Active Directory oft das erste Einstiegstor für Ransomware

(firmenpresse) - Nahezu alle heutigen Ransomware-Attacken nutzen das Active Directory ihrer potentiellen Opfer als Brückenkopf im internen Netz, warnen die Sicherheitsspezialisten von Attivo Networks. Zugangsdaten für den initialen Angriff seien leicht zu beschaffen, sei es durch eigene Phishing-Versuche oder den Kauf einschlägiger Daten in den dunklen Ecken des Internets. Selbst mit Passwortrichtlinien und Phishing-Aufklärung sind gestohlene Zugangsdaten reichlich vorhanden, billig und im Dark Web leicht zu erwerben. Wenn ein Angreifer ein großes Unternehmen ins Visier nehmen will, ist es fast unvermeidlich, dass er sich ein Passwort oder eine andere schwache Kennung sichern kann, die ihm einen ersten Zugang ermöglicht.



Laut Verizon Data Breach Investigations Report spielten im Jahr 2021 gestohlene Zugangsdaten bei über 60 Prozent der Sicherheitsverletzungen eine Rolle. Diese werden dann laut Attivo genutzt, um über das oft nicht ausreichend gesicherte Active Directory (AD) weitere Zugangsdaten und vor allem höhere Zugriffsrechte zu erhalten. Dieser Mangel an Sicherheit im AD liegt demnach vor allem daran, dass zwecks Authentifizierung für seine Benutzer leicht zugänglich sein muss und daher exponiert und schwer zu sichern ist. Zudem ist die Rolle von AD im Netzwerkbetrieb so umfangreich, dass die meisten Unternehmen nicht über das nötige Detailwissen verfügen, um AD-Sicherheitsprobleme zu lösen.



Visibility ist entscheidend



Dabei geht es nicht nur darum, bekannte Sicherheitslücken zu schließen oder Fehlkonfigurationen zu korrigieren. Jede ungeschützte Einstellung oder jeder schlecht angepasste Parameter kann es einem Angreifer ermöglichen, das System zu infiltrieren. Der Schutz von AD umfasst die Sichtbarkeit von Schwachstellen, die Live-Erkennung von Angriffen sowie die Verwaltung von Sicherheitsrichtlinien. Zudem müssen Verantwortliche unverzüglich erkennen können, wenn die Compliance mit zwingenden Vorschriften nicht eingehalten wird und Benutzer Sicherheitsrichtlinien nicht konsequent befolgen.





Mit geeigneten Lösungen für Identity Detection and Response (IDR) kann ein identitätsbasierter Angriff gestoppt werden, indem die Angriffsfläche verkleinert und dem Angreifer der Zugang zu den Ressourcen verwehrt wird, die er zur Ausweitung seines Angriffs benötigt. "Insbesondere geht es dabei darum, die Eskalation von Zugriffsrechten zu verhindern, damit ein Ransomware-Angriff oder ein Eindringen von Bedrohungsakteuren so wenig Schaden wie möglich anrichtet", kommentiert Jens Wollstädter, Regional Manager DACH von Attivo Networks. "Allerdings ist es durchaus nicht einfach, solche Aktivitäten zu erkennen, da es viele Techniken gibt, um auf AD zuzugreifen und es auszunutzen, darunter Golden-Ticket-Angriffe, Kerberoasting und Windows Security Identifier (SID) History Injection."



Zero Trust und Mehrfaktor-Authentifizierung



Um auf Anmeldeinformationen basierende Angriffe abzuwehren, sollten Unternehmen laut Attivo Networks bewährte Sicherheitspraktiken wie Zero-Trust befolgen und eine Multi-Faktor-Authentifizierung einführen, anstatt sich auf von Natur aus unsichere Ein-Faktor-Schutzmaßnahmen wie Passwörter zu verlassen. Neue IDR-Lösungen (Identity Detection and Response) bieten eine Reihe von Werkzeugen an, die eine frühzeitige Abwehr von Angriffen mit Zugangsdaten ermöglichen.



IDR ergänzt Lösungen für Endpoint Detection and Response (EDR) und ist immer häufiger Bestandteil von Extended Detection and Response (XDR). Dabei konzentriert IDR sich auf den Schutz von Anmeldeinformationen, Berechtigungen, Cloud-Berechtigungen sowie der Systeme, die diese verwalten. IDR bietet die Möglichkeit, zu erkennen, wenn Angreifer Anmeldeinformationen von Unternehmen ausnutzen, missbrauchen oder stehlen.



Außerdem können IDR-Systeme Deception-Technologien umfassen, die Active Directory-Objekte und kritische Daten verstecken, während gefälschte Daten an Endpunkten oder anderen wichtigen Stellen im Netzwerk platziert werden, um Angreifer von den Produktressourcen weg und zu den Täuschungsmanövern zu leiten. Sobald die Täuschungssysteme aktiviert sind, analysieren sie das Verhalten der Angreifer und liefern Informationen für künftige Reaktionen.



Zudem helfen IDR-Lösungen Unternehmen dabei, ihre Angriffsfläche zu verwalten, indem sie Einblick in kritische Schwachstellen wie an Endpunkten gespeicherte Anmeldeinformationen oder AD-Fehlkonfigurationen geben, die Angreifern den Zugriff auf vertrauliche Daten ermöglichen. Sie können auch übermäßig freizügige Berechtigungen in Cloud-Umgebungen identifizieren, die ungewollt sensible Daten exponieren.Weitere Infos zu dieser Pressemeldung:

Themen in dieser Pressemitteilung:


Unternehmensinformation / Kurzprofil:
PresseKontakt / Agentur:
Bereitgestellt von Benutzer: Adenion
Datum: 28.01.2022 - 11:40 Uhr
Sprache: Deutsch
News-ID 1956731
Anzahl Zeichen: 4888

Kontakt-Informationen:
Ansprechpartner: Jens Wollstädter
Stadt:

Fremont

Telefon: +49 89 800 77-0

Kategorie:

New Media & Software

Diese Pressemitteilung wurde bisher 323 mal aufgerufen.

Domain Controller vor Angriffen über ungesicherte Endpunkte sichern ...
Attivo Networks hat sein Portfolio für die Absicherung von Active Directory (AD) um Funktionen zur effizienten Erkennung von identitätsbasierten Angriffen auf den Domain Controller erweitert. Die neue Lösung ADSecure-DC bietet Schutz vor Angriffen, die von Windows-, Mac-, Linux-, IoT/OT-Geräten

Aite Novarica sieht Attivo Networks als führend bei der Active-Directory-Sicherheit ...
Das Beratungsunternehmen Aite Novarica hat in seinem Bericht "Zero Trust Starts with Identity" fünf Sicherheitslösungen für Microsofts Active Directory (AD) evaluiert und festgestellt, dass Attivo Networks als einziger Hersteller alle der 13 untersuchten, häufigen Schwachstellen von AD

Attivo Networks warnt vor schnellen Fortschritten bei Ransomware 2.0 ...
Neue Techniken und Strategien machen Ransomware-Angriffe immer gefährlicher, warnen die Sicherheitsexperten von Attivo Networks. Während herkömmliche Ransomware darauf abzielte, sich zu verbreiten und so viele Endgeräte wie möglich zu verschlüsseln, werden bei Ransomware 2.0-Angriffen fortschr

Weitere Mitteilungen von Attivo Networks Europe

Fivetran übernimmt die Leitung der Open-Source-Community Great Expectations sowie dessen GX-Core-Projekt ...
München, 13. Mai 2026 - Fivetran, die Datenbasis für KI, plant die Leitung der Open-Source-Community "Great Expectations" und des GX-Core-Projekts zu übernehmen. Damit wird Fivetran die weitere Entwicklung eines der branchenweit am häufigsten genutzten Open-Source-Frameworks für Daten

Datenrettung und kostenlose Analyse: Warum Kunden 2026 genau hinschauen sollten ...
Wenn es zu einem Datenverlust kommt, ist schnelle und verlässliche Hilfe gefragt. Defekte Festplatten, ausgefallene SSDs, beschädigte RAID Systeme, NAS Ausfälle, Serverprobleme oder versehentlich gelöschte Daten können private Erinnerungen, geschäftskritische Informationen oder komplette IT Pr

Neuer Pentest-Konfigurator 2.0 für individuelle Angebote ...
Die Pentest Factory GmbH hat einen neuen Online-Konfigurator für individuelle Pentest-Angebote gestartet. Die Anwendung steht ab sofort zur Verfügung und bietet maximale Transparenz sowie flexible Zusammenstellung der gewünschten Leistungen. Mehr erfahren Sie unter https://konfigurator.pentestfac

MAPWISE - BerufsorietierungsAPP - Meilenstein ...
Aktuell befindet sich das Projekt MAPWISE in der Test- und Entwicklungsphase. Neben internen Tests wird der App-Prototyp gemeinsam mit den Zielgruppen erprobt und weiterentwickelt. Gleichzeitig arbeiten die Projektpartner an der Erstellung lokaler Inhalte und Touren in den jeweiligen Partnerländern

Tageslichtlampen im Büro: Warum Vollspektrumlicht für Arbeitsplätze wichtiger wird ...
In vielen Büros reicht natürliches Tageslicht nicht an jedem Arbeitsplatz und zu jeder Tageszeit aus. Besonders fensterferne Bereiche, Bildschirmarbeitsplätze, Besprechungsräume und dunkle Jahreszeiten machen künstliche Beleuchtung notwendig. Die Firma natur-nah.de empfiehlt Unternehmen deshalb

Daten-Souveränität in der Cloud: Wer ausser Ihnen kennt Ihre Datenflüsse noch- ...
In hybriden Cloud-Architekturen verlieren Unternehmen schnell den Überblick darüber, wo Daten liegen, wer sie verarbeitet und welchem Rechtsraum sie unterstehen. Genau dort entscheidet sich Daten-Souveränität: nicht als Audit-Aufgabe zum Abhaken, sondern als Führungs-, Governance- und Cyber-Sec

P12 Pro LN Premium-Lüfterserie ...
ARCTIC erweitert die leistungsstarke P12 Pro-Serie um die LN-Modelle. Die neuen P12 Pro LN-Lüfter bieten einen angepassten Drehzahlbereich von 450-2000 rpm, für einen leisen Betrieb bei gleichzeitig hohem Luftdurchsatz. Erhältlich sind die P12 Pro LN-Lüfter in drei unterschiedlichen Varianten. Z

Der bvfa auf der INTERSCHUTZ und der FeuerTrutz 2026 ...
Der bvfa – Bundesverband Technischer Brandschutz e.V. präsentiert sich 2026 gleich auf zwei bedeutenden Fachmessen der Branche: auf der INTERSCHUTZ in Hannover vom 1. bis 6. Juni sowie auf der FeuerTrutz in Nürnberg am 24. und 25. Juni. Besucherinnen und Besucher erwartet an beiden Standorten ak

WINDBOX II NX– Die Rückkehr eines Klassikers mit Intel® N150 CPU ...
Die ultraflache WINDBOX II ist zurück – moderner denn je Die WINDBOX-Serie stand schon immer für ultraflache, lüfterlose Industrie-PCs mit hoher Zuverlässigkeit und vielseitigen Einsatzmöglichkeiten. Mit der neuen WINDBOX II NX knüpft spo-comm an diese Erfolgsgeschichte an und bringt die Ser

GigaOm Radar: Versa erneut als Leader im Bereich SSE ausgezeichnet ...
Versa, Spezialist für Secure Access Service Edge (SASE), wurde zum dritten Mal in Folge im GigaOm Radar Report für Security Service Edge (SSE) als Leader ausgezeichnet. In dem Bericht werden die SSE-Lösungen von 22 globalen Sicherheitsanbietern analysiert. Auf der Grundlage dieser Bewertungen in