Flexible Security for Your Peace of Mind

Active Directory gesichert? Mit EASM gehen Sie den nächsten Schritt zum Schutz Ihrer Zugangsdaten

Auch in der IT-Sicherheit ist es wichtig, sichere Grundlagen zu schaffen. Sie könnten ein hochmodernes Sicherheitssystem für Ihr Haus kaufen, wenn Sie aber weiterhin Türen und Fenster offen stehen lassen, werden Kriminelle diese Gelegenheiten dennoch ausnutzen – und Ihre Versicherung nicht begeistert sein. Genauso verhält es sich auch mit der Passwortsicherheit. Beginnen wir also mit der Eingangstür eines Unternehmens: dem Active Directory.

Wenn Ihr Active Directory für Angriffe, die auf gestohlene oder entschlüsselte Zugangsdaten basieren, anfällig ist, muss dieses Problem als erstes gelöst werden. Nachdem Sie dieses Fundament gelegt haben, können Sie darüber nachdenken, wie Sie Ihre Passwortsicherheit auf die nächste Stufe heben können – z. B. indem Sie die Gründe für das Abhandenkommen von Zugangsdaten nachverfolgen. An dieser Stelle kommt das Threat Intelligence Segment unserer External Attack Surface Management (EASM)-Lösung ins Spiel.

Was verstehen wir unter einem “sicheren” Active Directory?

Zuerst sollten wir klären, was wir mit einem “sicheren” Active Directory – im Bezug auf Passwörter – meinen:

Sie sollten über eine Passwortrichtlinie verfügen, die Endbenutzer daran hindert, Passwörter zu erstellen, die anfällig für Brute-Force- und Wörterbuchangriffe sind. Die Richtlinie sollte gängige Basisbegriffe wie “admin” und Tastaturfolgen wie “qwertz” blockieren, sowie ein benutzerdefiniertes Wörterbuch verwenden, um Wörter und Ausdrücke zu blockieren, die in Ihrem Unternehmen und Ihrer Branche üblich sind. Darüber hinaus sollte die Passwortrichtlinie User dazu anleiten und ermutigen, Passphrasen zu vergeben (sie sind leichter zu merken als Passwörter), die mehr als 15 Zeichen lang sind.

Schwache Passwörter können zwar in Ihrem Active Directory blockiert werden, aber auch starke Passwörter können kompromittiert werden – beispielsweise durch die Wiederverwendung von Passwörtern. Ihr Unternehmen sollte über ein Tool verfügen, das Ihr Active Directory kontinuierlich nach kompromittierten Passwörtern durchsucht. Specops Password Policy verfügt über ein Feature, welches Ihr Active Directory täglich auf über 4 Milliarden kompromittierte Passwörter scant. Diese Datenbank wird täglich aktualisiert und enthält Listen bekannter kompromittierter Passwörter, Passwörter aus unserem Honeypot-System, das Brute-Force-Angriffe live überwacht, sowie von Malware gestohlene Daten aus dem Threat Intelligence-Team von Outpost24.

Es ist von entscheidender Bedeutung, dass die Passwörter für Ihre Active Directory-Konten nach dem aktuellen Stand der Technik geschützt sind (hoffentlich mit Specops Password Policy!), da kompromittierte Zugangsdaten weiterhin ein beliebtes Mittel bei Angreifern sind, um Zugang zu Ihrer Organisation zu erlangen.

Nicht sicher, ob alle Grundlagen abgedeckt sind? Mit unserem kostenlosen Tool Specops Password Auditor können Sie Ihr Active Directory auf Schwachstellen im Zusammenhang mit Passwörtern scannen und einen ausführlichen Bericht erhalten.

Schlummern kompromittierte Kennwörter In Ihrem Active Directory? Jetzt kostenlos überprüfen!

Wenn Sie sich jedoch sicher sind, dass die Eingangstür verschlossen ist, lohnt es sich mit EASM mögliche Ursachen für geleakte Zugangsdaten zu untersuchen.

Wie funktioniert EASM?

Ihre externe Angriffsfläche setzt sich aus den Teilen Ihres Unternehmens zusammen, die über das Internet zugänglich sind. Dazu gehören IP-Adressen, DNS-Einträge, Endpoints von Anwendungen, Websites, APIs, (administrative) Remotezugänge, Datenbanken, Verschlüsselungen, File-Sharing-Dienste und sogar gestohlene Zugangsdaten, die im Dark Web verkauft werden. Im Grunde genommen umfasst Ihre Angriffsfläche alles, was von einem Angreifer genutzt werden könnte, um Zugang zu den sensiblen Systemen oder Daten in Ihrem Unternehmen zu erhalten.

Selbst in einem kleinen Unternehmen kann die Angriffsfläche mit der Zeit sehr groß werden. Denn es ist schwierig, den Überblick über die verschiedenen SaaS-Anwendungen, Endpoints und Kombinationen aus alter und neuer Infrastruktur zu behalten, die möglicherweise über geografisch verstreute Organisationen verteilt sind. Genau hier kann EASM helfen. Eine EASM-Lösung kann Ihnen ohne großen Aufwand einen genauen Überblick über die bekannten (und unbekannten) Ressourcen in Ihrer Angriffsfläche verschaffen. Darin unterscheidet External Attack Surface Management sich vom Schwachstellen-Scanning, bei dem nur bereits bekannte Assets gescannt werden.

EASM nutzt automatische und kontinuierliche Erkennungsverfahren, um proaktiv Schwachstellen, Fehlkonfigurationen und andere Sicherheitsprobleme zu identifizieren. Damit können Sie den Schatten Ihrer Organisation im Web auf verwaisten Assets oder blinde Flecken überprüfen, die für Angriffe anfällig sein könnten. Sicherheitsteams können auch Funktionen zum Risikoassesment und zur Berichterstellung nutzen, um Gefahren auf Basis ihrer möglichen Konsequenzen zu priorisieren und zu beheben. Am wichtigsten ist jedoch, dass Angreifer, wenn sie Ihre Angriffsfläche auf Schwachstellen untersuchen, feststellen, dass diese “sauber” ist, und sich wahrscheinlich ein anderes, leichteres Ziel suchen.

Wie EASM Ihre Passwortsicherheit verbessern kann

Unsere EASM-Lösung kann proaktiv kompromittierte Zugangsdaten und Konten aufspüren. Dies hilft Unternehmen dabei, die Risiken durch geleakte oder gestohlene Zugangsdaten zu minimieren und ihre allgemeine Cybersicherheit zu stärken. Im Folgenden finden Sie fünf wesentliche Bereiche, in denen EASM Ihre Bemühungen im Bereich Passwortsicherheit unterstützen kann:

  • Integrierte Bedrohungsinformationen: Die EASM-Lösung von Outpost24 enthält integrierte Threat-Intelligence-Daten über geleakte oder gestohlene Zugangsdaten. Diese stammen aus verschiedenen Untergrundforen und Marktplätzen, auf denen Cyberkriminelle gestohlene Daten handeln und verkaufen. Dies kann bei der Suche nach der Quelle des Lecks helfen.
  • Kontext- und Hintergrundinformationen: EASM kann wichtige Informationen über den Hintergrund der gestohlenen Zugangsdaten liefern. Dazu gehören Details wie der Ursprung des Lecks, der Zeitstempel der Kompromittierung und der beteiligte Täter (falls verfügbar). Anhand dieser Informationen können Unternehmen den Schweregrad und die potenziellen Auswirkungen des Datenlecks einschätzen und ihre Reaktion entsprechend priorisieren und Ressourcen zuweisen.
  • Identifizierung risikoreicher Benutzer: Das Aufspüren kompromittierter Passwörter im Rahmen eines Audits bietet den Vorteil, dass die betroffenen Endbenutzer aufgefordert werden können, ihre Passwörter zu ändern. Dies bedeutet jedoch nicht unbedingt, dass alle Benutzer sich fahrlässig verhielten. EASM kann mithilfe von Bedrohungsinformationen weitere Hintergründe liefern, die Aufschluss darüber geben, welche Benutzer wiederholt unvorsichtig handeln und ihre Zugangsdaten gefährden.
  • Risikobewertung: Geleakten Zugangsdaten können Risikowerte zugewiesen werden, die auf verschiedenen Faktoren basieren, z. B. auf der Sensibilität der kompromittierten Konten und den potenziellen Auswirkungen auf das Unternehmen. Anhand dieser Risikobewertungen können Unternehmen Prioritäten setzen und sich darauf konzentrieren, die kritischsten Datenlecks zuerst zu beseitigen. Durch die Konzentration auf besonders riskante Zugangsdaten können Unternehmen die Gefahr eines Angriffs verringern.
  • Warnungen und Gegenmaßnahmen: EASM-Lösungen alarmieren und benachrichtigen Sie, sobald Datenlecks entdeckt werden. Diese Warnungen können an Sicherheitsteams, Administratoren oder betroffene Benutzer gesendet werden, um sofortige Maßnahmen zu ergreifen. Beispielsweise das Zurücksetzen von Passwörtern, die Aktivierung von Multi-Faktor-Authentifizierung oder die Sperrung des Zugriffs auf kompromittierte Konten beinhalten. Dieser proaktive Ansatz hilft Unternehmen, schnell auf geleakte Zugangsdaten zu reagieren und unbefugten Zugriff auf ihre Systeme und Daten zu vereiteln.

Wie External Attack Surface Management Ihre Maßnahmen zum Schutz von Zugangsdaten ergänzt

Mit Tools wie Specops Password Policy mit Breached Password Protection können Sie Benutzer innerhalb Ihrer Organisation ermitteln, die ein kompromittiertes Passwort verwenden. Der Nutzer erhält daraufhin automatisch eine Meldung, die ihn darüber informiert, dass er sein Passwort ändern muss. Doch wie lässt sich verhindern, dass das erneut passiert? Eventuell ist Ihr IT-Team an tiefergehenden Analysen interessiert, um die Ursachen für kompromittierte Kennwörter zu identifizieren und Präventionsmaßnahmen umzusetzen.

Kompromittierte Zugangsdaten einer Domain, die mithilfe von External Attack Surface Management entdeckt werden konnten.

Stellen Sie sich ein Szenario vor, in dem das Kennwort eines Benutzers als kompromittiert gemeldet wurde. Die unmittelbare Bedrohung für Ihre Infrastruktur ist nun beseitigt. Allerdings könnte ein Administrator misstrauisch werden, wenn dieselbe kleine Gruppe von Endbenutzern im Laufe des Jahres mehrere kompromittierte Passwörter ändern musste, und zwar weit häufiger als der durchschnittliche Mitarbeiter. Dies könnte auf eine Benutzergruppe hindeuten, die zusätzliche Schulungen zur Erstellung sicherer, einprägsamer und eindeutiger Passwörter oder eine Aufklärung über die Risiken der Passwortwiederverwendung benötigt.

Darüber hinaus ist es wichtig, herauszufinden, wo die Zugangsdaten gefunden wurden, um die wahrscheinliche Ursache für das Leck einzugrenzen. Eine Analyse könnte beispielsweise zeigen, dass die Passwörter kürzlich bei einem Infostealer gefunden und im Dark Web zum Verkauf angeboten wurden. Das könnte ein Anlass sein, die Geräte der Benutzer auf mögliche Malware-Infektionen des angegebenen Typs zu überprüfen. Möglicherweise sollte das IT-Team auch den Status der Endpoint-Protection-Lösung überprüfen sowie bei Schulungen ein Augenmerk auf die Identifizierung zuverlässiger Download-Quellen legen.

Überprüfen Sie Ihre Angriffsfläche auf kompromittierte Kennwörter

Mithilfe der External Attack Surface Management-Lösung von Outpost24 können Sie kompromittierte Zugangsdaten außerhalb ihres Active Directorys proaktiv überwachen, den Ursachen auf den Grund gehen und nachhaltige Maßnahmen ergreifen, um Zugangsdaten in Ihrer Organisation und Domain zu schützen. So können Sie die Gefahr durch mögliche, auf Zugangsdaten basierende Angriffe mindern.

Gerne zeigen wir Ihnen, wie Sie den Schutz von Zugangsdaten verbessern können. Sichern Sie sich noch heute einen ersten, kostenlosen Scan Ihrer Angriffsfläche!

Kompromittierte Kennwörter In Ihrer externen Angriffsfläche? Jetzt kostenloses Assesment vereinbaren!

(Zuletzt aktualisiert am 22/04/2024)

Zurück zum Blog