SpecterOps BloodHound Enterprise
Reduzieren Sie Ihre Angriffsfläche und sorgen Sie für umfassende Active Directory- und Azure-Sicherheit. Angriffspfad-Verwaltung ist eine kritische Komponente beim Schutz von Active Directory(AD)- und Microsoft 365-Umgebungen vor Angriffen. Wenn man bedenkt, dass Microsoft allein im Jahr 2021 mehr als 25 Milliarden Angriffsversuche auf Unternehmenskonten gemeldet hat, ist das Absichern von Angriffspfaden unabdingbar. SpecterOps BloodHound Enterprise vereinfacht diesen Prozess erheblich, indem Problemstellen priorisiert und quantifiziert werden, sodass Sie die nötigen Informationen erhalten, um die Angriffspfade mit dem höchsten Risiko zu identifizieren und zu beseitigen.
Die Angriffspfad-Verwaltung gestaltete sich schon immer schwierig. Warum ist das so? Weil Sicherheitsverantwortliche häufig darauf getrimmt sind, sich auf Listen zu stützen – und sie Tausende von allgemeinen Konfigurationsproblemen prüfen. Angreifer stützen sich dagegen auf Diagramme. Diese Sichtweise macht es ihnen leichter, effektive Angriffspfade zu identifizieren. SpecterOps BloodHound Enterprise hilft Ihnen dabei, das Risiko von Angriffen deutlich zu reduzieren. Dank einer grafischen Darstellung aller Angriffspfade in AD und Azure können Sie mühelos die wichtigsten potenziellen Zugangswege für Angreifer identifizieren, priorisieren und beseitigen.
Wesentliche Vorteile
Kontinuierliche Abbildung von Angriffspfaden
Priorisierung von Problemstellen
Schutz wichtiger Assets
Praktische Anleitungen zur Bereinigung
Umfassende Bereinigungsanalyse
Analyse des AD-Sicherheitsstatus
Herausragende Einblicke in Azure AD
Funktionen
Top-Down-Ansicht kritischer Assets
SpecterOps BloodHound
Enterprise bietet hervorragende Unterstützung bei der
Angriffspfad-Verwaltung durch die Anzeige Ihrer kritischsten Assets in AD
und Azure (Azure AD und Azure Resource Manager) – die
wichtigsten Komponenten, über die ein Angreifer auf keinen Fall die
Kontrolle erlangen darf. Aus dieser Ansicht werden dann "von oben nach
unten" alle Angriffspfade abgebildet. Mit der Abwehr betraute Personen
müssen beim Absichern von Angriffspfaden jeden möglichen Weg
berücksichtigen. SpecterOps BloodHound Enterprise identifiziert jede
Beziehung in Ihrer Hybrid-Umgebung und zeigt auf, wie Angreifer beliebige
Prinzipale missbrauchen könnten, um sich Zugriff auf diese wichtigen
Assets zu verschaffen.
Identifizierung und Quantifizierung von Problemstellen
Die Abbildung kritischer
Assets und Pfade ist jedoch nur ein Teil der Angriffspfad-Verwaltung.
SpecterOps BloodHound Enterprise geht noch einen Schritt weiter und
quantifiziert diese Problemstellen. Beispielsweise kann Sie die
Lösung darüber informieren, dass durch die Anwendung einer
bestimmten Zugriffssteuerungsliste auf einen bestimmten
Domänencontroller 92 % Ihrer Active
Directory-Benutzer und -Computer die Domäne gefährden
können. Sie erhalten sehr genaue Angaben zu den damit verbundenen
Risiken sowie den spezifischen Berechtigungen, die Sie ändern
müssen, um den Angriffspfad zu beseitigen und nachgelagerte
Fehlkonfigurationen zu minimieren.
Quantifizierung der Auswirkungen auf den Sicherheitsstatus
Da SpecterOps BloodHound
Enterprise jedes Risiko analysiert, erhalten Sie einen umfassenden
Einblick in das Gesamtrisiko, dem Ihr Unternehmen mit Ihrer hybriden
AD-Umgebung ausgesetzt ist. Wenn Sie Ihre Angriffspfad-Verwaltung durch
Beseitigung der Problemstellen verbessern, können Sie außerdem
sehen, welche Auswirkungen diese Änderungen auf Ihren
Sicherheitsstatus insgesamt haben. Beispielsweise könnten Sie durch
das Absichern von Angriffspfaden Ihr Risiko, das Opfer eines Angriffs zu
werden, deutlich reduzieren. Die meisten Unternehmen beginnen mit einem
Risiko zwischen 70 und 100 %. Ihr Ziel sollte es jedoch sein, das
Risiko Ihres Unternehmens unter 20 % bringen – und
SpecterOps BloodHound Enterprise kann Ihnen dabei helfen.
Umfassende Risikobewertung und Bedrohungsschutz
Integrieren Sie SpecterOps
BloodHound Enterprise mit On Demand
Audit und Change Auditor, um eine
umfassende Lösung zur Risikobewertung und Bedrohungsüberwachung
zu erhalten. Mit diesen beiden Tools sind Sie in der Lage, alle
Tier-0-Assets zu identifizieren, alle Angriffspfade vorherzusehen und
diese anschließend auf verdächtige Aktivitäten zu
überwachen. Darüber hinaus sind Sie auch in der Lage,
Bedrohungen frühzeitig zu erkennen – einschließlich
nicht autorisierter Replikationen von Domänen, Offline-Extraktionen
der AD-Datenbank und GPO-Verknüpfungen. Sie können sogar
Veränderungen an sensiblen Objekten wie privilegierten Gruppen und
Gruppenrichtlinien blockieren, um Versuche der Rechteausweitung zu
verhindern und zu entschärfen sowie kostspielige Ransomware-Angriffe
zu vermeiden.
Verringerung von Angriffspfaden mit abgesicherten GPOs
Indem Sie SpecterOps
BloodHound Enterprise mit GPOADmin
kombinieren, können Sie die Angriffspfad-Verwaltung durch
Absicherung von GPOs effektiv verbessern. Mit diesen Lösungen
können Sie bereits vor der Bereitstellung sicherstellen, dass
jegliche Änderungen den Best Practices der Änderungsverwaltung
entsprechen. Dies ist ein wichtiger Schritt bei der Verwaltung von Active
Directory-Gruppenrichtlinien. Außerdem können Sie GPOs
kontinuierlich durch automatisierte Attestierung validieren –
dies ist für jede Drittanbieterlösung zur Verwaltung von
Gruppenrichtlinien unerlässlich. Falls eine GPO-Änderung
unerwünschte Auswirkungen hat, können Sie schnell wieder auf
eine funktionierende GPO umstellen, damit Ihre Umgebung in
Sekundenschnelle wieder reibungslos läuft.
Risikoschutz und sichere Bereinigung
Für echten Risikoschutz
und eine sichere Bereinigung empfiehlt sich die Kombination von
SpecterOps BloodHound Enterprise mit Recovery
Manager for Active Directory Disaster Recovery Edition oder On
Demand Recovery. Mit dieser Produktkombination verfügen Sie
über umfassende Funktionen zur Sicherung Ihres hybriden Active
Directory und schnellen Wiederherstellung bei Fehlern, Beschädigung
oder Notfällen. Außerdem können Sie jegliche
Änderungen seit der letzten Sicherung identifizieren, indem Sie den
Onlinestatus von AD mit einer Sicherung (oder mehreren Sicherungen)
vergleichen. Sie können jedes beliebige AD-Objekt wiederherstellen,
einschließlich Benutzern, Attributen, Organisationseinheiten
(organizational units, OUs), Computern, Subnetzen, Standorten,
Konfigurationen und Gruppenrichtlinienobjekten (GPOs).
Technische Daten
SpecterOps BloodHound Enterprise erfordert die Installation des On-Premises-Agenten SharpHound Enterprise, ein wichtiges Element in Ihrer Bereitstellung, das Daten über Ihre Umgebung erfasst und zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hochlädt. SharpHound Enterprise wird in der Regel auf einem einzigen, mit der Domäne verknüpften Windows-System pro Domäne bereitgestellt und als Domänenbenutzerkonto ausgeführt.
Der AzureHound Enterprise Service erfasst Daten über Ihre Azure-Umgebung und lädt diese zur Verarbeitung und Analyse in Ihre Instanz von BloodHound Enterprise hoch. AzureHound Enterprise wird in der Regel auf einem Windows-System pro Azure-Tenant bereitgestellt und kann auf dem gleichen System wie Ihr SharpHound Enterprise Dienstkonto ausgeführt werden.
System:
- Windows Server 2012 (oder höher)
- 16 GB RAM
- 100 GB Speicherplatz
- .NET 4.5.2 (oder höher)
- TLS an 443/TCP für Ihre Tenant-URL (vom Account-Team bereitgestellt)
- TLS an 443/TCP für den Azure-Tenant (sofern zutreffend)
SharpHound (On-Premises-Active Directory-Sammlung)
- Dienstkonto zur lokalen Administratorgruppe hinzugefügt
AzureHound (Azure-Sammlung)
- Directory Reader für Azure AD-Tenant
- Reader für alle Azure-Abonnements
- Directory.Read.All für Microsoft Graph
Die Active Directory-Aufzählung stellt die grundlegendsten Informationen bereit, die für BloodHound Enterprise erforderlich sind. Für maximale Transparenz listet SharpHound Enterprise außerdem die lokalen Gruppen und Sitzungen auf allen mit der Domäne verknüpften Microsoft-Systemen auf.
Art der Erfassung
Dienstkontoberechtigungen
Zugriff auf Servicenetzwerk
Active Directory
Domänenbenutzerkonto mit der Berechtigung zum Lesen gelöschter Objekte.
LDAP an 389/TCP für mindestens einen Domänencontroller
Lokale Gruppen und Benutzersitzungen (Privilegiert)
Lokaler Administrator auf Workstations und Servern
SMB an 445/TCP für alle mit der Domäne verknüpften Systeme
Azure
Directory Reader für Azure AD-Tenant, Reader für alle Azure-Abonnements, AppRoleAssignment.ReadWrite.All und RoleManagement.Read.All für Microsoft Graph
TLS an 443/TCP für Ihren Tenant