CyberArk schützt in Echtzeit Accounts von Active Directory

    CyberArkCyberArk Privileged Threat Analytics 3.0 - Ein Angriff wird identifiziert. bietet mit Privileged Threat Analytics 3.0 eine Sicherheitslösung an, die in Echtzeit privilegierte Benutzerkonten überwacht. Bei verdächtigen Aktvitäten schlägt die Software Alarm.

    Angriffe auf Benutzerkonten mit privilegierten Rechten erfreuen sich bei Hackern und Cyber-Kriminellen wachsender Beliebtheit. So zielen nach Angaben der IT-Sicherheitsfirma Mandiant, einem Unternehmensbereich von FireEye, mindestens 80 Prozent der Cyber-Attacken auf privilegierte User-Accounts. Diese Zahl ist im Report "Privileged Account Exploits Shift the Front Lines of Cyber Security" von CyberArk aufgeführt.

    Analyse des Netzwerkverkehrs und Schutz von AD

    Privileged Threat Analytics (PTA) ist ein Bestandteil der Privileged-Account-Security-Lösung von CyberArk. Version 3.0 wurde um Funktionen erweitert, mit denen sich der Netzwerk­verkehr analysieren lässt, um Indizien für einen Angriff zu finden. Dazu zählen Hinweise darauf, dass die Account-Daten eines Mitarbeiters entwendet wurden und Versuche, die Rechte eines Benutzerkontos zu erweitern.

    Ein besonderes Augenmerk richtet PTA 3.0 auf den Schutz von Active-Directory-Infrastrukturen. Diese bestehen aus Domänen-Controllern, den Accounts von Admins, die diese Controller verwalten, sowie entsprechenden Servern und Workstations. AD ist in vielen Unternehmen das Rückgrat der Nutzer- und Rechteverwaltung. Dementsprechend häufen sich Angriffe auf die Benutzerkonten von Administratoren.

    Angriffe auf AD via Kerberos-Attacke

    CyberArk - Komponenten von Privileged Account SecurityEine Option, um Active Directory zu attackieren, ist ein "Golden-Ticket"-Angriff über das Authenti­fizierungs­protokoll Kerberos. Dabei verschafft sich der Angreifer ein Kerberos-Ticket mit langer Laufzeit. Den entsprechenden Hash-Wert des System-Accounts krbtgt kann er beispielsweise aus einem ungesicherten Backup eines AD-Domain-Controllers herausfiltern.

    Anschließend hat der Angreifer die Möglichkeit, selbst Kerberos-Tickets zu erzeugen und mit erweiterten Nutzerrechten auf Zielsysteme zuzugreifen.

    Eine Golden-Ticket-Attacke kann dazu führen, dass ein komplettes Netzwerk "übernommen" wird. Diese Technik kam auch beim Angriff auf das Netzwerk des deutschen Bundestag 2015 zum Einsatz (siehe hier eine Analyse der Attacke von Univention).

    Zwei neue Funktionen von PTA 3.0

    Version 3.0 von CyberArk PTA bietet nach Angaben des Unternehmen eine neue Funktion, die Kerberos-Angriffe identifiziert. Sie untersucht Daten aus unterschiedlichen Quellen, etwa Netzwerk-Switches und SIEM-Systemen (Security Incident and Event Management). Außerdem erfolgt eine tief greifende Untersuchung des Netzwerkverkehrs ("Deep Packet Inspection").

    Angriffsarten auf Nutzerkonten mit privilegierten RechtenDie Analyse-Engine konzentriert sich dabei auf Daten, die mit privilegierten Accounts verknüpft sind. Bei anormalen Aktivitäten werden IT-Sicherheitsfachleute oder Admins informiert.

    Hinzu kommt als weitere Neuerung ein automatisches "Threat Containment". Wird eine potenzielle Attacke erkannt, ermöglicht es PTA, die entsprechenden Account-Informationen für ungültig zu erklären. Dadurch wird ein Angriff gestoppt. Diese Abwehraktionen lassen sich so steuern, dass Angriffe umgehend unterbunden. Dies ist laut CyberArk auch notwendig. Denn nach Erfahrungswerten des Unternehmens dauert es häufig nur 12 Minuten, bis ein Hacker nach dem Eindringen in ein Netzwerk die Kontrolle über einen Domänen-Controller übernommen hat.

    Blick auf die Technik

    Eine Komponente von Privileged Threat Analytics ist ein Server, der als virtuelle Appliance bereitgestellt wird. Er unterstützt die Plattformen von VMware (VMware Player und Workstation, ESXi) und Microsoft (Hyper-V ab 6.3). Zudem sind für die Netzwerk-Datenanalyse Sensoren (Network Sensors) erforderlich. Die Sensoren laufen unter CentOS 7.x und lassen sich auf einer physischen oder virtuellen Maschine implementieren.

    CyberArk Privileged Threat Analytics 3.0 ist ab sofort verfügbar. Das Datenblatt der Lösung ist auf dieser Web-Seite verfügbar.

    Keine Kommentare