Automatisierte Active Directory Sicherheit
Einleitung
Es gibt in der IT-Welt kaum eine Struktur bzw. Software, die für Unternehmen von vergleichbarer Bedeutung ist wie das Active Directory (AD). Als zentrale Stelle für die Authentifizierung und Autorisierung in den meisten Unternehmensnetzwerken verwaltet es nicht nur Identitäten wie Benutzerkonten, Computer, Gruppen, Richtlinien und vieles mehr, sondern steuert auch den Zugriff auf kritische Geschäftsinformationen.
Leider bietet gerade das Active Directory durch seine Komplexität und tiefe Verwurzelung in einem Unternehmen (oft über Jahrzehnte hinweg) viele potenzielle Schwachstellen. Ein nicht ausreichend gesichertes Active Directory kann zum weit geöffnetem Einfallstor für Cyberkriminelle werden und bietet Potenzial zur Rechteerweiterung bis zum Domänenadministrator. Die Sicherheit von Active Directory sollte daher nicht als Selbstverständlichkeit betrachtet werden.
Gerade für KMU’s, die sich mit der Sicherheit ihres Active Directory auseinandersetzen wollen, ist es oft schwer, eine passende Lösung zu finden. Die meisten Angebote richten sich vom Preis eindeutig an Enterprise Unternehmen oder bieten kein dauerhaftes Monitoring des Active Directory an - nur einmalig Ist-Aufnahmen.
💡 Die Idee
Da viele Unternehmen in der IT-Sicherheit auf Managed Security Services Provider (MSSP) setzen, die die Sicherheit der IT-Infrastruktur überwachen und bei Bedarf eingreifen, haben wir uns gefragt, warum es so etwas nicht auch für das Active Directory gibt.
Den uns ist es wichtig, dass jeder die Möglichkeit hat, sein Active Directory zu überwachen und zu schützen, ohne dafür ein Vermögen ausgeben zu müssen.
🔥 Das Ergebnis - sec-auditor.com
Aus dieser Idee ist dann die SaaS-Lösung sec-auditor.com entstanden. Mit unserer Lösung kann jeder sein Active Directory automatisiert überwachen und erhält bei kritischen Änderungen eine Benachrichtigung.
Dazu wird ein leichtgewichtiger Agent auf einem Windows-Server installiert, der die Daten aus dem Active Directory analysiert und diese an unsere Plattform sendet. Dort werden die Daten dann ausgewertet und für eine übersichtliche Darstellung in unserem Dashboard aufbereitet.
Es werden verschiedenste sicherheitsrelevante Konfigurationen und Einstellungen überwacht, wie z.B.: - Eingeschränkte / Uneingeschränkte Delegierung - Veraltete Verschlüsselungsalgorithmen - Mitgliedschaften in privilegierten Gruppen - … und viele mehr
Eine Komplettübersicht findet sich hier erkannte Gefährdungen.
Weiterhin können wir verschiedene Indizien für Angriffe in Echtzeit erkennen und melden, wie z.B.: - DC Shadow - Neues Mitglied in privilegierter Gruppe
💻 Techstack
Insgesamt haben wir (wie immer) auf Technologien und Frameworks gesetzt, die wir entweder beide schon kannten oder die bereits von einer breiten Masse erprobt und für gut befunden worden sind.
Insgesamt wurde die Plattform also mit folgender Technologie aufgebaut:
- einem NodeJS Backend zum Abrufen der API. Die Analyse der AD-Daten und die Bereitstellung der Daten für das Frontend wird hier ausgeführt,
- einem Frontend mit Vue / Nuxt self-gehostet bei Netcup,
- eine PostgreSQL Datenbank mit GraphQL-Schnittstelle durch Hasura,
- Docker für die Bereitstellung der einzelnen Komponenten
- C# für dem Agent (Collector)
Design
Visuell haben wir uns für ein dunkles und einfaches Design entschieden, sodass wir eine gute Übersicht auch bei vielen Daten bieten können.
Und das ist grafische Resultat:
Was ist für die Zukunft geplant?
Die Webseite ist bereits fertig und veröffentlicht. Jeder kann sich registrieren und kostenlos testen auf https://app.sec-auditor.com/register.
Im nächsten Schritt wollen wir auf jeden Fall noch viele weitere Gefährdungen hinzufügen, die wir überwachen können. Auch eine Angriffspfadvisualisierung angelehnt an Bloodhound ist angedacht.
👋 Feedback oder Ideen?
Über Feedback und weitere Ideen würde wir uns natürlich sehr freuen. Dazu kannst du gerne über eine der verlinkten Social-Media-Kanäle im Footer mit mir in Kontakt treten.
Web, NodeJS, Nuxt, C#, GraphQl