SpecterOps BloodHound Enterprise
Reduzieren Sie Ihre Angriffsfläche und sorgen Sie für umfassende Active Directory- und Azure-Sicherheit. Angriffspfad-Verwaltung ist eine kritische Komponente beim Schutz von Active Directory(AD)- und Microsoft 365-Umgebungen vor Angriffen. Wenn man bedenkt, dass Microsoft allein im Jahr 2021 mehr als 25 Milliarden Angriffsversuche auf Unternehmenskonten gemeldet hat, ist das Absichern von Angriffspfaden unabdingbar. SpecterOps BloodHound Enterprise vereinfacht diesen Prozess erheblich, indem Problemstellen priorisiert und quantifiziert werden, sodass Sie die nötigen Informationen erhalten, um die Angriffspfade mit dem höchsten Risiko zu identifizieren und zu beseitigen.
Neun Best Practices zur Verbesserung der Active Directory-Sicherheit und Cyber Resilience
In diesem eBook wird der Ablauf einer AD-Insiderbedrohung geschildert, und die besten Verteidigungsstrategien werden vorgestell...
Bessere Verwaltung Ihrer Active Directory-Angriffspfade
Erfahren Sie, warum Angriffspfadverwaltung essenziell für Active Directory-Sicherheit ist, und entdecken Sie die einzige auf de...
Die Microsoft 365 Kill Chain und die Verwaltung von Angriffspfaden
Erfahren Sie, wie Angriffe ablaufen, und entdecken Sie effektive Strategien zum Schutz Ihrer Microsoft 365-Umgebung.
Die Angriffspfad-Verwaltung gestaltete sich schon immer schwierig. Warum ist das so? Weil Sicherheitsverantwortliche häufig darauf getrimmt sind, sich auf Listen zu stützen – und sie Tausende von allgemeinen Konfigurationsproblemen prüfen. Angreifer stützen sich dagegen auf Diagramme. Diese Sichtweise macht es ihnen leichter, effektive Angriffspfade zu identifizieren. SpecterOps BloodHound Enterprise hilft Ihnen dabei, das Risiko von Angriffen deutlich zu reduzieren. Dank einer grafischen Darstellung aller Angriffspfade in AD und Azure können Sie mühelos die wichtigsten potenziellen Zugangswege für Angreifer identifizieren, priorisieren und beseitigen.
Wesentliche Vorteile
Kontinuierliche Abbildung von Angriffspfaden
Durch die Visualisierung aller Beziehungen und Verbindungen in AD und Azure können Sie neue und vorhandene Angriffspfade einfach identifizieren.
Priorisierung von Problemstellen
Analysieren Sie die Auswirkungen jedes beliebigen Punkts in einem Angriffspfad und identifizieren Sie die optimalen Orte zum Blockieren der größtmöglichen Anzahl von Pfaden.
Schutz wichtiger Assets
Identifizieren Sie alle kritischen Tier-0-Assets und überwachen Sie diese anschließend automatisch durch die Integration mit On Demand Audit auf verdächtige Aktivitäten, die auf deren Kompromittierung hindeuten.
Praktische Anleitungen zur Bereinigung
Profitieren Sie von praktischen Anleitungen zur Bereinigung mit klaren Anweisungen, ohne dass umfangreiche Änderungen an AD erforderlich sind.
Umfassende Bereinigungsanalyse
Nutzen Sie den detaillierten Verlauf der Benutzeraktivitäten von On Demand Audit, um Angriffspfade zu untersuchen, bevor der Zugriff auf den Pfad entfernt wird – so stellen Sie sicher, dass es keine unerwarteten Folgen bei der Bereinigung gibt.
Analyse des AD-Sicherheitsstatus
Definieren Sie für AD und Azure eine durchgehende Baseline, um zu überwachen und zu messen, wie das Risiko durch die Entfernung von Angriffspfaden reduziert wird.
Herausragende Einblicke in Azure AD
Auch wenn Azure andere Technologien für das Identity and Access Management nutzt, können sich Angreifer so wie bei AD Zugriff über identitätsbasierte Angriffspfade verschaffen.
Funktionen
Top-Down-Ansicht kritischer Assets
SpecterOps BloodHound
Enterprise bietet hervorragende Unterstützung bei der
Angriffspfad-Verwaltung durch die Anzeige Ihrer kritischsten Assets in AD
und Azure (Azure AD und Azure Resource Manager) – die
wichtigsten Komponenten, über die ein Angreifer auf keinen Fall die
Kontrolle erlangen darf. Aus dieser Ansicht werden dann "von oben nach
unten" alle Angriffspfade abgebildet. Mit der Abwehr betraute Personen
müssen beim Absichern von Angriffspfaden jeden möglichen Weg
berücksichtigen. SpecterOps BloodHound Enterprise identifiziert jede
Beziehung in Ihrer Hybrid-Umgebung und zeigt auf, wie Angreifer beliebige
Prinzipale missbrauchen könnten, um sich Zugriff auf diese wichtigen
Assets zu verschaffen.
Identifizierung und Quantifizierung von Problemstellen
Die Abbildung kritischer
Assets und Pfade ist jedoch nur ein Teil der Angriffspfad-Verwaltung.
SpecterOps BloodHound Enterprise geht noch einen Schritt weiter und
quantifiziert diese Problemstellen. Beispielsweise kann Sie die
Lösung darüber informieren, dass durch die Anwendung einer
bestimmten Zugriffssteuerungsliste auf einen bestimmten
Domänencontroller 92 % Ihrer Active
Directory-Benutzer und -Computer die Domäne gefährden
können. Sie erhalten sehr genaue Angaben zu den damit verbundenen
Risiken sowie den spezifischen Berechtigungen, die Sie ändern
müssen, um den Angriffspfad zu beseitigen und nachgelagerte
Fehlkonfigurationen zu minimieren.
Quantifizierung der Auswirkungen auf den Sicherheitsstatus
Da SpecterOps BloodHound
Enterprise jedes Risiko analysiert, erhalten Sie einen umfassenden
Einblick in das Gesamtrisiko, dem Ihr Unternehmen mit Ihrer hybriden
AD-Umgebung ausgesetzt ist. Wenn Sie Ihre Angriffspfad-Verwaltung durch
Beseitigung der Problemstellen verbessern, können Sie außerdem
sehen, welche Auswirkungen diese Änderungen auf Ihren
Sicherheitsstatus insgesamt haben. Beispielsweise könnten Sie durch
das Absichern von Angriffspfaden Ihr Risiko, das Opfer eines Angriffs zu
werden, deutlich reduzieren. Die meisten Unternehmen beginnen mit einem
Risiko zwischen 70 und 100 %. Ihr Ziel sollte es jedoch sein, das
Risiko Ihres Unternehmens unter 20 % bringen – und
SpecterOps BloodHound Enterprise kann Ihnen dabei helfen.
Umfassende Risikobewertung und Bedrohungsschutz
Integrieren Sie SpecterOps
BloodHound Enterprise mit On Demand
Audit und Change Auditor, um eine
umfassende Lösung zur Risikobewertung und Bedrohungsüberwachung
zu erhalten. Mit diesen beiden Tools sind Sie in der Lage, alle
Tier-0-Assets zu identifizieren, alle Angriffspfade vorherzusehen und
diese anschließend auf verdächtige Aktivitäten zu
überwachen. Darüber hinaus sind Sie auch in der Lage,
Bedrohungen frühzeitig zu erkennen – einschließlich
nicht autorisierter Replikationen von Domänen, Offline-Extraktionen
der AD-Datenbank und GPO-Verknüpfungen. Sie können sogar
Veränderungen an sensiblen Objekten wie privilegierten Gruppen und
Gruppenrichtlinien blockieren, um Versuche der Rechteausweitung zu
verhindern und zu entschärfen sowie kostspielige Ransomware-Angriffe
zu vermeiden.
Verringerung von Angriffspfaden mit abgesicherten GPOs
Indem Sie SpecterOps
BloodHound Enterprise mit GPOADmin
kombinieren, können Sie die Angriffspfad-Verwaltung durch
Absicherung von GPOs effektiv verbessern. Mit diesen Lösungen
können Sie bereits vor der Bereitstellung sicherstellen, dass
jegliche Änderungen den Best Practices der Änderungsverwaltung
entsprechen. Dies ist ein wichtiger Schritt bei der Verwaltung von Active
Directory-Gruppenrichtlinien. Außerdem können Sie GPOs
kontinuierlich durch automatisierte Attestierung validieren –
dies ist für jede Drittanbieterlösung zur Verwaltung von
Gruppenrichtlinien unerlässlich. Falls eine GPO-Änderung
unerwünschte Auswirkungen hat, können Sie schnell wieder auf
eine funktionierende GPO umstellen, damit Ihre Umgebung in
Sekundenschnelle wieder reibungslos läuft.
Risikoschutz und sichere Bereinigung
Für echten Risikoschutz
und eine sichere Bereinigung empfiehlt sich die Kombination von
SpecterOps BloodHound Enterprise mit Recovery
Manager for Active Directory Disaster Recovery Edition oder On
Demand Recovery. Mit dieser Produktkombination verfügen Sie
über umfassende Funktionen zur Sicherung Ihres hybriden Active
Directory und schnellen Wiederherstellung bei Fehlern, Beschädigung
oder Notfällen. Außerdem können Sie jegliche
Änderungen seit der letzten Sicherung identifizieren, indem Sie den
Onlinestatus von AD mit einer Sicherung (oder mehreren Sicherungen)
vergleichen. Sie können jedes beliebige AD-Objekt wiederherstellen,
einschließlich Benutzern, Attributen, Organisationseinheiten
(organizational units, OUs), Computern, Subnetzen, Standorten,
Konfigurationen und Gruppenrichtlinienobjekten (GPOs).
Tour
Kontinuierliche Abbildung von Angriffspfaden
Visualisieren Sie jeden Angriffspfad zu Ihren kritischen AD- und Azure-Assets mit allen komplexen Beziehungen und Verbindungen.
Technische Daten
SpecterOps BloodHound Enterprise erfordert die Installation des On-Premises-Agenten SharpHound Enterprise, ein wichtiges Element in Ihrer Bereitstellung, das Daten über Ihre Umgebung erfasst und zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hochlädt. SharpHound Enterprise wird in der Regel auf einem einzigen, mit der Domäne verknüpften Windows-System pro Domäne bereitgestellt und als Domänenbenutzerkonto ausgeführt.
Der AzureHound Enterprise Service erfasst Daten über Ihre Azure-Umgebung und lädt diese zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hoch. AzureHound Enterprise wird in der Regel auf einem Windows-System pro Azure-Tenant bereitgestellt und kann auf dem gleichen System wie Ihr SharpHound Enterprise Dienstkonto ausgeführt werden.
System:
- Windows Server 2012 (oder höher)
- 16 GB RAM
- 100 GB Speicherplatz
- .NET 4.5.2 (oder höher)
- TLS an 443/TCP für Ihre Tenant-URL (vom Account-Team bereitgestellt)
- TLS an 443/TCP für den Azure-Tenant (sofern zutreffend)
SharpHound (On-Premises-Active Directory-Sammlung)
- Dienstkonto zur lokalen Administratorgruppe hinzugefügt
AzureHound (Azure-Sammlung)
- Directory Reader für Azure AD-Tenant
- Reader für alle Azure-Abonnements
- Directory.Read.All für Microsoft Graph
Die Active Directory-Aufzählung stellt die grundlegendsten Informationen bereit, die für BloodHound Enterprise erforderlich sind. Für maximale Transparenz listet SharpHound Enterprise außerdem die lokalen Gruppen und Sitzungen auf allen mit der Domäne verknüpften Microsoft-Systemen auf.
Art der Erfassung
Dienstkontoberechtigungen
Zugriff auf Servicenetzwerk
Active Directory
Domänenbenutzerkonto mit der Berechtigung zum Lesen gelöschter Objekte.
LDAP an 389/TCP für mindestens einen Domänencontroller
Lokale Gruppen und Benutzersitzungen (Privilegiert)
Lokaler Administrator auf Workstations und Servern
SMB an 445/TCP für alle mit der Domäne verknüpften Systeme
Azure
Directory Reader für Azure AD-Tenant, Reader für alle Azure-Abonnements, AppRoleAssignment.ReadWrite.All und RoleManagement.Read.All für Microsoft Graph
TLS an 443/TCP für Ihren Tenant
Häufig gestellte Fragen
Tier-Zero-Assets sind kritische Objekte in Active Directory, die böswilligen Akteuren im Angriffsfall Zugang zur effektiven Kontrolle des gesamten Active Directory geben können. Beispiele für Tier-Zero-Assets sind privilegierte Benutzer, integrierte Administratorgruppen, Domänencontroller und Gruppenrichtlinienobjekte (GPOs). Diese Anlagen sind Hauptziele für Cyberangriffe und erfordern strenge Sicherheitskontrollen.
Die Definition von Tier Zero ist für ein effektives Risikomanagement von entscheidender Bedeutung, da sie dabei hilft, die kritischsten Assets innerhalb Ihrer Active Directory-Umgebung zu identifizieren, die um jeden Preis geschützt werden müssen. Wenn Unternehmen verstehen, was Tier Zero ausmacht, können sie ihre Cybersicherheitsbemühungen auf den Schutz dieser hochwertigen Ziele konzentrieren und so sicherstellen, dass Angreifer, der sich Zugang zu Assets der niedrigeren Stufe verschaffen, nicht die gesamte Active Directory-Infrastruktur kompromittieren können. Der Schutz von Tier Zero-Assets ist von grundlegender Bedeutung, um die Integrität und Sicherheit Ihrer gesamten IT-Umgebung zu gewährleisten und Datenverletzungen zu verhindern.
Angriffspfade sind die Ketten von missbräuchlichen Privilegien und Benutzerverhalten, die direkte und indirekte Verbindungen zwischen Arbeitsstationen, Benutzern und kritischen Tier-Zero-Ressourcen herstellen. Diese Angriffspfade nutzen oft Schwachstellen aus und können von Cyberkriminellen genutzt werden, um in das Netzwerk einzudringen.
Bei der Verwaltung von Angriffspfaden handelt es sich um den Prozess der Identifizierung, Analyse und Beseitigung der Pfade (in einer Reihe von Schritten), die Angreifer ausnutzen könnten, um sich lateral durch Ihr Netzwerk zu bewegen und Tier-Zero-Ressourcen zu erreichen. Dazu gehört die kontinuierliche Überwachung Ihrer Active Directory-Umgebung, um potenzielle Angriffspfade zu erkennen, zu verstehen, wie unterschiedliche Benutzerrechte und Konfigurationen zu Sicherheitslücken führen können, und proaktive Schritte zur Beseitigung dieser Risiken zu unternehmen. Die Verwaltung von Angriffspfaden funktioniert, indem sie die Beziehungen zwischen Benutzern, Geräten und Berechtigungen abbildet und dann verwertbare Erkenntnisse liefert, um Pfade zu schließen, die zu einem Sicherheitsverstoß führen könnten. Dieser Prozess ist entscheidend für ein effektives Schwachstellenmanagement und die Erkennung von Eindringlingen.
Die Verwaltung von Angriffspfaden sollte ein integraler Bestandteil Ihrer Cybersicherheitsstrategie sein, da sie dazu beiträgt, Angreifer daran zu hindern, ihre Privilegien zu erweitern und Ihre wichtigsten Ressourcen zu erreichen. Selbst bei robusten Schutzmaßnahmen wie Firewalls finden entschlossene Angreifer oft Wege, um Netzwerke durch Techniken wie Phishing oder Social Engineering zu infiltrieren. Die Verwaltung von Angriffspfaden stellt eine wichtige Verteidigungsebene dar, indem sie sich auf interne Bedrohungen konzentriert und den Schaden begrenzt, der entstehen kann, wenn ein Angreifer Fuß fasst. Durch die kontinuierliche Überwachung und Verwaltung von Angriffspfaden können Unternehmen ihre Angriffsfläche verringern, ihre allgemeine Sicherheitslage verbessern und ihre Reaktionsfähigkeit auf Vorfälle erhöhen, so dass ein besserer Schutz vor komplexen Cyberbedrohungen und potenziellen Datenschutzverletzungen gewährleistet ist.
Ressourcen
Level up your Active Directory security with attack path management
Learn why attack path management is crucial to Active Directory security — and discover the only solution available today that ...
Ultimate Cyber Resiliency: a guide to combatting AD security villains
This eBook highlights ways to achieve a full lifecycle of hybrid Active Directory cyber resiliency to mitigate risks before, du...
Attack Path Remediation
Identify, quantify and prioritize attack paths so you can secure Active Directory from every angle.
Don't let the retirement crisis become a security crisis
Discover effective strategies for keeping your Active Directory secure, even as the Baby Boomers who manage it retire in droves...
Government agency enhances cybersecurity
State Department of Transportation identifies and shuts down attack paths in its complex Active Directory
The Microsoft 365 kill chain and attack path management
Explore the Microsoft 365 kill chain and see how attack path management and monitoring can protect your organization.
Ein praktischer Ansatz für Cyber Resilience
Sichern Sie die kritischen Assets in Ihrem hybriden Active Directory effizient mit Angriffspfadverwaltung.
Microsoft 365-Kill Chain und Angriffspfad Management
Microsoft 365-Kill Chain und Angriffspfad Management
Blogs
Alle Blogs anzeigenRetirement and succession planning for Active Directory admins
Learn what the succession plan for future Active Directory admins should look like ahead of the retirement boom of more experienced admins.
Jason Morano
What you need to know about man-in-the-middle (MitM) attacks
Learn what man-in-the-middle attacks are, the most common attack techniques and key strategies for increasing your defenses against them.
Michael Van Horenbeeck
Understanding attack paths targeting Active Directory
Learn about attack paths, including the most common ones targeting Active Directory, and discover measures to protect your organization.
Bryan Patton
The anatomy of Active Directory attacks
Learn the most common Active Directory attacks, how they unfold and what steps organizations can take to mitigate their risk.
Jason Morano
The importance of Tier 0 and what it means for Active Directory
Learn what can be done to increase your organization’s security posture and how tier 0 assets like Active Directory come into play.
Michael Van Horenbeeck
8 ways to secure your Active Directory environment
Secure your Active Directory against potential risks with these 8 best practices and ensure robust security measures for your system.
Bryan Patton