Einführung von Illumio Insights – bahnbrechende KI-gestützte Beobachtbarkeit, Erkennung und Eindämmung.
Mehr lesen

Ist dir eine Sicherheitsverletzung widerfahren?

|
Kontaktiere uns
|
+1 855 426 3983
Blog
/
Cyber-Resilienz

Bringen Sie mich zu Ihrem Domänencontroller: Schutzmaßnahmen und Gegenmaßnahmen mit Zero-Trust-Tools

Michael Adjei
Direktor, Systems Engineering, EMEA
Illumio Editorial
Januar 8, 2021
23 min. lesen

In Teil 1 dieser Blogserie haben wir uns damit beschäftigt, wie Discovery-Methoden bei einer ersten Kompromittierung eingesetzt werden können. Die zweite zeigte ein Beispiel für Identitätsdiebstahl unter Verwendung von Pass-the-Hash-Techniken in Kombination mit Fernzugriffstools für laterale Bewegungen. In diesem letzten Teil schauen wir uns an, wie man die laterale Bewegung abschwächen kann. Wir haben bereits das praktische Beispiel der beiden komplementären Ansätze diskutiert, die eine laterale Bewegung ermöglichen: auf Anwendungsebene und auf Netzwerkebene.

3.1

Es sollte klar sein, dass wir mit Netzwerkebene eigentlich die Host-to-Host-Kommunikation über das Netzwerk meinen, nicht unbedingt Netzwerkgeräte wie Switches oder Router. Bei einem Host kann es sich um einen Workload handeln, z. B. bei einem Domänencontroller, einem Datenbankserver, der entweder physisch, virtuell oder sogar containerisiert ist. Die Anwendungsebene bezieht sich auch auf das, was im Inneren des Hosts selbst passiert. Zum Beispiel Binärdateien auf dem Datenträger, Prozesse im Arbeitsspeicher, Registrierungsaktionen usw.

Während der im vorherigen Blog beschriebenen lateralen Bewegung wurde die Mimikatz-fähige Pass-the-Hash-Technik innerhalb des Betriebssystems auf Anwendungsebene verwendet, indem gehashte Anmeldeinformationen aus dem Windows LSASS-Prozessspeicher abgerufen wurden.

3.2

Das von diesem Angriff abgeleitete Token für erhöhte Zugriffsrechte wurde dann verwendet, um den Remotezugriff mithilfe des PAexec-Tools zu ermöglichen, das Windows SCM nutzt.

3.3

Bei der Analyse dieser spezifischen Angriffssequenz anhand der beiden oben beschriebenen Ebenen müsste die Anwendungsebene des Systems zuerst die Verwendung von Mimikatz oder das Scheitern dieses PAexec verhindern, basierend auf der Standardverweigerung unter Verwendung einer Zulassungsliste von Anwendungen. Alternativ müssten wir den Prozessstart im Speicher erkennen, indem wir z.B. geladene DLLs oder API-Aufrufe überwachen. Auf Netzwerkebene müsste die Mikrosegmentierung auf Hostebene erzwungen werden, um eine Bewegung zwischen Systemen zu verhindern, selbst wenn sie sich im selben Subnetz oder VLAN befinden. Das Traffic-Baselining ermöglicht es auch, Anomalien wie Datenexfiltration zu erkennen.

Die folgende Abbildung zeigt die statische Analyse von Mimikatz- und PAExec-Binärdateien sowie einige der Systemabhängigkeiten wie DLLs, die importiert werden.

3.4

Der laufende Prozess im Speicher zeigt uns den Prozessbaum von cmd, der sowohl für die Mimikatz-Pass-the-Hash als auch für die anschließende PAExec-Verbindung zum Domänencontroller verwendet wurde.

3.5

Die Forensik auf dem Zielsystem, in diesem Fall dem Domänencontroller, zeigt auch die Binärdatei an, die auf dem Domänencontroller verwendet wird, um die Remoteverwaltung und in diesem Fall die laterale Verschiebung zu erleichtern.

3.6

Und das Bild unten zeigt auch den zugehörigen Dienst.

3.7

Standardmäßig wird die standardmäßige Namenskonvention sowohl für die binären als auch für die resultierenden Prozessnamen verwendet. Dies kann natürlich von einem Bedrohungsakteur geändert werden.

Daher ist es wichtig, dass die Ansätze zur Risikominderung diese Angriffsebenen berücksichtigen – Schutzmaßnahmen, die sich mit den Bedrohungen auf Anwendungsebene befassen, und Schutzmaßnahmen, die sich mit der Sicherheit auf Netzwerkebene befassen, wobei der Schwerpunkt auf der Host-to-Host-Kommunikation liegt. Dies bedeutet dann, dass die Sicherheit mit dem zu schützenden Host oder Workload (z. B. der Domänencontrollercomputer als Workload und die Endpunktcomputer, die auf den Domänencontroller zugreifen) beibehalten und verschoben wird.

Durch die Anwendung dieses zweistufigen Konzepts auf die Domäne und die zugehörigen Server und Clients zeigt die folgende Infografik einige der wichtigen Sicherheitsüberlegungen zum Schutz vor Bedrohungen für die Domänencontroller und andere Domänensysteme, die in dieser Blogreihe erläutert werden.

3.8

Ein guter Ausgangspunkt für Informationen sind die Best Practices for Securing Active Directory von Microsoft, in denen Ansätze des gesunden Menschenverstands beschrieben werden, z. B. keine Anmeldung an ungesicherten Computern mit privilegierten Konten oder das normale Surfen im Internet mit einem Konto mit hohen Berechtigungen oder sogar direkt von Domänencontrollern aus. Effektives Privilegienmanagement und Anwendungszulassungslisten können auch die Einschränkung der Nutzung privilegierter Konten in der gesamten Domäne automatisieren und die Verwendung nicht sanktionierter Anwendungen verhindern.

Auf der Anwendungsebene des Systemschutzes kann beispielsweise Endpoint Detection and Response (EDR) in Kombination mit Identity & Privilege Management-Lösungen auf Basis von Zero Trust dazu beitragen, Bedrohungen auf Anwendungsebene auf dem Domain-System wie Diebstahl von Anmeldeinformationen und LSASS-Speichermanipulation mit Tools wie Mimikatz oder Rubeus zu bewältigen (auch wenn sie nur im Speicher ausgeführt werden und die Festplatte nicht berühren).

Das folgende Beispiel zeigt ein solches Beispiel aus einer EDR-Lösung, CrowdStrike Falcon, die eine Reihe von bösartigen Verhaltensweisen auf Anwendungs- und Systemebene erkennt.

3.9

Auf der Netzwerkebene des Systems, wie beim Domain-Controller und anderen Domain-Systemen, können hostbasierte Mikrosegmentierungslösungen wie Illumio Core Zero-Trust-Sicherheit und Mikrosegmentierung bieten. Illumio Edge weitet diesen Schutz auf die Endpunkte innerhalb und außerhalb der Domäne aus. Dies gilt insbesondere für Fälle von Zero-Day-Schwachstellen und für Fälle, in denen Bedrohungen von der Endpunktsicherheit auf Anwendungs- und Systemebene übersehen werden.

Die meisten modernen Netzwerke sind heterogen, komplex und ausgedehnt, insbesondere im Zeitalter der Fernarbeit. Das hat zur Folge, dass es nicht besonders einfach ist, die Sicherheit zu gewährleisten, ohne vorher eine fokussierte Strategie zu haben. Insbesondere bei großen Netzwerken scheint es aufgrund der schieren Anzahl unterschiedlicher, komplexer Systeme mit unterschiedlichen Sicherheitsrichtlinien fast unmöglich zu sein, eine effektive Sicherheit zu erreichen. Daher ist es wichtig, zu den Grundlagen zurückzukehren, um:

  1. Wissen, was Sie haben
  2. Wissen, was sie tun
  3. Sichern Sie sie

Dies gilt insbesondere dann, wenn Workloads im Rechenzentrum oder in der Cloud gespeichert werden. Der einfachste und effektivste Weg, um herauszufinden, was Sie haben, besteht darin, die Systeme zunächst nach bestimmten Attributen wie Standort, Umgebung und Anwendung zu gruppieren. Auf diese Weise lassen sich kritische Systeme und Anwendungsgruppen, gruppenübergreifend verwendete Kerndienste und andere weniger wichtige Systeme und Anwendungen leicht identifizieren. Natürlich liegt der Hauptfokus dann auf den kritischsten Assets, Kronjuwelenanwendungen und Kerndiensten.

3.10

Effektive Sicherheit existiert nicht isoliert, daher muss jeder Ansatz die folgenden wichtigen Überlegungen berücksichtigen:

  • Sichtbarkeit
  • Integration
  • Skalierbare Leistung
  • Wirksamkeit

Der erste wichtige Punkt ist die Sichtbarkeit. Wie im folgenden Beispiel aus der Illumio-Kernlösung für den Schutz von Zero-Trust-Workloads gezeigt, ebnet das Mapping von Anwendungsabhängigkeiten und die Darstellung verschiedener Anwendungsgruppen und ihrer Verbindungen den Weg für eine fundierte Richtliniendefinition und -bereitstellung direkt auf Hostsystemen wie Domänencontrollern, Datenbankservern und anderen kritischen Workload-Systemen in der Domäne – physisch, virtuell, Container oder Cloud. Das bedeutet, dass die Mikrosegmentierung auch in einer flachen Brownfield-Umgebung mit Systemen angewendet werden kann, die sich über verschiedene geografische Standorte erstrecken und auf verschiedenen Plattformen existieren. Dies hilft zu wissen, was Ihre Systeme im Netzwerk tun. Das folgende Beispiel zeigt die Anwendungsgruppen und ihre Datenverkehrsbeziehungen in einer Anwendungsabhängigkeitszuordnung.

3.11

Solche nützlichen Informationen auf Systemebene können auch in bestehende Sicherheitsinvestitionen wie SIEMs, Schwachstellenscanner oder CMDBs integriert werden. Im folgenden Beispiel werden Informationen aus der hostbasierten Mikrosegmentierungslösung in eine SIEM- oder Security-Analytics-Lösung eingespeist. Dieses Beispiel zeigt die Integration mit Splunk SIEM:

3.12

Und in diesem zweiten Beispiel mit QRadar:

3.13

Das bedeutet, dass neue Lösungen mit bestehenden Sicherheitsinvestitionen kombiniert werden können, um die gesamten Domänensysteme zu schützen. Die Leistung und Effektivität von Sicherheitslösungen in großem Maßstab sollte ebenfalls ein wichtiger Aspekt sein, damit die Sicherheit sowohl in festen als auch in agilen Umgebungen wie Containern oder Cloud-Migrationen nach oben oder unten skaliert werden kann.

Sobald diese alle vorhanden sind, ist es einfach, konsistente Sicherheitsrichtlinien für alle Systeme zu definieren, um anomales Verhalten zu überwachen, zu erkennen und zu verhindern. Die folgende Abbildung zeigt die verschiedenen Arten von Mikrosegmentierungsrichtlinien, die auf der Grundlage von Echtzeit-Datenverkehrsmustern von Host zu Host angewendet werden können, d. h. auf Netzwerkebene.

3.14

In neueren Versionen von Windows, z. B. Windows 10 und Server 2016, kann die Überwachung für das Ereignis 4768 – ein Kerberos-Authentifizierungsticket (TGT) wurde angefordert und das Ereignis 4769 – Kerberos-Dienstticket angefordert werden, und die anschließende Korrelation kann auf den Beginn von Golden- oder Silver-Ticketangriffen hinweisen. Microsoft hat auch neue Schutzmaßnahmen wie Credential Guard implementiert, der vor Credential Dumping schützen soll. Für den Fall, dass es zu einem Cybervorfall kommt, ist es wichtig, dass bereits eine Strategie zur Reaktion auf Cybervorfälle vorhanden ist.

Sowohl der Schutz auf Anwendungsebene als auch auf Netzwerkebene sollte durch eine Strategie derAnnahme einer Sicherheitsverletzunguntermauert werden, so dass insgesamt eine aktive Bedrohungssuche, die durch Analysen, kontinuierliche Überwachung und Erkennung unterstützt wird, immer automatisiert und strukturiert in Kraft ist.

Verwandte Themen

Keine Artikel gefunden.

Verwandte Artikel

So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135
Cyber-Resilienz

So sichern Sie sich vor der neuen Sicherheitslücke TCP Port 135

Eine Möglichkeit, den TCP-Port 135 auszunutzen, um Remote-Befehle auszuführen, führte zu einer Schwachstelle an Port 445, die es erforderlich machte, Port 135 zu sichern, um die TCP-Sicherheit zu gewährleisten.

Mehr lesen
Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance
Cyber-Resilienz

Vorbereitung auf DORA: Einblicke von 2 Experten für Cybersicherheits-Compliance

Tristan Morgan, Managing Director of Cybersecurity bei BT, und Mark Hendry, Digital Services Partner bei Evelyn Partners, erhalten Einblicke in die DORA-Compliance.

Mehr lesen
Cybersicherheitsprognosen für 2021
Cyber-Resilienz

Cybersicherheitsprognosen für 2021

In der Annahme, dass die Cloud alles löst, übersehen zu viele Unternehmen die Endpunktsicherheit. Hier erfahren Sie, was dies für DevSecOps und Cyberrisiken bedeutet.

Mehr lesen
Keine Artikel gefunden.

Gehen Sie von einer Sicherheitsverletzung aus.
Minimieren Sie die Auswirkungen.
Erhöhen Sie die Resilienz.

Sind Sie bereit, mehr über Zero Trust-Segmentierung zu erfahren?

Mehr erfahren