Beibehalten einer sicheren Umgebung
Gesetz Nr. 10: Technologie ist kein Allheilmittel. - 10 unumstößliche Gesetze der Sicherheitsverwaltung
Wenn Sie eine verwaltbare, sichere Umgebung für Ihre kritischen Unternehmensressourcen geschaffen haben, sollten Sie sich darauf konzentrieren, dass diese auch zuverlässig gewartet wird. Auch wenn Ihnen gezielte technische Kontrollmechanismen zur Verfügung stehen, um die Sicherheit Ihrer AD DS-Installationen zu erhöhen, kann Technologie allein eine Umgebung nicht schützen, wenn die IT-Abteilung nicht mit dem Geschäftsbereich zusammenarbeitet, um eine sichere, nutzbare Infrastruktur zu unterhalten. Die allgemeinen Empfehlungen in diesem Abschnitt sind als Richtlinien gedacht, anhand derer Sie nicht nur optimale Sicherheit, sondern auch eine effiziente Lebenszyklusverwaltung erzielen können.
In einigen Fällen arbeitet die IT-Organisation bereits eng mit den Geschäftsbereichen zusammen, was die Umsetzung dieser Empfehlungen erleichtert. In Organisationen, in denen IT-Abteilung und Geschäftsbereiche nicht eng zusammenarbeiten, müssen Sie möglicherweise zunächst die Unterstützung der Geschäftsleitung gewinnen, um eine engere Beziehung zwischen der IT-Abteilung und den Geschäftsbereichen herzustellen. Die Kurzzusammenfassung ist als eigenständiges Dokument zur Überprüfung durch die Geschäftsleitung gedacht und kann an die Entscheidungsträger in Ihrer Organisation weitergegeben werden.
Entwickeln von geschäftsorientierten Sicherheitsmaßnahmen für Active Directory
In der Vergangenheit wurde die Informationstechnologie in vielen Organisationen als unterstützende Struktur und Kostenstelle betrachtet. IT-Abteilungen waren häufig weitgehend von den Geschäftsbenutzern getrennt, und die Interaktion beschränkte sich auf ein Anfrage-Antwort-Modell, bei dem das Unternehmen Ressourcen anforderte und die IT-Abteilung entsprechend reagierte.
Im Zuge der technologischen Entwicklung und Verbreitung ist die Vision von „einem Computer auf jedem Schreibtisch“ in weiten Teilen der Welt tatsächlich in Erfüllung gegangen und wurde durch die große Auswahl an leicht zugänglichen Technologien, die heute zur Verfügung stehen, sogar noch übertroffen. Die Informationstechnologie dient nicht mehr nur zur Unterstützung des Geschäfts, sondern ist eine wichtige Geschäftsfunktion. Wenn Ihr Unternehmen bei einem Ausfall aller IT-Dienste den Betrieb nicht aufrechterhalten könnte, beruht Ihre Geschäftstätigkeit zumindest in Teilen auf der Informationstechnologie.
Für die Erarbeitung effektiver Notfallpläne müssen die IT-Abteilungen eng mit den Geschäftsbereichen Ihrer Organisation zusammenarbeiten, um nicht nur die kritischen Komponenten der IT-Landschaft zu identifizieren, sondern auch die kritischen Funktionen, die für den Geschäftsbetrieb benötigt werden. Indem Sie ermitteln, welche Aspekte für Ihre Organisation als Ganzes wichtig sind, können Sie sich auf die Absicherung der Komponenten konzentrieren, die den größten Wert haben. Dies ist keine Empfehlung, die Sicherheit von weniger wichtigen Systemen und Daten zu vernachlässigen. Vielmehr sollten Sie wie bei der Definition von Servicelevels für die Systemverfügbarkeit auch bei der Sicherheitskontrolle und -überwachung je nach Relevanz der Ressource ein bestimmtes Sicherheitsniveau festlegen.
Wenn Sie in die Schaffung einer modernen, sicheren und verwaltbaren Umgebung investiert haben, können Sie sich darauf konzentrieren, diese effizient zu verwalten und sicherzustellen, dass Sie über Prozesse für eine wirkungsvolle Lebenszyklusverwaltung verfügen, die nicht nur durch IT-bezogene, sondern auch durch geschäftliche Aspekte bestimmt werden. Um dies zu erreichen, müssen Sie nicht nur mit den Geschäftsbereichen zusammenarbeiten, sondern diese auch in die Verantwortung für die Daten und Systeme in Active Directory, also deren „Besitz“, einbeziehen.
Wenn Daten und Systeme in Active Directory ohne festgelegte Besitzer*innen – sowohl seitens der Geschäftsbereiche als auch seitens der IT – eingeführt werden, gibt es keine klare Verantwortungskette für die Bereitstellung, Verwaltung, Überwachung, Aktualisierung und letztendliche Außerbetriebnahme des Systems. Dies führt zu Infrastrukturen, in denen die Systeme die Organisation einem Risiko aussetzen, aber nicht außer Betrieb genommen werden können, weil die Besitzverhältnisse unklar sind. Für eine effiziente Verwaltung des Lebenszyklus der Benutzer, Daten, Anwendungen und Systeme, die über Ihre Active Directory-Installation verwaltet werden, sollten Sie die hier beschriebenen Grundsätze befolgen.
Zuweisen eines Geschäftsbesitzers für Active Directory-Daten
Für die Daten in Active Directory sollte es einen ausgewiesenen Geschäftsbesitzer geben, d. h. eine bestimmte Abteilung oder einen Benutzer, der als Ansprechpartner für Entscheidungen zum Lebenszyklus der Ressource fungiert. In einigen Fällen ist der Geschäftsbesitzer einer Active Directory-Komponente eine IT-Abteilung oder ein Benutzer. Infrastrukturkomponenten wie Domänencontroller, DHCP- und DNS-Server und Active Directory fallen höchstwahrscheinlich in die Zuständigkeit der IT-Abteilung. Daten und Ressourcen, die AD DS zur Unterstützung der Geschäftstätigkeit hinzugefügt werden (z. B. neue Mitarbeiter, neue Anwendungen und neue Informationsspeicher), sollten mit einer bestimmten Geschäftseinheit oder einem Benutzer verknüpft werden.
Unabhängig davon, ob Sie für die Aufzeichnung der Besitzverhältnisse von Daten im Verzeichnis Active Directory verwenden oder ob Sie eine separate Datenbank für die Nachverfolgung von IT-Ressourcen implementieren: Sie sollten kein Benutzerkonto erstellen, keinen Server und keine Arbeitsstation installieren und keine Anwendung bereitstellen, ohne dass Sie einen verantwortlichen Besitzer benennen. Der Versuch, den Besitz von Systemen festzulegen, nachdem diese in der Produktion bereitgestellt wurden, ist im günstigsten Fall eine Herausforderung, in manchen Fällen sogar unmöglich. Aus diesem Grund sollten der Besitz bereits zum Zeitpunkt der Aufnahme der Daten in Active Directory festgelegt werden.
Implementieren einer geschäftsorientierten Lebenszyklusverwaltung
Eine Lebenszyklusverwaltung sollte für alle Daten in Active Directory implementiert werden. Wenn beispielsweise eine neue Anwendung in einer Active Directory-Domäne eingeführt wird, sollte der Geschäftsbesitzer der Anwendung in regelmäßigen Abständen die weitere Nutzung der Anwendung bestätigen müssen. Wenn eine neue Version einer Anwendung veröffentlicht wird, sollte der Anwendungsbesitzer informiert werden und entscheiden, ob und wann die neue Version implementiert wird.
Wenn ein Geschäftsbesitzer der Bereitstellung einer neuen Anwendungsversion nicht zustimmt, sollte er außerdem darüber informiert werden, ab wann die Unterstützung der aktuellen Version endet, und sollte selbst entscheiden können, ob die Anwendung außer Betrieb genommen oder ersetzt werden soll. Die Ausführung von Legacyanwendungen, die nicht mehr unterstützt werden, sollte keine Option sein.
Wenn Benutzerkonten in Active Directory erstellt werden, sollten die zuständigen Vorgesetzten bei der Erstellung des Objekts benachrichtigt und aufgefordert werden, die Gültigkeit des Kontos in regelmäßigen Abständen zu bestätigen. Durch die Einführung eines geschäftsorientierten Lebenszyklus und die regelmäßige Überprüfung der Gültigkeit der Daten sind die mit der Datenprüfung betrauten Personen diejenigen, die Datenanomalien am besten erkennen können.
Angreifer könnten zum Beispiel Benutzerkonten erstellen, die wie gültige Konten aussehen und den Namenskonventionen und der Objektplatzierung Ihrer Organisation entsprechen. Um eine solche Erstellung von Konten aufzudecken, könnten Sie eine täglich ausgeführte Aufgabe zur Rückgabe aller Benutzerobjekte ohne einen bestimmten Geschäftsinhaber implementieren, damit Sie die Konten untersuchen können. Wenn Angreifer Konten erstellen und einen Geschäftsbesitzer zuweisen, kann der Geschäftsbesitzer durch die Implementierung einer Aufgabe, die die Erstellung neuer Objekte an den festgelegten Geschäftsbesitzer meldet, schnell die Echtheit eines Kontos feststellen.
Sie sollten ähnliche Ansätze für Sicherheits- und Verteilergruppen implementieren. Auch wenn es sich bei einigen Gruppen um funktionale Gruppen handelt, die von der IT-Abteilung erstellt wurden, können Sie durch die Festlegung eines Besitzers für jede Gruppe alle Gruppen abrufen, die sich im Besitz eines bestimmten Benutzers befinden, und diesen dazu auffordern, die Gültigkeit der Mitgliedschaften zu bestätigen. Ähnlich wie bei der Erstellung von Benutzerkonten können Sie den benannten Geschäftsbesitzer über Änderungen an Berichtsgruppen benachrichtigen. Je mehr es für den Geschäftsbesitzer bzw. die Geschäftsbesitzerin zur Routine wird, die Gültigkeit oder Ungültigkeit von Daten in Active Directory zu bestätigen, desto besser können Sie Anomalien erkennen, die auf Prozessfehler oder eine tatsächliche Kompromittierung hinweisen können.
Klassifizieren aller Active Directory-Daten
Zusätzlich zur Festlegung eines Geschäftsbesitzers bzw. einer Geschäftsbesitzerin für alle Active Directory-Daten bei deren Hinzufügung zum Verzeichnis sollten Sie die Geschäftsbesitzer*innen außerdem dazu auffordern, die Daten zu klassifizieren. Wenn eine Anwendung beispielsweise unternehmenskritische Daten speichert, sollte der Geschäftsbesitzer die Anwendung gemäß der Klassifizierungsinfrastruktur Ihrer Organisation als solche kennzeichnen.
Einige Organisationen setzen Richtlinien zur Datenklassifizierung ein, bei denen die Daten nach dem Schaden eingestuft werden, der im Falle eines Diebstahls oder einer Offenlegung der Daten entstehen würde. Andere Organisationen setzen eine Datenklassifizierung ein, die Daten nach Wichtigkeit, Zugriffsanforderungen und Aufbewahrung kennzeichnet. Unabhängig von dem in Ihrer Organisation verwendeten Datenklassifizierungsmodell sollten Sie sicherstellen, dass Sie die Klassifizierung auf Active Directory-Daten und nicht lediglich auf „Dateidaten“ anwenden können. Wenn es sich bei einem Benutzerkonto um ein VIP-Konto handelt, sollte es in Ihrer Datenbank für die Ressourcenklassifizierung identifiziert werden (unabhängig davon, ob die Implementierung über die Verwendung von Attributen für die Objekte in AD DS erfolgt oder Sie separate Datenbanken für die Ressourcenklassifizierung bereitstellen).
Innerhalb Ihres Datenklassifizierungsmodells sollten Sie eine Klassifizierung wie die folgende für AD DS-Daten festlegen.
Systeme
Sie sollten nicht nur Daten klassifizieren, sondern auch die zugehörigen Serverbestände. Sie sollten für jeden Server wissen, welches Betriebssystem installiert ist, welche allgemeinen Funktionen der Server hat, welche Anwendungen auf dem Server ausgeführt werden, wer der IT-Besitzer und wer der Geschäftsbesitzer ist (sofern zutreffend). Für alle auf dem Server ausgeführten Daten oder Anwendungen sollten Sie eine Klassifizierung vorschreiben, und der Server sollte gemäß den Anforderungen für die von ihm unterstützten Workloads und die auf System und Daten angewendeten Klassifizierungen geschützt werden. Sie können Server auch nach der Klassifizierung ihrer Workloads gruppieren. So können Sie schnell die Server identifizieren, die am stärksten überwacht und besonders streng konfiguriert werden sollten.
Anwendungen
Sie sollten Anwendungen nach Funktionalität (ihren Aufgaben), Benutzerbasis (den Nutzern der Anwendungen) und dem Betriebssystem klassifizieren, auf dem sie ausgeführt werden. Sie sollten Datensätze pflegen, die Versionsinformationen, den Patchstatus und andere relevante Informationen enthalten. Sie sollten Anwendungen außerdem nach der Art der von ihnen verarbeiteten Daten klassifizieren (wie zuvor beschrieben).
Benutzer
Ob Sie sie nun „VIP-Benutzer“ oder kritische Konten nennen oder eine andere Bezeichnung verwenden: Sie sollten die Konten in Ihren Active Directory-Installationen kennzeichnen und überwachen, die am ehesten von Angreifern ins Visier genommen werden könnten. In den meisten Organisationen ist es schlicht nicht möglich, alle Aktivitäten sämtlicher Benutzer*innen zu überwachen. Wenn Sie jedoch in der Lage sind, die kritischen Konten in Ihrer Active Directory-Installation zu identifizieren, können Sie diese Konten auf Änderungen überwachen (wie weiter oben in diesem Dokument beschrieben).
Sie können außerdem damit beginnen, während der Überwachung der Konten eine Datenbank mit „erwarteten Verhaltensweisen“ für diese Konten aufzubauen. Wenn Sie z. B. feststellen, dass eine bestimmte Führungskraft über ihre gesicherte Workstation vom Büro und von zu Hause aus auf unternehmenskritische Daten zugreift, aber nur selten von anderen Standorten aus, können Sie Zugriffsversuche unter Verwendung dieses Kontos von einem nicht autorisierten Computer oder von einem sehr weit entfernten Standort aus (von dem Sie wissen, dass sich die Führungskraft derzeit nicht dort aufhält) schneller identifizieren und untersuchen.
Durch die Integration von Geschäftsinformationen in Ihre Infrastruktur können Sie diese dazu nutzen, falsch positive Warnungen zu identifizieren. Wenn beispielsweise Geschäftsreisen von Führungskräften in einem Kalender aufgezeichnet werden, auf den die für die Überwachung der Umgebung zuständigen IT-Mitarbeiter Zugriff haben, können Sie die Verbindungsversuche mit den bekannten Standorten der Führungskräfte in Beziehung setzen.
Ein Beispiel: Führungskraft A befindet sich normalerweise in Chicago und verwendet eine gesicherte Arbeitsstation, um von ihrem Schreibtisch aus auf unternehmenskritische Daten zuzugreifen. In diesem Fall löst ein fehlgeschlagener Versuch, von einer ungesicherten Arbeitsstation in Atlanta auf die Daten zuzugreifen, ein Warnungsereignis aus. Wenn Sie bestätigen können, dass sich die Führungskraft derzeit in Atlanta aufhält, können Sie durch Kontaktaufnahme mit der Führungskraft oder ihrem Assistenten bzw. ihrer Assistentin feststellen, ob der fehlgeschlagene Zugriffsversuch darauf zurückzuführen ist, dass die Führungskraft versehentlich nicht die gesicherte Workstation für den Datenzugriff verwendet hat. Durch die Entwicklung eines Programms, das die in Vorkehrungen für Sicherheitsgefährdungen beschriebenen Ansätze anwendet, können Sie eine Datenbank der erwarteten Verhaltensweisen für die wichtigsten Konten in Ihrer Active Directory-Installation aufbauen, mit der Sie Angriffe potenziell schneller erkennen und auf sie reagieren können.