5 Wege, um Active Directory mit Varonis zu schützen

Active Directory

Die schnellste Methode, in ein Netzwerk einzudringen, nutzt das Active Directory (AD) – es ist der Schlüssel zum gesamten Königreich. Wenn Sie auf einen Server zugreifen wollen, müssen Sie im AD die Berechtigung anfordern.

Varonis überwacht das Active Directory, um Sie gegen unzählige Cybersicherheitsgefahren zu schützen. Durch die Kombination von AD, Dateiserveraktivität und Perimetertelemetrie erkennt Varonis Gefahren im AD, bevor sie das Stadium einer echten Datenschutzverletzung erreichen können.

Technischer Hinweis: Active Directory und Directory-Dienste sind häufig synonym zu betrachten: Active Directory ist die Microsoft-Version der Directory-Dienste oder LDAP.

Wie wird Active Directory von Varonis überwacht?

Varonis sammelt und speichert Sicherheitsereignisprotokolle von Ihren Domain-Controllern (DC). Wir analysieren die AD-Protokolldaten im Kontext von Dateiaktivität, VPN-Aktivität, DNS-Abfragen und Proxy-Abfragen, um ein klares Bild der normalen und abnormalen Verhaltensweisen zu gewinnen. Varonis analysiert Benutzerverhaltensmuster im Zeitverlauf und vergleicht bekannte Verhaltensmuster mit der aktuellen Aktivität – wenn AD-Aktivität verdächtig aussieht oder von der Norm für einen bestimmten Benutzer (oder Benutzertyp) abweicht, wird eine Benachrichtigung ausgelöst. Sicherheitsteams verwenden diese Benachrichtigungen, um aktive Gefahren zu entdecken, wobei sie mithilfe der Varonis-Benutzerschnittstelle untersuchen, wo das Ereignis überhaupt aufgetreten ist.

Erkennung des Diebstahls von Anmeldeinformationen von Varonis

Der Diebstahl von Anmeldeinformationen, also die unberechtigte Nutzung der Anmeldeinformationen einer anderen Person, gehört zu den üblichsten Methoden zur Infiltration eines Netzwerks. Es ist immer einfacher, ein Kennwort zu stehlen, als einen Brute-Force-Angriff durchzuführen oder Kerberos zu hacken. Ganz egal, wie sehr Sie Ihre Benutzer über Cybersicherheitsgrundsätze schulen und wieviele Cybersicherheitsvorkehrungen Sie aufbauen: Ihre Benutzer werden immer eine Schwachstelle in Ihre Systembleiben. Es kann jeden Tag vorkommen, das ein Benutzer aus Versehen auf einen Phishing-Link klickt. Weshalb zusätzlich zu allen Schulungen auch unbedingt eine Überwachung auf potenziellen Diebstahl von Anmeldeinformationen durchgeführt werden muss. Hier sind einige Bedrohungsmodelle, mit denen sich Hinweise auf den Diebstahl von Anmeldeinformationen gewinnen lassen.

Bedrohungsmodell: Abnormales Zugriffsverhalten: Möglicherweise Credential-Stuffing-Angriff von einer einzigen Quelle

Funktionsweise: Varonis hat zahlreiche fehlgeschlagene Anmeldeversuche mit ungültigen Benutzernamen oder Kennwörtern von einem einzigen Gerät erkannt.

Bedeutung: Entweder versucht ein Angreifer einen gültigen Benutzernamen zu finden, um diesen in einem Brute-Force-Angriff zu verwenden, oder er hat eine Liste mit Benutzernamen aus einer früheren Datenschutzverletzung, für die er versucht, gültige Kombinationen aus Benutzername und Kennwort zu erraten – was dies zu einem Credential-Stuffing-Angriff machen würde. Die gute Nachricht ist, dass er an diesem Punkt noch keinen Zugriff auf Ihr Netzwerk hat und dass Sie ihm vorbeugend das Handwerk legen können.

Wirkungsorte: Directory-Dienste

Bedrohungsmodell: Ungewöhnliches Verhalten: Zugriff auf eine ungewöhnlich große Anzahl an Geräten

Funktionsweise: Varonis scannt die Directory-Dienste pausenlos im Hinblick auf Anmeldungen, wobei historische Verhaltensmuster mit den aktuellen Daten verglichen werden. In diesem Fall verfügt der Angreifer über die Anmeldeinformationen eines Benutzers und erkundet das Netzwerk, um herauszufinden, auf welche Geräte er mit diesem Konto zugreifen kann.

Bedeutung: Ein Angreifer könnte ein Benutzerkonto verwenden, um dessen Ressourcen auszunutzen und zwar auf mehreren Geräten. Sie müssen zumindest ein Kennwort ändern und herausfinden, wie dieses Konto gehackt wurde und dann etwaswühlen, um herauszufinden, worauf der Angreifer außerdem zugegriffen hat, um sicher zu gehen, dass es keine weiteren Datenschutzverletzungen gibt.

Wirkungsorte: Directory-Dienste

Erkennung von Berechtigungseskalationen durch Varonis

Sobald ein Angreifer Zugriff auf Ihr Netzwerk hat, wird er versuchen seinen Zugriff auf Administrations- oder Domain-Admin-Berechtigungen zu erweitern. Diese Art der Aktivität – das Erweitern von Berechtigungen – ist als Berechtigungseskalation bekannt. Angreifer nutzen die Berechtigungen, die sie bereits haben, um großzügigere Zugriffsberechtigungen zu stehlen. Es gibt mehrere Methoden, sich weitere Zugriffsberechtigungen zu verschaffen und laterale Bewegungen durch das Netzwerk zu ermöglichen. Hier sind einige Bedrohungsmodelle, mit denen sich versuchte Berechtigungseskalationen erkennen lassen.

Bedrohungsmodell: Mitgliedschaftsänderungen: Admin-Gruppen

Funktionsweise: Varonis kategorisiert Benutzer und Gruppen in vier Oberkategorien: privilegiert, Dienst, Führungskraft und Benutzer. Privilegierte Gruppen haben Berechtigungen auf Admin-Niveau für mindesten einige, wenn nicht sogar die überwiegende Zahl der Ressourcen in Ihrem Netzwerk. Diese Bedrohungsmodell sucht nach Mitgliedern, die den Admin- (oder privilegierten) Gruppen hinzugefügt oder aus diesen gelöscht wurden.

Bedeutung: Jemand hat einen Benutzer entweder zu einer Admin-Gruppe hinzugefügt oder aus ihr gelöscht. Ein Angreifer könnte einen Admin zu einer Gruppe hinzufügen, um erweiterten Zugriff zu erhalten – oder er könnte einen Admin löschen, um dessen Zugriff und damit eine potenzielle Reaktion auf den Angriff zu verhindern. Wenn diese Änderung außerhalb der Änderungskontrolle erfolgt, kann sie ein Hinweis auf eine Berechtigungseskalation im Rahmen eines Cyber-Angriffs sein.

Wirkungsorte: Directory-Dienste

Bedrohungsmodell: Fehlgeschlagene Berechtigungseskalation über eine Sicherheitslücke in Kerberos erkannt

Funktionsweise: Varonis überwacht die Anmeldungen von Domänenbenutzern auf Hinweise auf einen Silver-Ticket-Angriff. Jeder Anmeldung beinhaltet Angaben, die Varonis im Hinblick auf Versuche, die Kerberos-Authentifizierung zu umgehen, analysiert.

Bedeutung: Ein Angreifer versucht, eine Sicherheitslücke in der Kerberos-Implementierung von Microsoft auszunutzen, über die ein Angreifer seine Berechtigungen über einen gefälschten TGS auszuweiten. Alle Details finden Sie in Microsoft CVE-2014-6324. Patchen Sie Ihre DCs diesem CVE entsprechend und sperren Sie Angreifer SOFORT aus Ihrem Netzwerk aus!

Wirkungsorte: Directory-Dienste

Erkennung von lateralen Bewegungen mit Varonis

Sollte der Angreifer es unentdeckt bis hierhin geschafft haben, wird er sich nach sensiblen Daten umschauen, die er stehlen kann. Wir bezeichnen diese Phase der Cyber-Kill-Chain als laterale Bewegung, weil sich der Angreifer mithilfe des gestohlenen Zugriffs lateral durch Ihr Netzwerk bewegt. Varonis identifiziert die Speicherorte Ihrer sensiblen Daten und AD und überwacht sie, um derartige Betrügereien zu unterbinden. Varonis erkennt, wo sensible Daten liegen und kategorisiert alle AD-Konten als Dienst, Führungskraft, privilegiert oder Benutzer. Mithilfe des Wissens, auf welche Arten von Daten das jeweilige Konto zugreift, kann Varonis das aktuelle Benutzerverhalten analysieren und fundierte Entscheidungen treffen.

Bedrohungsmodell: Ungewöhnliches Verhalten: Ungewöhnlich große Anzahl von Anmeldungen auf persönlichen Geräten

Funktionsweise: Jedes Mal, wenn ein Angreifer auf einen neuen Server im Netzwerk zugreift, generiert er ein neues Anmeldungsereignis. Varonis beobachtet diese Anmeldungsereignisse auf abnormale Verhaltensweisen und ein Benutzer, der innerhalb kurzer Zeit auf mehreren Servern aktiv wird – insbesondere, wenn er zuvor noch nie auf sie zugegriffen hat – löst ein Warnsignal aus.

Bedeutung: Jemand demonstriert ungewöhnliches Verhalten und möglicherweise hat ein Angreifer ein Benutzerkonto kompromittiert. Das könnte bedeutet, dass er auf das Netzwerk zugegriffen hat – und jetzt nach Daten sucht, die er stehlen kann.

Wirkungsorte: Directory-Dienste

So schützt Varonis Sie vor Verschlüsselungsherabstufung

Um Benutzernamen und Kennwörter in Ihrem Netzwerk sicher zu halten, ist eine starke Verschlüsselung unverzichtbar, sie ist aber leider keine narrensichere Lösung. Die neueste AD-Version verwendet AES-Verschlüsselung, um Kerberos-Tickets zu schützen, aber Angreifer haben einen Weg gefunden, AD dazu zu bringen, mit der wesentlich einfacher zu überwindenden RC4-Verschlüsselung zu arbeiten. Dabei handelt es sich um einen Angriff per Verschlüsselungsherabstufung – auch als Skeleton-Key-Angriff bezeichnet – und Varonis verfügt über ein Bedrohungsmodell, mit dem sich diese Art der Bedrohung erkennen lässt.

Bedrohungsmodell: Angriff per Verschlüsselungsherabstufung

Funktionsweise: Varonis überwacht die AD-Anmeldungen. Jede AD-Anmeldung enthält Angaben über das bei der Anmeldung verwendete Verschlüsselungsniveau. Bei einer steigenden Anzahl von Anmeldungen mit geringerer Verschlüsselung wird eine Benachrichtigung ausgelöst.

Bedeutung: Der Angreifer versucht wahrscheinlich, das Verschlüsselungsniveau zu senken, um das Active Directory zu umgehen. Es ist ihm möglicherweise gelungen, einen Skeleton Key (also Dietrich) einzuschleusen, mit dem er – Sie ahnen es – sich als beliebiger Benutzer authentifizieren kann.

Wirkungsorte: Directory-Dienste

So erkennt Varonis gegen Kerberos gerichtete Bedrohungen

Wenn Sie AD verwenden, benutzen Sie Kerberos. Und wenn Sie Kerberos benutzen, sollten Ihnen einige Sicherheitslücken bekannt sein. Varonis sucht nach Aktivitäten, die mit diesen Sicherheitslücken in Verbindung stehen.

Bedrohungsmodell: Potenzieller Pass-the-Ticket-Angriff

Funktionsweise: Varonis analysiert Active Directory-Protokolle im Hinblick auf Hinweise, dass bei dem Zugriff auf eine Ressource der Kerberos-Standardprozess und die ordnungsgemäße Autorisierung umgangen wurden.

Bedeutung: Jemand versucht, in Ihr Netzwerk einzudringen – es sei denn, Ihre neuen Praktikanten gehören zum Red Team. Ein Angreifer verwendet wahrscheinlich ein gestohlenes Ticket, um Zugriff auf Ressourcen zu erlangen. Ein möglicher Angriff ist der Golden-Ticket-Angriff, was bedeutet, dass Ihnen sehr viel Bereinigungsaufwand bevorsteht, um die Bedrohung abzuwehren.

Wirkungsorte: Directory-Dienste

Mit eine Fülle integrierter Bedrohungsmodelle erkennt DatAlert alle Arten von Bedrohungen, angefangen bei Golden-Ticket-Angriffen über abnormales Sperrverhalten bis zu DNS-Poisoning. Sie können mit automatisierten Reaktionen kompromittierte Konten deaktivieren, aktive Sitzungen unterbrechen und sogar Benachrichtigungen an Ihr SIEM senden, um diese dann weiter zu analysieren und in einen Zusammenhang zu bringen.

Active Directory zu verstehen ist für den Schutz eines Unternehmens vor Datenschutzverletzungen unverzichtbar. Und eine aktive Überwachung des Active Directory kann den Unterschied zwischen einem versuchten und einem erfolgreichen Datendiebstahl ausmachen.

Sichern Sie sich eine 1:1-Demo von Varonis, um zu entdecken, was wir in Sachen Datensicherheit anders machen.