Zeitraubende Sisyphusarbeit
Log-in-Versuche von "falschen" Administratoren analysieren
Angriffe auf IT-Systeme durch vermeintliche Systemverwalter identifizieren und abwehren
(20.08.15) - Angriffe auf Unternehmensnetze und die dort befindlichen IT-Systeme mithilfe von User-Accounts, die über privilegierte Zugriffsrechte verfügen, nehmen ständig zu. Das haben Untersuchungen von ManageEngine ergeben, einem führenden Anbieter von Echtzeit-Tools für die Überwachung von IT-Umgebungen. Häufig versuchen Cyber-Kriminelle, sich mithilfe gestohlener Zugangsdaten auf Servern und Arbeitsplatzrechnern im Firmennetz einzuloggen.
Das klappt oft nicht auf Anhieb, etwa weil sich mittlerweile das Passwort geändert hat. Deshalb starten Angreifer viele Log-in-Versuche, so Derek Melber, ein weltweit bekannter Fachmann auf den Gebieten Microsoft Windows und Active Directory, in einem Beitrag im Weblog von ManageEngine. Deshalb sei es wichtig, den Ursprungsort der Angriffe zu ermitteln, also die IP-Adressen der IT-Systeme, von denen aus die Attacken gestartet würden. Nur dann lassen sich laut Melber derartige Angriffe proaktiv abwehren.
Allerdings ist es für IT-Fachleute höchst aufwändig, gescheiterten Log-in-Versuchen durch vermeintliche Administratoren und "Power Usern" auf den Grund zu gehen. Denn das bedeutet, die Log-Dateien jedes Domain-Controllers auszuwerten eine wahre Sisyphusarbeit. Denn wer solche Analysen mit "Bordmitteln" von Windows wie EventViewer und PowerShell durchführen will, sieht sich mit folgenden Hindernissen konfrontiert:
>> Jeder Domain-Controller enthält einen separaten Security-Log-File, der nicht repliziert wird.
>> Die Basiskonfiguration der meisten Security-Logs sieht nach einer bestimmten Zeitspanne das Überschreiben von sicherheitsrelevanten "Events" vor. Das heißt, Einträge mit Hinweisen auf Angriffe gehen möglicherweise verloren.
>> Zwar lassen sich Security-Logs archivieren. Um sie zu durchsuchen, müssen sie jedoch von Hand in Microsoft EventViewer oder andere Tools importiert werden.
>> Bei fehlerhaften Log-in-Versuchen kann ein Alarm ausgegeben werden. Allerdings sieht Microsoft keine Option vor, diese Warnmeldungen auf Accounts mit privilegierten Zugriffsrechten zu begrenzen.
>> Mit der PowerShell kann ein Administrator die Log-Dateien nach speziellen Events durchsuchen. Das klappt aber nur bei Files, die noch nicht archiviert wurden.
Alleine diese Punkte machen deutlich, dass es de facto fast unmöglich ist, mithilfe von EventViewer und PowerShell Sicherheits-Log-Daten mit akzeptablem Aufwand zu analysieren. Das gilt insbesondere für die Ermittlung der IP-Adressräume, von denen aus Angriffe initiiert werden.
(ManageEngine: ra)
Manage Enginie: Kontakt und Steckbrief
Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.