ADSecure: Active-Directory-Angreifer in die Irre führen

Mit ADSecure erweitert Attivo Networks sein Angebot an Deception-Lösungen mit denen sich Angreifer täuschen und abwehren lassen. Die Lösung soll Unternehmen davor bewahren, dass sensible Informationen aus dem Active Directory missbräuchlich ausgelesen werden können. Das Active Directory bildet in vielen Unternehmen eine der Säulen in Bezug auf Anwender- und Rechteverwaltung.

Die Lösung zur Bedrohungserkennung ADSecure soll die Zeit reduzieren, in der sich ein Angreifer unbemerkt in der Netzwerkumgebung eines Unternehmens bewegen kann und so potenziell die Chance hat Zugangsdaten oder andere sensible Informationen zu entwenden. ADSecure ist ein Modul der ThreatDefend-Plattform von Attivo Networks.

Wenn ein Angreifer etwa über einen kompromittierten Endpunkt eine nicht legitime Abfrage im Active Directory absetzt, wird ADSecure aktiv. Dabei könnte es sich beispielsweise um eine Query hinsichtlich Domänenadministratoren oder Domänen-Controllern handeln. Diese Anfrage wird dann zunächst ganz regulär an die Active-Directory-Server geleitet und dort ganz ordnungsgemäß verarbeitet. Sobald die Antwort vom Active-Directory-Server an Endpunkt zurückgesendet wird, wird diese Antwort von ADSecure modifiziert. Der Angreifer landet dann in der virtuellen Attive Networks Deception Fabric.

Angreifer, die nach Informationen über privilegierte Domänenkonten oder anderen sensiblen Daten suchen, werden dann dort mit gefälschten Active-Directory-Ergebnissen versorgt. Diese sollen insbesondere auch automatisierte Tools der Angreifer unwirksam machen. Angriffsversuche in dieser Köderumgebung würden in eine virtuelle Umgebung laufen, die wiederum aus Fallen besteht. Dies eröffnet die Möglichkeit, den Angriff genau zu untersuchen sowie ganz spezifische Bedrohungsinformationen für das eigenen Unternehmen zu sammeln, die für eine Reaktion genutzt werden können.

Attivo Networks betont, dass für den Einsatz von ADSecure das Active Directory des Unternehmens nicht modifiziert werden müsste. Alle produktiven Domänencontroller würden durch den Einsatz der Lösung nicht gestört. Zudem müssten die Administratoren des Active Directory (AD) nicht manuell eingreifen.