Neue CyberArk-Lösung bietet Echtzeit-Detektion von Cyber-Attacken auf das Active Directory
CyberArk hat seine Lösung Privileged Threat Analytics, die Echtzeit-Analytik und -Alarmierung bei der verdächtigen Nutzung privilegierter Benutzerkonten bietet, umfassend erweitert. Die neue Version 3.0 spürt auch zielgerichtete Cyber-Attacken auf Microsoft-Active-Directory-Infrastrukturen auf und blockiert sie.
CyberArk Privileged Threat Analytics ist Bestandteil der Privileged-Account-Security-Lösung von CyberArk. Die Version 3.0 bietet zusätzliche Analyseverfahren für den Netzwerk-Traffic, um Attacken frühzeitig aufzuspüren, beispielsweise im Hinblick auf einen Identitäts- oder Datendiebstahl. Mit der Lösung erhalten Incident-Response-Teams einen detaillierten Überblick über Bedrohungen und können unmittelbar auf laufende Attacken reagieren. Das betrifft auch Attacken auf das Microsoft Active Directory über den Kerberos-Authentifizierungsdienst. Kerberos-Attacken wie „Golden Ticket“ können zu einer kompletten Übernahme des Netzwerks und damit zu einer massiven Beeinträchtigung der Geschäftsprozesse führen.
Active-Directory-Infrastrukturen, die unternehmenskritische Domain Controller, Domain-Administrator-Accounts sowie Server und Workstations beinhalten, sind in hohem Maße von Cyber-Attacken bedroht. Die Marktforscher von Forrester Research stellen dazu fest: „Microsofts Active Directory hat sich zum am meisten genutzten Verzeichnisdienst für digitale Identitäten entwickelt. Die wachsende Bedeutung des Active Directory bedeutet auch, dass es ein verlockendes Ziel für Hacker ist, um Privilegien missbräuchlich zu nutzen und Daten zu stehlen.“
„Heute reicht es nicht mehr, eine Attacke nur aufzuspüren“, betont Michael Kleist, Regional Director DACH bei CyberArk. „Eine Sicherheitslösung muss auch proaktiven Schutz und eine unmittelbare Unterbindung von Angriffen bieten, um negative Auswirkungen zu verhindern. Genau diese Möglichkeit bietet unsere Privileged-Account-Security-Lösung, und auch die neue Version von CyberArk Privileged Threat Analytics haben wir genau dahingehend weiter optimiert.“
Die Version 3.0 bietet vor allem zwei zentrale neue Funktionen für die Verbesserung der Incident-Response-Möglichkeiten:
* Detektion von Kerberos-Attacken. Ein zusätzliches Feature sammelt und analysiert Netzwerk-Traffic, um Indikatoren für eine laufende Kerberos-Attacke zu identifizieren. Die Lösung wertet dabei Daten aus unterschiedlichsten Quellen aus; dazu gehören der CyberArk Digital Vault, SIEM-Lösungen, Switches sowie die genaue Analyse des Netzwerkverkehrs (deep packet inspection). Die CyberArk-Lösung basiert auf einer speziell entwickelten Analyse-Engine, die statistische und deterministische Algorithmen nutzt und die „richtigen” Daten bereitstellt, das heißt die Daten, die mit privilegierten Accounts verbunden sind. Damit können die unternehmenskritischsten Attacken aufgespürt werden – verbunden mit der Möglichkeit, unmittelbar einen Alarm auszulösen.
* Automatisches Threat Containment. Nach der Identifizierung einer potenziellen Attacke unterstützt CyberArk Privileged Threat Analytics Unternehmen bei der unmittelbaren Reaktion auf Attacken. So bietet die Lösung die Möglichkeit, vermutlich gestohlene Zugangsdaten für ungültig zu erklären, um einen laufenden Angriff zu unterbinden – ohne Unterbrechung der Geschäftsprozesse.
Es gibt mehrere Möglichkeiten für Angreifer, die Kerberos-Authentifizierung missbräuchlich zu nutzen. Zu den häufigsten Kerberos-Attacken gehören die Manipulation des PAC (Privileged Attribute Certificate), Overpass-the-Hash und Golden Ticket. Die größte Gefahr geht dabei vom Diebstahl der Zugangsdaten eines Domain-Administrators aus.
„Die meisten Unternehmen sind anfällig für Kerberos-Attacken und damit dem Risiko einer kompletten Netzwerkübernahme ausgesetzt“, erklärt Kleist. „Mit unserer neuen Privileged-Threat-Analytics-Version steht nun eine Lösung zur Verfügung, die in Active-Directory-Umgebungen sowohl einen proaktiven Schutz und eine frühzeitige Angriffserkennung bietet als auch eine effektive Incident Response unterstützt. Unternehmen können damit auch bisher nicht aufspürbare Attacken schnell identifizieren.”
CyberArk Privileged Threat Analytics 3.0 ist ab sofort verfügbar.