Sicherheitsschloß

Schützen Sie Ihre Kronjuwelen

Erpressungs-Trojaner, gefälschte Emails, Credential-Theft – zahllose bekannte Firmen und Behörden, die gehackt wurden und eine vermutlich hohe Dunkelziffer.

Es ist anzunehmen, dass viele der kompromittierten Umgebungen mit aufwendiger Technik geschützt waren, vermutlich gibt es allerlei Proxies, Firewalls, Anti-Virus Software usw.

Nur warum hilft das nicht? Wir stellen immer wieder fest, dass man sich in vielen Umgebungen (zu) sehr auf Technik verlässt. Was tun gegen Software, die beispielsweise keinen Disk-I/O erzeugt und somit den Virenscanner überlistet, die über scheinbar harmlose DNS-Requests Malware hinein und Daten hinaus befördert etc.

Vielleicht sollte man realisieren und akzeptieren, dass all die Technik gar keinen 100% Schutz bringen kann? Macht es nicht Sinn dann die Maßnahmen in den Fokus zu rücken, die gar nichts (oder wenig) kosten und dafür zu sorgen, dass die Frage „funktioniert meine Technik – ja oder nein?“ in den Hintergrund rückt? Noch dazu, wenn Microsoft diese Maßnahmen seit gut 18 Monaten dringend empfiehlt.

Vereinfacht gesagt, gehen die Maßnahmen in die Richtung: wo es nichts (Credentials) zu erbeuten gibt, ist man nicht mehr allein vom Funktionieren der Technik abhängig.

Also: schützen Sie ihre Kronjuwelen, in dem Sie sie nicht überall herumliegen lassen!

Um was geht es jetzt konkret? Man sollte mit einer Inventarisierung der Benutzerkonten starten, die effektiv sehr hohe Rechte haben und das sind nicht nur die berüchtigten Domain Admins, schauen Sie mal auf Virtualisierungs-Administratoren, Outband-Management, Softwareverteilung, Backup, Servermonitoring, Update-Tools u.v.a.m.

Meist ergibt sich hier eine stattliche Zahl von Admins, Service Accounts und externen Dienstleistern, die direkt oder indirekt vollen Zugriff auf ihr Active Directory haben. Meist haben die Betroffenen diese Rechte aus Bequemlichkeit oder Unkenntnis oder es ist eben im Lauf der Jahre gewachsen. Mit den Rechte kommt jedoch auch ein hohes Risiko… „Ich vertraue meinen Mitarbeitern“ – das hören wir oft und das ist auch gut so. Aber das ist gar nicht der Punkt: jeder der viele Rechte hat ist vor allem eine attraktive Beute für den Passwort-/Credential-Jäger und es ist nun mal sehr viel schwieriger – und teurer – eine Herde von Admins zu schützen, als eine Handvoll.

Also muss man die IT-Umgebung und die Admins (auch vor sich selbst) schützen und verhindern, dass deren Kennwörter auf den falschen Systemen eingegeben, genutzt oder gespeichert werden. Man muss Rechte partitionieren, Admin-Workstations um konfigurieren, Backups schützen, Domain Controller härten – Stichworte wie Bitlocker, Applocker, Credential Guard, Authentication Silos kommen ins Spiel. In den meisten Umgebungen ist das alles längst vorhanden (sprich bezahlt) nur nutzt es niemand – meistens, weil es etwas kompliziert scheint. Aber dafür gibt es Consultants…

Wenn man dann das neue Microsoft Mantra „Assume Breach“ berücksichtigt und versteht, dass man nie garantieren kann nur „saubere“ Rechner im Netz zu haben, kommt man schnell zu der Frage „wer oder was treibt sich denn in unserer Umgebung so herum“? Da sind wir beim nächsten oft stiefmütterlich behandelten Thema: Monitoring, Logging, Anomalie Erkennung. Auch da gibt es viele Möglichkeiten, z.B. Microsoft Advanced Threat Analytics (ATA).

Ist die Umgebung erstmal etwas aufgeräumt, hat man auch eine Chance tatsächlich auffällige Aktivitäten zu bemerken. Aber das ist ein Thema für ein anderes Mal.