Fazit Testreihe Security-Tools
Werkzeugkasten für den Basisschutz
Fortsetzung des Artikels von Teil 1
Einfallstor Active Directory
Bei der Absicherung von Unternehmensnetzen muss das Security-Team besonderes Augenmerk auf das Active Directory legen. Microsofts Verzeichnisdienst ist der zentrale Dreh- und Angelpunkt für die Vergabe von Berechtigungen und damit ein beliebtes Ziel für Hacker, um sich privilegierte Rechte zu erschleichen. Eine der wichtigsten Maßnahmen ist es, den jeweiligen Benutzergruppen nur die Berechtigungen zu erteilen, die sie für die Ausübung ihrer Aufgaben benötigen. Es gibt zudem eine Vielzahl an Tools, die unterschiedliche Sicherheitsaspekte von AD-Infrastrukturen adressieren. Die Palette reicht von mehr oder weniger einfachen PowerShell-Skripten bis zu komplexen Softwaresuiten, um AD-Umgebungen umfassend zu schützen.
Für den Test wählten wir das Open-Source-Tool Bloodhound aus, das als Bloodhound Enterprise von Specterops und Quest auch in einer kommerziellen SaaS-Cloud-Version erhältlich ist. Bloodhound analysiert alle in einem AD vorhandenen Berechtigungen inklusive ihrer gegenseitigen Verschachtelungen und stellt die Ergebnisse grafisch dar. Dadurch lassen sich Angriffspfade aufdecken, die selbst für erfahrene Administratoren schwer zu erkennen wären. Seit Version 4.0 lässt sich auch das Azure AD damit untersuchen. Die Open-Source-Version ist für Linux und Windows verfügbar. Die grafische Oberfläche von Bloodhound 4.2 basiert auf der Graphdatenbank Neo4j. Für die Datenanalyse stellt Bloodhound vorgefertigte Abfragen bereit, die zum Beispiel die Angriffspfade zu hochprivilegierten AD-Konten aufzeigen. Die kommerzielle Version bietet zusätzliche nützliche Funktionen wie Top-down-Darstellungen und historische Analysen. Bei größeren Unternehmen sind Penetrationstests schon längst ein regelmäßig genutztes Verfahren, um das Sicherheitslevel von IT-Systemen zu überprüfen. In kleineren Unternehmen können sich IT-Abteilungen auch selbst helfen, indem sie Hacker-Angriffe auf ihre Netzwerke und Rechner simulieren.
Im letzten Teil dieser Testreihe haben wir gängige Hacking-Tools im LANline-Testnetz verprobt. Dies zeigte, wie einfach Angriffe sein können, wenn das IT-Team nicht alle Schotten dichtgemacht hat. Im Internet finden Hacker jede Menge Tools, mit denen sich Angriffe sehr einfach durchführen lassen. Ein bekanntes Framework ist Metasploit, das die Exploits für zahlreiche öffentlich bekannte Sicherheitslücken quasi per Mausklick bereitstellt. Schafft es ein Angreifer, sich mit dem lokalen Netz zu verbinden, kann er mit dem Tool Ettercap Man-in-the-Middle-Attacken ausführen, um den Datenverkehr mitzuschneiden.
Auch Voice-over-IP-Gespräche lassen sich auf diesem Weg abhören, wenn die Datenpakete nicht verschlüsselt sind. Eine weitere Bedrohung stellt das WLAN-Hacking mit Tools wie der Aircrack-Suite dar. Wer weiß, wie derartige Angriffe durchgeführt werden, kann geeignete Sicherheitsmaßnahmen ergreifen.
Security kommt auch aus der Cloud
Die Sicherheit der eigenen IT-Systeme wird auch in den kommenden Jahren für viele Unternehmen ganz oben auf der Prioritätenliste stehen. Angesichts des akuten Mangels an Security-Spezialisten dürfte es insbesondere den nicht ganz so großen Firmen schwer fallen, die benötigte Expertise im Haus aufzubauen. Einen Ausweg aus diesem Dilemma können Managed-Security-Services aus der Cloud bieten, um sowohl die Systeme im eigenen Rechenzentrum als auch die bei Cloud-Providern laufenden Workloads abzusichern. LANline führt deshalb im Jahr 2023 eine Testreihe zu Cloud-Security durch, die Lösungen wie Managed Detection and Response (MDR), SASE aus der Cloud wie auch Managed-Firewall-Services auf den Prüfstand stellen wird.
- Werkzeugkasten für den Basisschutz
- Einfallstor Active Directory
Lesen Sie mehr zum Thema
