Identity Threat Protection

Identity Threat Protection Lösungen: Einkaufsleitfaden

Seit einigen Jahren sind Lösungen für den Schutz von Verzeichnisdiensten und Identity Provider (insbesondere Active Directory Domain Services und Azure AD/Entra) gegen Angriffe erhältlich. Diese werden unter verschiedenen Namen beworben, insbesondere Identity Protection, Identity Threat Detection and Response (ITDR) oder AD Protection / AD Threat Detection.

Die Lösungen sind teilweise als Standalone-Module verfügbar, manchmal aber auch nur im Paket von Endpoint Protection Platformen (EPP, EDR), Identity Governance + Administration (IGA), Privileged Access Management (PAM) oder Zero Trust Lösungen erhältlich. Typische Angriffe, die mit der Software verhindert bzw. erschwert werden sollen, sind z.B. das bekannte Golden Ticket (gefälschte TGT Tickets) , Password Spraying oder Kerberoasting, bei dem TGS Tickets abgefangen und mittels Brute Force gecracked werden, um Passwörter zu erhalten. Typischerweise werden ungemanagte oder überprivilegierte Konten (wie z.B. Service Accounts) oder andere Fehlkonfigurationen ausgenutzt, oder z.B. Cloud Access Tokens gestohlen. Auch relativ neue Angriffstechniken wie MFA Flooding werden von einigen Lösungen abgedeckt.

Im Wesentlichen gibt es zwei unterschiedliche Ansätze für den Schutz: Entweder präventive Härtungsmaßnahmen durch die regelmäßige Überprüfung von Schwachstellen und Umsetzung von sicheren Konfigurationen („Configuration Audits“, „Security Posture Management“), oder eine Echtzeit-Alarmierung bzw. sofortige Unterbrechung der Angriffskette („Threat Detection and Response“). Dabei wird das Nutzerverhalten, insbesondere Zugriffe, laufend beobachtet und auf Auffälligkeiten wie „Impossible Travel“ geprüft. Üblicherweise erfolgt dies über Agenten auf den On Premise Domain Controllern, VMs oder SaaS. Einige Tools kombinieren präventive und reaktive Ansätze.

Wie anfangen?

Grundsätzlich gibt es frei verfügbare Konfigurations-Checklisten und Empfehlungen für die Härtung von AD DS Umgebungen sowie Open Source Tools. Dazu gehören u.a. die Richtlinien von Microsoft selbst, Vorgaben und Empfehlungen des BSICIS Benchmarks (für Windows Server als Domain Controller) oder Sean Metcalfes AD Security Blog. MITRE bietet mit den ATT&CK und D3FEND Frameworks ebenfalls sehr umfangreiche Hinweise für die Erkennung (z.B. über Event.IDs) und Erschwerung von identitätsbasierten Angriffen. Kostenlose, aber natürlich im Funktionsumfang eingeschränkte, Versionen von Audit bzw. Pen Test Tools sind beispielsweise Ping Castle, Purple Knight oder Bloodhound.

Diese Ressourcen bieten einen günstigen Einstieg, insbesondere in Kombination mit Beratung durch Fachleuchte. Viele Security-Beratungshäuser haben inzwischen tiefgehende Erfahrung mit On Premise AD, einige haben sich auch teilweise auf das Thema spezialisiert und kennen sich mit der Sicht als Penetrationstester aus (wie z.B. r-tec, TEAL oder NVISO). Bei kniffligen Aufgabenstellungen wie z.B. der Umstellung von RC4 auf AES-256 Verschlüsselung oder der Einführung von Windows Defender Credential Guard kann man sich hier also Unterstützung holen, anstatt mit knappen internen Kapazitäten das Rad neu zu erfinden.

Anbieterlanschaft und Analystenberichte

Zum aktuellen Stand gibt es keine vergleichenden Berichte oder Tests von Gartner, Forrester, KuppingerCole, MITRE oder anderen Analysten. Aus Ausschreibungen und Angebotsvergleichen sind uns bisher folgende Lösungen bekannt:

Kriterien bei der Auswahl

Wesentliche funktonale Unterschiede der Lösungen haben wir u.a. bei folgenden Anforderungen wahrgenommen:

  • Angriffserkennung und -unterbrechung: Abdeckung der relevanten Angriffstechniken. Hier haben wir gute Erfahrung damit gemacht, explizit alle MITRE ATT&CK Techniken/Prozeduren (TTP) abzufragen oder zu testen, um differenzierende Merkmale der Lösungen unter Security-Gesichtspunkten zu finden
  • Härtung und Schwachstellenmanagement:
    • Abdeckung von Konfigurations-Benchmarks, z.B. regulatorischen Anforderungen oder z.B. Azure AD Security Baseline
    • Überprüfung von GPO und Passwörtern auf Einhaltung der Richtlinien
    • Priorisierung von gefundenen Schwachstellen, z.B. nicht nur statisch anhand von CVSS, sondern dynamisch auf Basis tatsächlicher Ausnutzbarkeit
    • Tiefe und Praxistauglichkeit der Handlungsempfehlungen
    • Protokollierung aller Änderungen
  • Deployment: Mit oder ohne Agenten auf Domain Controller, VM oder SaaS, notwendige Privilegien der Nutzenden
  • Integrationsmöglichkeiten z.B. mit bestehender IAM/PAM/MFA Lösung, SIEM/XDR, Asset Management oder Endpunktsicherheit
  • Nutzerfreundlichkeit, um Onboarding und Verwaltung zu erleichtern
  • AD Recovery-Fähigkeit: Einige Tools helfen, zeitsparend auch Multi Forest Domains wiederherzustellen, und gleichzeitig ggf. infizierte Sysvol-Dateien zu erkennen.

Wie immer ist unsere Empfehlung, insgesamt pragmatisch an die Aufgabenstellung heranzugehen – wir haben in Ausschreibungen zu Identity Protection Lösungen Preisunterschiede von ca. 70% bei nahezu gleichem Funktionsumfang gesehen. Die Lizenzmodelle sind meistens ähnlich (abhängig von der Anzahl der AD Konten). Die möglichen Einsparungen sollten aus unserer Sicht besser in zusätzliche Mitarbeitende in der IT oder andere Maßnahmen investiert werden, anstatt ein teures Tool zu beschaffen, dass in einer künstlichen Laborumgebung vielleicht eine 1-2% bessere Erkennungsrate bei einem Test erreicht hat.

Fazit

Vergleichen lohnt sich: Die Härtung des lokalen ADs, die richtige Konfiguration von Cloud Identity Providern und die kontinuierliche Überwachung des Nutzerverhaltens auf Anomalien gehören heute zum Stand der Technik. Ausgereifte Tools, mit denen die eigene Mannschaft oder Dienstleistende (MSSP) dabei zielgerichtet unterstützt werden, gibt es von vielen Anbietenden. Bei der Auswahl sollten die Anforderungen klar definiert werden, um keine führenden Anbietenden auszuschließen und gleichzeitig teure Optionen zu vermeiden. Durch ein methodisches Vorgehen lassen sich „Äpfel mit Äpfeln vergleichen“ und ein gutes Preis-Leistungsverhältnis erzielen.

CyberCompare hat schon mehr als 400 Organisationen bei Security-Projekten unterstützt – anbieterneutral, ohne Reselling-Verträge oder Vertriebspartnerschaften, 100% im Kundenauftrag. Gerne helfen wir Ihnen bei schwierigen Security-Entscheidungen. Wir kaufen jeden Tag Security.

CyberCompare Logo

Protect, Detect, Respond

20. Juni 2024 | 09:00 - 11:15 Uhr

Erhalten Sie Einblicke von Security-Anbietern in Incident Response und forensische Analyse von Cyberangriffen.