Vorsicht ist besser als Nachsicht: Active Directory-Sicherung zur Rettung

Geschrieben von Bryan Patton, CISSP und Quest Strategic Systems Consultant

In den letzten vier Jahren wurde Ransomware zur Sicherheitsbedrohung Nummer eins für Unternehmen, und da 69 % der Unternehmen im Jahr 2020 Opfer eines Cyberangriffs werden, müssen Abwehrstrategien entwickelt werden, um kritische Informationen zu schützen und die Geschäftskontinuität sicherzustellen. Und obwohl es Cybersicherheitsexperten manchmal gelingt, Fehler in Ransomware-Verschlüsselungsalgorithmen zu finden, die es Unternehmen ermöglichen, verschlüsselte Dateien wiederherzustellen, ohne das Lösegeld zahlen zu müssen, führen berüchtigte Stämme wie BlackMatter kontinuierlich störende Angriffe durch und Unternehmen wie Olympus leiden unter den Folgen unzureichender Cybersicherheit.

Mit der Zeit lernten Bedrohungsakteure, dass der Weg zu einem erfolgreichen und profitablen Cyberangriff in einer Kompromittierung von Active Directory (AD) liegt. Durch den Zugriff auf AD haben Cyberkriminelle die Möglichkeit, in das gesamte System der Organisation einzudringen und die Malware einzusetzen. Dies wiederum führt zu weiterer Systemverschlüsselung, Zugangsdaten und Datendiebstahl, da Bedrohungsakteure vom Endpunkt zum beabsichtigten Ziel navigieren. In den heutigen hybriden Infrastrukturen, in denen der gesamte virtuelle Zugriff auf lokale und cloudbasierte Ressourcen an AD-Konten gebunden ist, muss eine AD-Wiederherstellungsstrategie Priorität haben.

Laut einer aktuellen Studie haben 66 % der IT- und Sicherheitsmanager in mittleren und großen Unternehmen ihrer Organisation in den letzten 12 Monaten mindestens 1 Cyberangriff gemeldet. Ebenso alarmierend ist der Anstieg der gezahlten Lösegeldbeträge – allein im Jahr 2021 in Höhe von 45 Millionen US-Dollar.

Man muss darauf vorbereitet sein, schnell zu handeln, da die Schlüsselkomponente der Risikominderung im Falle eines Cyberangriffs die Geschwindigkeit ist, mit der sich ein Unternehmen erholen kann. AD bietet Authentifizierungs- und Autorisierungsdienste für Benutzer und kritische Anwendungen, sodass der Wiederherstellungsprozess erheblich behindert wird, wenn diese Dienste nicht sofort online geschaltet werden.

Trotz verbreiteter Missverständnisse geht es bei der AD-Wiederherstellung nicht nur um eine grundlegende Backup-Wiederherstellung. Es erfordert ein tieferes Verständnis des Prozesses, und man wird nicht jedes Detail des Prozesses kennen, bis ein Notfall eintritt.

Laut Microsoft-Forschern würde ein schrittweiser Ansatz zur AD-Wiederherstellung zu einer vollständigen und schnellen Datenwiederherstellung führen. Identifizieren Sie auf einer grundlegenden Ebene mindestens einen Domänencontroller (DC), der in einem Wiederherstellungsszenario priorisiert werden soll. Priorisieren Sie die Haupt-DCs und bringen Sie sie schnell wieder online, damit die weniger kritischen DCs später wiederbelebt werden können.

Beim schrittweisen Ansatz beinhaltet Phase 1 die Durchführung einer anfänglichen Wiederherstellung. Erstens muss man sich bei jeder Domänenwiederherstellung auf einen oder mehrere DCs konzentrieren, je nachdem, welche Tools zur Verfügung stehen. Die bevorzugte Methode für die Ransomware-Wiederherstellung ist oft eine saubere Wiederherstellung des Betriebssystems (OS), aber diese Option ist nur verfügbar, wenn Sie proaktiv in eine AD-Disaster-Recovery-Lösung für Unternehmen investiert haben.

Anschließend kann das Unternehmen in Phase 2 übergehen und sich auf die Wiederherstellung und Umschichtung der verbleibenden DCs durch Förderung konzentrieren. Microsoft empfiehlt eine Installation von Medien (IFM), da sich dies als effiziente Möglichkeit erwiesen hat, AD auf einem DC neu zu installieren. IFM kann jedoch ein langwieriger manueller Prozess sein, wenn native Tools verwendet werden. Wenn Sie eine Drittanbieterlösung im Back-End haben, die Ihrem Unternehmen hilft, Phase 2 zu beschleunigen, kann Ihr Unternehmen schneller wieder einsatzbereit sein.

Die einzige Voraussetzung für eine erfolgreiche Wiederherstellung ist die Sicherung von Backups, denn sobald Bedrohungsakteure die Perimeterabwehr durchbrechen und Ihre Netzwerke infiltrieren, werden diese Backups als erste verschlüsselt. Verwenden Sie die verfügbaren Tools, um diese Backup-Assets zu sammeln und zu verteidigen, wenn ein Angriff unvermeidlich erfolgt, damit Sie besser darauf vorbereitet sind, diesen Angriffen zu widerstehen und den Betrieb danach schnell wieder aufzunehmen.

In der heutigen Welt stellt Ransomware ein klares Risiko für jedes große oder kleine Unternehmen dar. Diejenigen, die proaktiv in die Stärkung ihrer Cyber-Resilienz investieren, werden in der Lage sein, sich gegen die anhaltende Ransomware-Plage zu behaupten, im Falle eines Angriffs zu überleben oder sogar zu gedeihen.

Andernfalls müssen sich Unternehmen mit hohen Gebühren konfrontiert sehen, darunter Millionen für Ransomware-Angreifer selbst und kritische Verluste durch Ausfallzeiten. Jüngsten Erkenntnissen zufolge gibt ein Unternehmen durchschnittlich 1,85 Millionen US-Dollar aus, um sich von einem Cyberangriff zu erholen, wobei nur 65 % der Daten im Falle einer Lösegeldzahlung wiederhergestellt werden.

Kurz gesagt: Priorisieren Sie Ihr AD und setzen Sie eine Strategie zur Wiederherstellung von AD-Vorfällen ein. Schützen Sie Ihre Backups und investieren Sie in Tools und Lösungen, die es Ihnen ermöglichen, Ihren Incident-Recovery-Plan sofort in die Tat umzusetzen.