Directory ist ein Schlüsselfaktor für Zero Trust

24.10.2023 Ein Gastbeitrag von Guido Grillenmeier Lesedauer: 5 min

Mehr als zwei Drittel der europäischen Unternehmen entwickeln bereits eine Zero-Trust-Strategie, um Daten und Prozesse in einer hybriden Arbeitsumgebung zu sichern. Einen kritischen Aspekt des Zero Trust-Modells übersehen aber viele Sicherheitsexperten: Es setzt implizit voraus, dass die zugrundeliegenden Systeme, einschließlich Active Directory (AD) als Identitätsspeicher des Unternehmens, ihre Integrität wahren. Dabei ist AD oft das schwache Glied in der Sicherheitskette.

Das Problem ist nicht AD an sich – richtig konfiguriert und implementiert ist der Verzeichnisdienst vielseitig und sicher. Der Grund sind vielmehr Konfigurationsfehler, die ihn zu einem leichten Ziel für Cyber-Kriminelle machen. Deshalb ist es nicht verwunderlich, dass AD besonders häufig ein Hauptbestandteil der Cyber Kill Chain ist, wie es beispielsweise beim Hack der Colonial Pipeline der Fall war. Bezeichnende 90 Prozent der von Mandiant, einem Beratungsunternehmen für Cybersicherheit, untersuchten Angriffe waren in irgendeiner Form mit AD verbunden.

Da Active Directory Zugang zu Unternehmensdaten ermöglicht, nutzen Angreifer Schwachstellen gezielt aus, um Berechtigungen zu erlangen, mit denen sie sich frei durch das Netzwerk bewegen können. Von Persistenz-Techniken über die Erweiterung von Berechtigungen bis hin zur Umgehung von IT-Sicherheitsmaßnahmen – durch den Zugriff auf den Verzeichnisdienst haben Cyberkriminelle in vielen Bereichen leichtes Spiel. Da auch die Cloud-Identitäten auf AD basieren, ist es ein Primärziel für Anmeldedatenmissbrauch, eine Taktik, die in 80 Prozent aller Datenschutzverletzungen angewendet wird.

Verschiedene IT-Architekturen, eine Identitätsquelle

Als kritische Komponente jeder Zero Trust-Infrastruktur müssen Identitäten auch als solche behandelt werden. In vielen Unternehmen arbeiten Mitarbeiter mittlerweile zumindest zeitweise von zu Hause aus. Bei der Bereitstellung von Remote-Zugriffen und Cloud-zentrierten Anwendungen sollten Unternehmen daher berücksichtigen, dass ihre Sicherheitsstrategien von der Integrität ihrer zentralen lokalen Identitätssysteme abhängig sind.

In der Vergangenheit wurden für den Remote-Zugriff weitgehend virtuelle private Netzwerke (VPNs) genutzt. Benutzer werden von einem Verzeichnisdienst – in der Regel Active Directory – authentifiziert und dann zum Unternehmensnetz zugelassen. Allerdings sind VPNs allein keine Lösung mehr für die moderne Remote-Belegschaft, da sie nur begrenzt skalierbar und von der Sicherheit der Netzwerkumgebung abhängen.

Stattdessen verwenden immer mehr Unternehmen einen webbasierten IAM-Dienst (Identity and Access Management), bei dem sich die Benutzer mit ihren Unternehmensdaten anmelden, um online auf SaaS-Anwendungen (Software-as-a-Service) wie Zoom oder Microsoft 365 zuzugreifen. Bei dieser Methode wird ein Zero Trust-Modell verwendet, bei dem nicht der Netzwerkstandort, sondern die Identität eines Benutzers der Schlüssel zum Zugriff auf die Anwendung ist.

Manche Unternehmen gehen noch weiter, indem sie das Zero Trust-Modell auf ihre lokalen Netzwerke ausweiten. Sie setzen Geräte ein, die eine softwaredefinierte Grenze zwischen Anwendungen und den Benutzern herstellen, die darauf zugreifen möchten. Anstelle des breiten Netzwerkzugriffs, den ein VPN ermöglicht, gewähren diese Proxy-Geräte (z. B. Azure AD Application Proxy, Symantec Secure Access Cloud) dem Benutzer nur Zugriff auf die im Proxy veröffentlichte Anwendung. Da der Datenverkehr über den IAM-Dienst geleitet wird, können dabei ausgefeilte Zugriffskontrollen eingesetzt werden, wie etwa im Hinblick auf die Geräteintegrität, das Sitzungsrisiko oder die Art der verwendeten Client-App. Aber auch hier hängt das Zero Trust-Prinzip implizit von dem zugrundeliegenden Identitätssystem ab. Einigen Angreifer gelingt es, IAM erfolgreich zu umgehen und sich so Zugriff auf das Netzwerk zu verschaffen.

Sicherung der Identitätsquelle

Unabhängig davon, ob sich ein Benutzer über ein VPN in das Unternehmensnetzwerk einloggt oder sich bei einem Webportal anmeldet, um auf SaaS- oder lokale Anwendungen zuzugreifen, ist die Identitätssicherung immer entscheidend. Denn auch wenn sich moderne Cloud-IAM-Dienste nicht mehr auf eine lokale Unternehmensidentitätsquelle stützen, sondern auf viele Faktoren wie Gerätezustand, Standort und Verhaltensmuster zurückgreifen, um die Sicherheit einer Identität zu überprüfen, basieren sie im Kern nach wie vor auf den Anmeldedaten der einzelnen Nutzer.

In der Praxis verwenden die meisten Unternehmen ein hybrides Identitätsmodell, bei dem sie ihre lokale Identität auf Internetdienste projizieren. Dementsprechend ist die Identitätsquelle für diese Berechtigungsnachweise der wesentliche Faktor der Sicherheitsarchitektur. Und für 90 Prozent aller Unternehmen ist diese Identitätsquelle Active Directory.

Das bedeutet: Nahezu jede Zero Trust-Strategie – im Grunde jede IT-Sicherheitsarchitektur – basiert auf AD. Doch wie lässt sich die Integrität von Active Directory und AD-Daten konkret sicherstellen? Im Wesentlichen gibt es drei Punkte, die Unternehmen berücksichtigen sollten: die Minimierung der AD-Angriffsfläche, die Überwachung von AD auf Anzeichen einer Gefährdung und einen AD-Wiederherstellungsplan.

Minimierung der AD-Angriffsfläche

Zur Minimierung der AD-Angriffsfläche sollten Unternehmen:

• ein Verwaltungsmodell mit geringstmöglichen Rechten einführen und alle nicht zwingend benötigten Administratorenrollen entfernen,

• den administrativen Zugriff auf den AD-Dienst durch die Implementierung von administrativem Tiering und Privileged Access Workstations (PAWs) sperren,

• AD-Domain-Controller (DCs) durch die Anwendung empfohlener Richtlinien und Einstellungen gegen Angriffe schützen,

• AD regelmäßig auf versehentliche oder böswillige Fehlkonfigurationen prüfen, die die Gesamtstruktur potenziellem Missbrauch oder Angriffen aussetzen könnten.

Überwachung von AD auf Anzeichen einer Gefährdung

Die wichtigsten Maßnahmen zur frühzeitigen Identifizierung von verdächtigem Verhalten sind:

• die Aktivierung sowohl der Basisprüfung als auch der erweiterten Prüfung. IT-Sicherheitsexperten erfahren nur dann von Änderungen an AD, wenn entsprechende Mechanismen zur Änderungsverfolgung aktiviert wurden. Außerdem benötigen Unternehmen eine einheitliche Übersicht über wichtige Ereignisse mittels einer zentralen Konsole.

• die Überwachung der Objekt- und Attributänderungen im Verzeichnis. Das Sicherheitsereignisprotokoll zeigt die meisten, aber nicht alle Änderungen an AD auf. Der DCShadow-Angriff umgeht beispielsweise das Ereignisprotokoll vollständig. Die einzige Möglichkeit für Unternehmen über alle Aktivitäten in der AD-Gesamtstruktur Bescheid zu wissen, ist die Überwachung der Verzeichnisänderungen, die von allen DCs gemeinsam genutzt werden.

Vorbereitung eines Wiederherstellungsplans

IT-Sicherheitsverantwortliche sollten auf eine weitreichende Kompromittierung vorbereitet sein und sich in die Lage versetzen, unerwünschte Änderungen nach einem Angriff schnell und automatisch rückgängig zu machen. Im Falle der Verschlüsselung von Großteilen des Netzwerks, einschließlich AD, benötigen sie dafür eine solide, hochgradig automatisierte Wiederherstellungsstrategie, die Offline-Backups aller Infrastrukturkomponenten umfasst.

Nach Angaben der Identity Defined Security Alliance wurden 84 Prozent aller Unternehmen weltweit im Jahr 2021/2022 Opfer eines Angriffs aufgrund eines identitätsbezogenen Verstoßes. Erstaunlicherweise gaben ganze 96 Prozent der Befragten an, dass sie den Verstoß hätten verhindern oder minimieren können, wenn sie identitätsorientierte Sicherheitsmaßnahmen ergriffen hätten.

Zwar gibt es verschiedene Möglichkeiten, ein Zero Trust-Netzwerk zu implementieren, die Grundprinzipien basieren aber immer auf der Identität der Benutzer. Egal, ob die Nutzer über ein VPN auf das Netzwerk zugreifen oder sich beim Webportal eines Identitätsdienstes anmelden: Die Wahrscheinlichkeit ist groß, dass Ihre Identität von AD abhängig ist. Daher ist der Schutz von AD maßgeblich für die Sicherheit von Unternehmen. Zur Unterstützung empfiehlt Semperis die Verwendung des kostenlosen Purple Knight Active Directory Sicherheitsbewertungstools.

Über den Autor: Guido Grillenmeier ist Principal Technologist bei Semperis.

(ID:49757434)