Die Rolle von Active Directory in der Zero Trust-Strategie

AD aber oft das schwache Glied in der Sicherheitskette, warnt Guido Grillenmeier von Semperis.

Als Methode zur besseren präventiven Absicherung der IT-Infrastruktur beruht Zero Trust auf der Prämisse, dass kein Nutzer im System als vertrauenswürdig eingestuft wird. Mehr als zwei Drittel der Unternehmen entwickeln dem US-Marktforschungsunternehmen Forrester zufolge bereits eine entsprechende Zero Trust-Strategie. Allerdings wird bei der Umsetzung oftmals ein sicherheitsrelevanter Aspekt außer Acht gelassen: der Verzeichnisdienst Active Directory (AD).

IT-Verantwortliche gehen davon aus, dass der Identitätsspeicher des Unternehmens, seine Integrität wahrt. Tatsächlich ist AD aber oft das schwache Glied in der Sicherheitskette. So hingen 90 Prozent der von Mandiant, einem Beratungsunternehmen für Cybersicherheit, untersuchten Angriffe in irgendeiner Form mit AD zusammen. Diese Zahl ist kaum verwunderlich, denn häufige Konfigurationsfehler, machen Active Directory zu einem leichten und beliebten Ziel für Cyberkriminelle.

Die Angreifer nutzen dabei Schwachstellen gezielt aus, um darüber nicht nur Zugang zu Unternehmensdaten, sondern auch Berechtigungen zu erlangen, mit denen sie sich frei durch das Netzwerk bewegen können. Da auch die Cloud-Identitäten auf AD basieren, ist es ein Primärziel für Anmeldedatenmissbrauch, eine Taktik, die in 80 Prozent aller Datenschutzverletzungen angewendet wird.

Eine Identitätsquelle für zahlreiche IT-Architekturen

Als kritische Komponente jeder Zero Trust-Infrastruktur müssen Identitäten auch als solche behandelt werden. In vielen Unternehmen arbeiten Mitarbeiter mittlerweile zumindest zeitweise von zu Hause aus. Bei der Bereitstellung von Remote-Zugriffen und Cloud-zentrierten Anwendungen sollten Unternehmen daher berücksichtigen, dass ihre Sicherheitsstrategien von der Integrität ihrer zentralen lokalen Identitätssysteme abhängig sind.

In der Vergangenheit wurden für den Remote-Zugriff weitgehend virtuelle private Netzwerke (VPNs) genutzt. Benutzer werden von einem Verzeichnisdienst – in der Regel Active Directory – authentifiziert und dann zum Unternehmensnetz zugelassen. Allerdings sind VPNs allein keine Lösung mehr für die moderne Remote-Belegschaft, da sie nur begrenzt skalierbar und von der Sicherheit der Netzwerkumgebung abhängen.

Webbasierter IAM-Dienst

Stattdessen verwenden immer mehr Unternehmen einen webbasierten IAM-Dienst (Identity and Access Management), bei dem sich die Benutzer mit ihren Unternehmensdaten anmelden, um online auf SaaS-Anwendungen (Software-as-a-Service) wie Zoom oder Microsoft 365 zuzugreifen. Bei dieser Methode wird ein Zero Trust-Modell verwendet, bei dem nicht der Netzwerkstandort, sondern die Identität eines Benutzers der Schlüssel zum Zugriff auf die Anwendung ist.

Manche Unternehmen gehen noch weiter, indem sie das Zero Trust-Modell auf ihre lokalen Netzwerke ausweiten. Sie setzen Geräte ein, die eine softwaredefinierte Grenze zwischen Anwendungen und den Benutzern herstellen, die darauf zugreifen möchten. Anstelle des breiten Netzwerkzugriffs, den ein VPN ermöglicht, gewähren diese Proxy-Geräte (z. B. Azure AD Application Proxy, Symantec Secure Access Cloud) dem Benutzer nur Zugriff auf die im Proxy veröffentlichte Anwendung. Da der Datenverkehr über den IAM-Dienst geleitet wird, können dabei ausgefeilte Zugriffskontrollen eingesetzt werden, wie etwa im Hinblick auf die Geräteintegrität, das Sitzungsrisiko oder die Art der verwendeten Client-App. Aber auch hier hängt das Zero Trust-Prinzip implizit von dem zugrundeliegenden Identitätssystem ab. Einigen Angreifer gelingt es, IAM erfolgreich zu umgehen und sich so Zugriff auf das Netzwerk zu verschaffen.

Identitätssicherung als entscheidender Faktor

Unabhängig davon, ob sich ein Benutzer über ein VPN in das Unternehmensnetzwerk einloggt oder sich bei einem Webportal anmeldet, um auf SaaS- oder lokale Anwendungen zuzugreifen, ist die Identitätssicherung immer entscheidend. Denn auch wenn sich moderne Cloud-IAM-Dienste nicht mehr auf eine lokale Unternehmensidentitätsquelle stützen, sondern auf viele Faktoren wie Gerätezustand, Standort und Verhaltensmuster zurückgreifen, um die Sicherheit einer Identität zu überprüfen, basieren sie im Kern nach wie vor auf den Anmeldedaten der einzelnen Nutzer.

In der Praxis verwenden die meisten Unternehmen ein hybrides Identitätsmodell, bei dem sie ihre lokale Identität auf Internetdienste projizieren. Dementsprechend ist die Identitätsquelle für diese Berechtigungsnachweise der wesentliche Faktor der Sicherheitsarchitektur. Und für 90 Prozent aller Unternehmen ist diese Identitätsquelle Active Directory.

Das bedeutet: Nahezu jede Zero Trust-Strategie – im Grunde jede IT-Sicherheitsarchitektur – basiert auf AD. Doch wie lässt sich die Integrität von Active Directory und AD-Daten konkret sicherstellen? Im Wesentlichen gibt es drei Punkte, die Unternehmen berücksichtigen sollten: die Minimierung der AD-Angriffsfläche, die Überwachung von AD auf Anzeichen einer Gefährdung und einen AD-Wiederherstellungsplan.

Zur Minimierung der AD-Angriffsfläche sollten Unternehmen:
  • ein Verwaltungsmodell mit geringstmöglichen Rechten einführen und alle nicht zwingend benötigten Administratorenrollen entfernen,
  • den administrativen Zugriff auf den AD-Dienst durch die Implementierung von administrativem Tiering und Privileged Access Workstations (PAWs) sperren,
  • AD-Domain-Controller (DCs) durch die Anwendung empfohlener Richtlinien und Einstellungen gegen Angriffe schützen,
  • AD regelmäßig auf versehentliche oder böswillige Fehlkonfigurationen prüfen, die die Gesamtstruktur potenziellem Missbrauch oder Angriffen aussetzen könnten.
Maßnahmen zur frühzeitigen Identifizierung von verdächtigem Verhalten sind:
  • die Aktivierung sowohl der Basisprüfung als auch der erweiterten Prüfung. IT-Sicherheitsexperten erfahren nur dann von Änderungen an AD, wenn entsprechende Mechanismen zur Änderungsverfolgung aktiviert wurden. Außerdem benötigen Unternehmen eine einheitliche Übersicht über wichtige Ereignisse mittels einer zentralen Konsole.
  • die Überwachung der Objekt- und Attributänderungen im Verzeichnis. Das Sicherheitsereignisprotokoll zeigt die meisten, aber nicht alle Änderungen an AD auf. Der DCShadow-Angriff umgeht beispielsweise das Ereignisprotokoll vollständig. Die einzige Möglichkeit für Unternehmen über alle Aktivitäten in der AD-Gesamtstruktur Bescheid zu wissen, ist die Überwachung der Verzeichnisänderungen, die von allen DCs gemeinsam genutzt werden.
Automatisierte Wiederherstellungsstrategien schützen vor Auswirkungen

IT-Sicherheitsverantwortliche sollten auf eine weitreichende Kompromittierung vorbereitet sein und sich in die Lage versetzen, unerwünschte Änderungen nach einem Angriff schnell und automatisch rückgängig zu machen. Im Falle der Verschlüsselung von Großteilen des Netzwerks, einschließlich AD, benötigen sie dafür eine solide, hochgradig automatisierte Wiederherstellungsstrategie, die Offline-Backups aller Infrastrukturkomponenten umfasst.

Nach Angaben der Identity Defined Security Alliance wurden 84 Prozent aller Unternehmen weltweit im Jahr 2021/2022 Opfer eines Angriffs aufgrund eines identitätsbezogenen Verstoßes. Erstaunlicherweise gaben ganze 96 Prozent der Befragten an, dass sie den Verstoß hätten verhindern oder minimieren können, wenn sie identitätsorientierte Sicherheitsmaßnahmen ergriffen hätten.

Zwar gibt es verschiedene Möglichkeiten, ein Zero Trust-Netzwerk zu implementieren, die Grundprinzipien basieren aber immer auf der Identität der Benutzer. Egal, ob die Nutzer über ein VPN auf das Netzwerk zugreifen oder sich beim Webportal eines Identitätsdienstes anmelden: Die Wahrscheinlichkeit ist groß, dass Ihre Identität von AD abhängig ist. Daher ist der Schutz von AD maßgeblich für die Sicherheit von Unternehmen. Zur Unterstützung empfiehlt Semperis die Verwendung des kostenlosen Purple Knight Active Directory Sicherheitsbewertungstools.

 

 
ist Principal Technologist bei Semperis.