Tenable
Identity Exposure

FAQs

Welche Hauptfunktionen bietet Tenable Identity Exposure?

Mit Tenable Identity Exposure können Sie Angriffe in Echtzeit erkennen und darauf reagieren sowie Sicherheitslücken in Active Directory aufspüren und schließen, bevor Angreifer diese ausnutzen. Dies sind die wichtigsten Funktionalitäten von Tenable Identity Exposure:

• Aufdecken von verborgenen Schwachstellen innerhalb Ihrer Active Directory-Konfigurationen
• Zugrunde liegende Probleme aufdecken, die die Sicherheit Ihres Active Directory bedrohen
• Aufschlüsseln jeder Fehlkonfiguration – auf einfache Art und Weise
• Neu: Die Funktion für Identitätsrisiko-Scoring quantifiziert das Asset-Risiko, indem sie Schwachstellen, Exposure und Identitätsberechtigungen kombiniert (mit der Artificial Intelligence and Data Science Engine von Tenable)
• Bereitstellung empfohlener Lösungen für jedes Problem
• Erstellung benutzerdefinierter Dashboards zur Verwaltung der Active Directory-Sicherheit, um Risiken zu reduzieren
• Ermitteln gefährlicher Vertrauensstellungen
• Neu: Anzeigen vereinheitlichter Identitäten aus Active Directory und Entra ID
• Erfassen jeder Änderung in Ihrem Active Directory
• Aufdecken größerer Angriffe für jede Domäne in Ihrem Active Directory
• Visualisieren jeder Bedrohung anhand einer genauen Angriffszeitleiste
• Konsolidieren der Angriffsverteilung in einer einzigen Ansicht
• Zusammenhänge zwischen Active Directory-Änderungen und bösartigen Aktivitäten nachvollziehen
• Analyse der genauen Details eines Active Directory-Angriffs
• Einsehen von MITRE ATT&CK®-Beschreibungen direkt aus den erkannten Vorfällen

Welche Active Directory-Angriffe und -Angriffstechniken werden von Tenable Identity Exposure erkannt?

Tenable Identity Exposure erkennt viele der Techniken, die bei Cyberangriffen verwendet werden, um erhöhte Berechtigungen zu erlangen und eine laterale Ausbreitung (Lateral Movement) des Angriffs zu ermöglichen, darunter Angriffe wie DCShadow, Brute Force, Password Spraying, DCSync, Golden Ticket usw.

Welche privilegierten Angriffsvektoren auf Active Directory werden von Tenable Identity Exposure identifiziert?

Tenable Identity Exposure verfügt über eine umfangreiche Bibliothek bekannter Angriffsvektoren, über die sich Angreifer Zugriffsrechte verschaffen können. Dazu zählen:

Angriffsvektor	Beschreibung	Bekannte Angriffstools	Mitre Attack Matrix
Privilegierte Konten, auf denen Kerberos-Dienste ausgeführt werden	Hochprivilegierte Konten, die einen für Brute-Force-Angriffe anfälligen Kerberos-Dienstprinzipalnamen verwenden	Kerberom	Rechteausweitung, Lateral Movement, Persistenz
Gefährliche Kerberos Delegierung	Prüfen, dass keine gefährliche Delegierung (unbeschränkt, Protokollübergang, etc.) autorisiert ist	Nishang	Rechteausweitung, Lateral Movement, Persistenz
Verwendung schwacher Kryptographie-Algorithmen in der Active Directory-PKI	Stammzertifikate, die in der internen Active Directory-PKI eingesetzt werden, dürfen keine schwachen kryptografischen Algorithmen verwenden.	ANSSI-ADCP	Persistenz, Rechteausweitung, Lateral Movement
Gefährliche Delegierung von Zugriffsrechten auf kritischen Objekten	Es wurden einige Zugriffsrechte gefunden, die es nicht autorisierten Benutzern erlauben, kritische Objekte zu kontrollieren.	BloodHound	Exfiltration, Lateral Movement, Command & Control, Zugriff auf Anmeldeinformationen, Rechtausweitung
Mehrere Probleme in der Passwortrichtlinie	Bei einigen spezifischen Konten reichen die aktuellen Passwortrichtlinien nicht aus, um einen zuverlässigen Schutz der Anmeldedaten zu gewährleisten.	Patator	Umgehung von Abwehrmaßnahmen, Lateral Movement, Zugriff auf Anmeldeinformationen, Rechtausweitung
Gefährliche RODC-Verwaltungskonten	Die administrativen Gruppen, die für schreibgeschützte Domänencontroller zuständig sind, enthalten ungewöhnliche Konten	Impacket	Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Rechtausweitung
Sensibles GPO ist mit kritischen Objekten verknüpft	Einige Gruppenrichtlinienobjekte (GPO), die von nicht-administrativen Konten verwaltet werden, sind mit sensiblen Active Directory-Objekten verknüpft (z. B. das KDC-Konto, Domänencontroller, administrative Gruppen usw.)	ANSSI-ADCP	Command & Control, Zugriff auf Anmeldeinformationen, Persistenz, Rechtausweitung
Administratorkonten, die Verbindungen zu anderen Systemen als den Domänencontrollern herstellen dürfen	Die auf der überwachten Infrastruktur eingesetzten Sicherheitsrichtlinien verhindern nicht, dass sich Administratorkonten mit anderen Ressourcen als Domänencontrollern verbinden, was zur Offenlegung sensibler Anmeldedaten führt.	CrackMapExec	Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen
Gefährliche Vertrauensstellung	Falsch konfigurierte Vertrauensstellungsattribute verringern die Sicherheit einer Verzeichnisinfrastruktur.	Kekeo	Lateral Movement, Zugriff auf Anmeldeinformationen, Rechtausweitung, Umgehung von Abwehrmaßnahmen
Umkehrbare Passwörter in GPO	Überprüfen, dass kein GPO Passwörter enthält, die in einem umkehrbaren Format gespeichert sind.	SMB-Passwort-Crawler	Zugriff auf Anmeldeinformationen, Rechtausweitung
Computer, auf denen ein veraltetes Betriebssystem läuft	Veraltete Systeme werden vom Editor nicht mehr unterstützt und erhöhen die Anfälligkeit der Infrastruktur erheblich.	Metasploit	Lateral Movement, Command & Control
Konten, die eine Zugriffssteuerung verwenden, die mit Systemen vor Windows 2000 kompatibel ist	Kontomitglied der Prä-Windows 2000-kompatiblen Zugriffsgruppe kann bestimmte Sicherheitsmaßnahmen umgehen	Impacket	Lateral Movement, Umgehung von Abwehrmaßnahmen
Lokale Administratorkonten-Verwaltung	Sicherstellen, dass lokale Administratorkonten zentral und sicher mit LAPS verwaltet werden	CrackMapExec	Umgehung von Abwehrmaßnahmen, Zugriff auf Anmeldeinformationen, Lateral Movement
Gefährliche Konfiguration für anonyme Benutzer	Anonymer Zugriff wird auf der überwachten Active Directory-Infrastruktur aktiviert, was zur Offenlegung sensibler Informationen führt	Impacket	Exfiltration
Ungewöhnliche gefilterte RODC-Attribute	Die auf einigen schreibgeschützten Domänencontrollern angewendeten Filterrichtlinien können dazu führen, dass vertrauliche Informationen zwischengespeichert werden, was eine Ausweitung von Berechtigungen ermöglicht.	Mimikatz (DCShadow)	Rechteausweitung, Umgehung von Abwehrmaßnahmen
Fehlende Einschränkungen für Lateral Movement-Angriffsszenario	Die Beschränkung von Seitwärtsbewegungen (Lateral Movement) wurde in der überwachten Active Directory-Infrastruktur nicht aktiviert, sodass Angreifer auf derselben Berechtigungsstufe von Rechner zu Rechner wechseln können.	CrackMapExec	Lateral Movement
In DC-Freigaben gespeichertes Klartext-Passwort	Einige Dateien auf DC-Freigaben, auf die jeder authentifizierte Benutzer zugreifen kann, enthalten vermutlich Klartext-Passwörter, die eine Ausweitung von Berechtigungen ermöglichen.	SMBSpider	Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz
Gefährliche Zugriffskontrollrechte für Anmeldeskripts	Einige Skripts, die während der Anmeldung eines Computers oder eines Benutzers ausgeführt werden, haben gefährliche Zugriffsrechte, die zu einer Ausweitung der Berechtigungen führen.	Metasploit	Lateral Movement, Rechteausweitung, Persistenz
Gefährliche Parameter werden im GPO verwendet	Durch Gruppenrichtlinienobjekte (GPO) werden einige gefährliche Parameter (z. B. eingeschränkte Gruppen, LM-Hash-Berechnung, NTLM-Authentifizierungsebene, sensible Parameter usw.) festgelegt, wodurch es zu Sicherheitsverletzungen kommt.	Responder	Ausforschung, Zugriff auf Anmeldeinformationen, Codeausführung, Persistenz, Rechteausweitung, Umgehung von Abwehrmaßnahmen
Gefährliche Parameter, die in der Konfiguration der Benutzerkontensteuerung definiert sind	Das Attribut „Benutzerkontensteuerung“ einiger Benutzerkonten definiert gefährliche Parameter (z.B. PASSWD_NOTREQD oder PARTIAL_SECRETS_ACCOUNT)PARTIAL_SECRETS_ ACCOUNT), die die Sicherheit des betreffenden Kontos gefährden	Mimikatz (LSADump)	Persistenz, Rechteausweitung, Umgehung von Abwehrmaßnahmen
Fehlende Anwendung von Sicherheitspatches	Für einige in Active Directory registrierte Server wurden in letzter Zeit keine Sicherheitsupdates installiert.	Metasploit	Command & Control, Rechteausweitung, Umgehung von Abwehrmaßnahmen
Versuch eines Brute-Force-Angriffs aus Benutzerkonten	Auf einige Benutzerkonten wurde ein Brute-Force-Angriff versucht.	Patator	Zugriff auf Anmeldeinformationen
Kerberos-Konfiguration auf Benutzerkonto	Einige Konten verwenden eine schwache Kerberos-Konfiguration.	Mimikatz (Silver Ticket)	Zugriff auf Anmeldeinformationen, Rechtausweitung
Ungewöhnliche Freigabe oder Datei auf dem DC gespeichert	Einige Domänencontroller dienen als Host für nicht benötigte Dateien oder Netzwerkfreigaben.	SMBSpider	Ausforschung, Exfiltration

Welche Backdooring-Techniken für Active Directory erkennt Tenable Identity Exposure?

Tenable Identity Exposure verfügt über eine umfangreiche Bibliothek bekannter Backdooring-Methoden, die Angreifer nutzen, um Persistenz zu erlangen. Dazu zählen:

Backdooring-Methode	Beschreibung	Bekannte Angriffstools	Mitre Attack Matrix
Sicherstellen der SDProp-Konsistenz	Kontrollieren, dass das adminSDHolder-Objekt in einem bereinigten Zustand ist	Mimikatz (Golden Ticket)	Rechteausweitung, Persistenz
Sicherstellen der SDProp-Konsistenz	Überprüfen, dass die primäre Gruppe der Benutzer nicht geändert wurde	BloodHound	Rechteausweitung, Persistenz
Überprüfen der Berechtigungen des Stammdomänen-Objekts	Sicherstellen, dass die für das Stammdomänen-Objekt festgelegten Berechtigungen in Ordnung sind	BloodHound	Rechteausweitung, Persistenz
Überprüfen von sensiblen GPO-Objekten und Dateiberechtigungen	Sicherstellen, dass die Berechtigungen für die GPO-Objekte und Dateien, die mit sensiblen Containern (z. B. der Organisationseinheit „Domänencontroller“) verknüpft sind, in Ordnung sind	BloodHound	Codeausführung, Rechteausweitung, Persistenz
Gefährliche Zugriffsrechte auf RODC-KDC-Konto	Das KDC-Konto, das auf einigen schreibgeschützten Domänencontrollern verwendet wird, kann von einem nicht autorisierten Benutzerkonto kontrolliert werden, was zur Offenlegung von Anmeldeinformationen führt.	Mimikatz (DCSync)	Rechteausweitung, Persistenz
Sensible Zertifikate, die Benutzerkonten zugeordnet sind	Einige X509-Zertifikate werden im Benutzerkonto-Attribut altSecurityIdentities gespeichert, wodurch sich der Besitzer des privaten Schlüssels des Zertifikats als dieser Benutzer authentifizieren kann.		Command & Control, Zugriff auf Anmeldeinformationen, Rechteausweitung, Persistenz
Nicht autorisierter Krbtgt SPN auf normalen Konto eingestellt	Der Dienstprinzipalname des KDC ist auf einem normalen Benutzerkonto vorhanden, was zur Fälschung von Kerberos-Tickets führt.	Mimikatz (Golden Ticket)	Rechteausweitung, Persistenz
Letzte Änderung des KDC-Passworts	Das Passwort für das KDC-Konto muss regelmäßig geändert werden.	Mimikatz (Golden Ticket)	Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz
Konten mit gefährlichem SID History-Attribut	Überprüfen von Benutzer- oder Computerkonten mit einer privilegierten SID im SID History-Attribut	DeathStar	Rechteausweitung, Persistenz
Nicht autorisierte Domänencontroller	Sicherstellen, dass nur legitime Domänencontroller-Server in der Active Directory-Infrastruktur registriert sind	Mimikatz (DCShadow)	Codeausführung, Umgehung von Abwehrmaßnahmen, Rechteausweitung, Persistenz
Unzulässige Zugriffssteuerung für Bitlocker-Schlüssel	Auf einige der in Active Directory gespeicherten Bitlocker-Wiederherstellungsschlüssel können andere Personen als Administratoren sowie verbundene Computer zugreifen.	ANSSI-ADCP	Zugriff auf Anmeldeinformationen, Umgehung von Abwehrmaßnahmen, Persistenz
Ungewöhnliche Einträge im Schema-Sicherheitsdeskriptor	Das Active Directory-Schema wurde modifiziert, was neue Standardzugriffsrechte oder Objekte zur Folge hat, die die überwachte Infrastruktur gefährden können.	BloodHound	Rechteausweitung, Persistenz
DSRM-Konto aktiviert	Das Active Directory-Wiederherstellungskonto wurde aktiviert, wodurch es für den Diebstahl von Anmeldeinformationen anfällig ist.	Mimikatz (LSADump)	Zugriff auf Anmeldeinformationen, Codeausführung, Umgehung von Abwehrmaßnahmen, Rechteausweitung, Persistenz
Authentifizierungs-Hash wurde bei Verwendung einer Smartcard nicht erneuert	Einige Benutzerkonten, die Smartcard-Authentifizierung verwenden, erneuern den Hash ihrer Anmeldeinformationen nicht häufig genug.	Mimikatz (LSADump)	Persistenz
Umkehrbare Passwörter für Benutzerkonten	Überprüfen, dass kein Parameter dafür sorgt, dass Kennwörter in einem umkehrbaren Format gespeichert werden	Mimikatz (DC Sync)	Zugriff auf Anmeldeinformationen
Verwendung von explizit verweigertem Zugriff für Container	Einige Active Directory-Container oder -Organisationseinheiten legen explizit verweigerten Zugriff fest, was dazu führt, dass Backdoors potenziell verborgen werden können.	BloodHound	Umgehung von Abwehrmaßnahmen, Persistenz

Wie überprüft Tenable Identity Exposure das Active Directory?

Tenable Identity Exposure ist die einzige Lösung auf dem Markt, die weder auf Domänencontrollern noch auf Endgeräten bereitgestellt werden muss. Zudem benötigt Tenable Identity Exposure für den Betrieb lediglich Berechtigungen auf Benutzerebene. Dank dieser einzigartigen Architektur können Sicherheitsteams die Konfiguration von Active Directory schnell überprüfen, ohne komplexe Bereitstellungsprobleme.

Ist Tenable Identity Exposure ein Tool für punktuelle Sicherheitsüberprüfungen für Active Directory?

Fehlkonfigurationen in AD treten ständig auf, sodass punktuelle Audits bereits nach wenigen Minuten veraltet sind und sich auf Fehlkonfigurationen konzentrieren, anstatt auch Indikatoren für eine Kompromittierung zu berücksichtigen.

Tenable Identity Exposure hingegen ist eine Sicherheitsplattform, die Ihr AD kontinuierlich auf neue Sicherheitslücken und Angriffe scannt und Benutzer in Echtzeit auf Probleme aufmerksam macht.

Kann Tenable Identity Exposure Golden Ticket-Angriffe erkennen?

Ja, Golden Ticket-Angriffe gehören zu den zahlreichen Angriffsmethoden, die Tenable Identity Exposure erkennen kann und bei deren Verhinderung Sie die Lösung unterstützt. Dank Hunderter parallel laufender Sicherheitsprüfungen und -korrelationen verfügt Tenable Identity Exposure über die größte Sicherheitsabdeckung, die für AD verfügbar ist.

Lässt sich Tenable Identity Exposure mit meinem SIEM-/SOAR-/Ticketing-System usw. integrieren?

AD-Sicherheit ist ein wichtiger Aspekt des Sicherheitsgefüges und Tenable Identity Exposure fügt sich nahtlos in Ihr Sicherheitsökosystem ein.

Unsere Syslog-Integration sorgt dafür, dass alle SIEM- und die meisten Ticketing-Systeme direkt mit Tenable Identity Exposure zusammenarbeiten können. Wir verfügen außerdem über native Apps für QRadar, Splunk und Phantom.

Ist Tenable Identity Exposure eine cloudbasierte Lösung?

Unsere Lösung unterstützt sowohl cloud-basierte als auch On-Premises-Bereitstellungen. Zwischen diesen beiden Bereitstellungsmethoden besteht kein funktionaler Unterschied.

Kann Tenable Identity Exposure für Active Directory-Bereitstellungen skaliert werden, die sich über mehrere Organisationen ionen bzw. Gesamtstrukturen erstrecken?

Einige der größten und sensibelsten Active Directorys werden bereits von Tenable Identity Exposure geschützt. Unsere Plattform wurde als Enterprise-Lösung entwickelt und ihre AD-native Architektur ohne Agents ermöglicht die Unterstützung komplexer Active Directory-Bereitstellungen, die mehrere Organisationen und Gesamtstrukturen abdecken.

Wie wird Tenable Identity Exposure lizenziert?

Tenable Identity Exposure wird pro aktiviertem Benutzerkonto lizenziert.

Erfordert Tenable Identity Exposure privilegierten Zugriff auf Active Directory, um Sicherheitslücken ausfindig zu machen und auf Angriffe zu reagieren?

Tenable Identity Exposure erfordert lediglich ein Standardbenutzerkonto, damit Konfigurationen überprüft und Angriffe auf Active Directory erkannt werden können.

Wie kann ich Tenable Identity Exposure erwerben?

Wenden Sie sich für den Kauf von Tenable Identity Exposure an Ihren lokalen zertifizierten Tenable-Partner oder kontaktieren Sie Ihren Tenable-Vertriebsmitarbeiter.

Ist eine Testversion von Tenable Identity Exposure erhältlich?

Ja, Testversionen von Tenable Identity Exposure sind verfügbar. Bitte füllen Sie das Formular zur Anforderung einer Testversion aus, um Ihre Evaluierung noch heute zu beginnen.