Active Directory: Wie Angreifer mit Deception in die Falle gelockt werden

Aktive Verteidigung soll Eindringlinge in Active-Directory-Umgebungen in die Irre führen, damit sie schneller entdeckt werden und weniger Schaden anrichten.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Lesezeit: 30 Min.
Von
  • Frank Ully
Inhaltsverzeichnis

Dieser Artikel widmet sich einem noch jungen Ansatz zur Absicherung des Active Directory (AD): der aktiven Verteidigung. Ging es bei den bisherigen Artikeln der Active-Directory-Reihe darum, welche Einfallstore das Active Directory bietet, wie Systemverwalter Fehlkonfigurationen vermeiden, ihre Umgebung härten und mögliche Angriffe durch Logs und Monitoring entdecken können, so zielt die neue Methode darauf, Angriffsversuche schnell zu erkennen und Eindringlinge in die Irre zu führen.

Sicherheit im Active Directory

Vermeintlich fehlkonfigurierte Konten, die aussehen, als seien sie echt, bei Missbrauch aber Alarm auslösen, sollen unerwünschte Gäste im Unternehmensnetzwerk in die Falle locken. Unter Sicherheitsexperten ist unumstritten: Nach dem "Assume Breach"-Ansatz bereitet es Angreifern keine Schwierigkeiten, ein beliebiges System in einem Unternehmen zu kompromittieren, beispielsweise durch Phishing oder das Ausnutzen einer Schwachstelle, und von dort Befehle auszuführen. Dass eine Organisation angegriffen wird, ist also keine Frage des Ob, sondern nur eine Frage des Wann. Spätestens mit den immer verheerenderen Ransomware-Attacken sollte dies deutlich geworden sein.

Noch immer investieren Unternehmen meist nur in das Verhindern und kaum in das Erkennen möglicher Sicherheitsvorfälle. Zwar drängen mit Endpoint Detection and Response (EDR) und Extended Detection and Response (XDR) neuere Techniken auf den Massenmarkt, die kompromittierte Systeme erkennen sollen, wie in den Artikeln "Neue Verteidigungsansätze in der IT-Security: EDR und XDR" und "Endgerätesicherheit und EDR-Tools: Gefahren schnell erkennen und reagieren" beschrieben. Allerdings haben sich fortgeschrittene Angreifer daran angepasst und können diese und etablierte Sicherheitsmaßnahmen wie Malwarescanner mit etwas Aufwand umgehen. Selbst wenn ein Monitoring eingerichtet ist, auf das ein internes oder externes Security Operations Center (SOC) ein wachsames Auge hat, sind die Meldungen größtenteils falsche Warnungen, was zu einer gewissen Alarmmüdigkeit der Verteidiger führt.