Übersicht über AD
In einem Meeting wird zusammen mit den verantwortlichen Personen ein Überblick über das bestehende Active Directory erarbeitet. Hier werden Fragen über die Anzahl Domänen, Benutzer, Service Accounts usw. geklärt.
Active Directory Security Improvement
Praktisch sämtliche Angriffe laufen über das Active Directory ab. Entsprechend macht es Sinn, dem AD besondere Priorität zuzuweisen und es aus Sicht eines Angreifers zu untersuchen und zu härten. Häufig ist das Active Directory historisch gewachsen und kann auch mal sehr unübersichtlich sein. Für die Angreifer existieren jedoch hervorragende Tools, um Angriffspfade in diesem komplexen Zusammenspiel zu finden und Fehlkonfigurationen auszunutzen. Also ist es naheliegend, dieselben Tools einzusetzen, um diese Angriffspfade aufzudecken und zu unterbinden. Und genau das wird in diesem Modul gemacht. Dabei kommen häufig zahlreiche Wege und Möglichkeiten zum Vorschein und hier können wir mit unserer Erfahrung und dem Angreiferwissen eine klare Priorisierung der Massnahmen erstellen. Dabei kann auch in mehreren Iterationen vorgegangen werden, damit die kritischsten Pfade zuerst mitigiert werden können und kein Bottleneck bei der Behebung entsteht.
Falls folgende Fragen in Ihrem Unternehmen noch offen sind, empfiehlt sich ein Active Directory Security Improvement:
- Können kompromittierte Benutzer ihre Berechtigungen so weit erhöhen, dass ein kritischer Schaden entstehen kann?
- Welche unserer Gruppen sind besonders kritisch und müssen geschützt werden?
- Gibt es Benutzeraccounts, welche nicht aktiv genutzt werden und deaktiviert sein sollten?
- Haben unsere Service Accounts zu viele Berechtigungen?
- Welche Accounts und Systeme müssen wir besonders im Auge behalten, um auf Cyberangriffe reagieren zu können?
Ablauf
Kick-Off
Accounts
Benötigte Accounts
Für den praktischen Test werden normale Active Directory Benutzer benötigt, so wie sie von regulären Benutzern im Unternehmen verwendet werden. Es werden keine erhöhten Rechte benötigt und es können bereits bestehende Accounts verwendet werden.
Zugriff
Testgerät
Für die praktischen Tests wird Zugriff auf das Active Directory mit dem bereitgestellten AD-Benutzer benötigt. Dies kann von einem Arbeitsnotebook oder über einen Remote-Access, wie zum Beispiel Citrix, geschehen. Auch hier empfiehlt es sich, das Setting möglichst nahe am regulären Setup von Mitarbeitenden zu halten.
Test
Testdaten sammeln
In relativ kurzer Zeit können sehr viele Daten über das Active Directory abgefragt werden. Diese grosse Menge an Daten gilt es dann richtig auszuwerten. Das Vorgehen ist dabei identisch mit dem von realen Angreifern und allfällige Detection-Mechanismen können gleich mitgeprüft werden.
Auswerten
Erkentnisse erlangen
Die gesammelten Daten werden dann ausgewertet und es wird nach möglichen Angriffspfaden gesucht. Die Angriffspfade werden dann priorisiert und auf einzelne aber möglichst effektive Massnahmen heruntergebrochen.
Report
Bericht verfassen
Sämtliche Resultate werden zusammengefasst und ausgewertet. Für alle Risiken werden Massnahmen vorgeschlagen und deren Priorität festgehalten. Für Benchmark-Umgebungen kann ein Score zum Vergleich mit anderen AD-Umgebungen ermittelt werden.
Repeat
Nachhaltige Verbesserung
Die Massnahmen können mit den gezeigten Tools selbst auf deren Wirksamkeit überprüft werden. Gerade bei grösseren AD-Umgebungen empfiehlt es sich, einen iterativen Top-Down-Approach einzusetzen.
Sämtliche Resultate werden in einem Schlussbericht (PDF, Excel und JSON) übermittelt und über die Plattform Mesher zur Verfügung gestellt. Hier beginnt die eigentliche Arbeit. Die Cyber Sicherheit kann nur erhöht werden, sofern auch Massnahmen umgesetzt werden. Dank dem Active Directory Security Improvement können nun die Massnahmen gemäss ihrer Priorität und ihres Kosten-Nutzen-Verhältnisses angegangen werden. Über Mesher wird Ihr aktueller Sicherheitslevel erfasst und Sie können den Return on Investment für die unterschiedlichen Massnahmen einsehen. Hier sind auch sämtliche Resultate visualisiert und können dank Integrationen mit bestehenden Tools verknüpft werden. Mit der Plattform können technische Massnahmen direkt mit Tasks den entsprechenden Personen zugeteilt werden und agiles Arbeiten ohne Medienbrüche wird ermöglicht. Somit ist das Fundament für eine effiziente und nachhaltige Cyber Security im Unternehmen gelegt.
