>_AYSOLI SECURITY HUB
THREAT AREA

Privileged Admin Access

Admin-Accounts sind der heilige Gral für Angreifer. Ihre Absicherung hat oberste Priorität, da ein einziger kompromittierter Admin-Account die vollständige Kontrolle über die Organisation bedeuten kann.

Deine Strategie

Vermeide dauerhafte Admin-Rechte ("Standing Privileges"). Nutze PIM für JIT-Zugriff und stelle sicher, dass administrative Aufgaben nur von gehärteten Geräten (PAW) aus durchgeführt werden.

Best Practices

  • Isolation: Nutze separate Accounts für Admin-Aufgaben (kein E-Mail/Surfen mit Admin-Rechten).
  • Härtung: Nutze PowerShell Constrained Language Mode auf allen Admin-Endpunkten.
  • Identität: Erzwinge FIDO2 (Sicherheitsschlüssel) für alle Tier-0 Administratoren.

STRIDE-LM Design-Risiken

SpoofingS-ADM-01

Privileged Session Hijacking

Übernahme einer aktiven Administrator-Sitzung.

TamperingT-ADM-01

Admin Tool Misuse

Missbrauch legitimer Admin-Tools für schädliche Zwecke.

RepudiationR-ADM-01

Audit Log Erasure

Gezieltes Löschen von Spuren administrativer Aktionen.

Information DisclosureI-01

Sensitive Data Exposure

Unbeabsichtigte Offenlegung von internen Informationen an Externe.

Denial of ServiceD-ADM-01

Global Admin Lockout

Aussperren aller legitimen Administratoren.

Elevation of PrivilegeE-01

Privilege Escalation

Erlangung von Rechten, die über das vorgesehene Mass hinausgehen.

Lateral MovementL-01

Lateral Movement

Zugriff auf weitere interne Systeme nach erstem Login.

Monitoring GapsM-ADM-01

Stealthy Persistence

Unbemerkte Hintertüren durch Admin-Rechte.

MITRE ATT&CK® Techniken

Initial Access
T1078

Valid Accounts

ATT&CK

Ausnutzung bestehender Anmeldedaten für den Zugriff.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
FIDO2 EnforcementGrundschutzMittel
CIS: 6.5NIST: PR.AC-7OWASP: A07:2021
Conditional Access PoliciesGrundschutzMittel
CIS: 6.1NIST: PR.AC-7OWASP: API2
MFA for Windows Sign-inErweiterter SchutzMittel
CIS: 6.5NIST: PR.AC-7
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Execution
T1059-001

PowerShell

ATT&CK

Nutzung von PowerShell zur Ausführung schädlicher Befehle auf Admin-Systemen.

Mitigiert durch
PowerShell Constrained Language ModeErweiterter SchutzMittel
CIS: 2.1NIST: PR.PT-1
Persistence
T1098

Account Manipulation

ATT&CK

Ändern von Berechtigungen oder Erstellen neuer Konten.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
T1484

Domain Policy Modification

ATT&CK

Ändern von Domänen-Richtlinien zur Rechteausweitung.

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Break-Glass AccountsGrundschutzNiedrig
CIS: 6.5NIST: PR.IP-4
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Privilege Escalation
T1548

Abuse Elevation Control Mechanism

ATT&CK

Umgehung von Mechanismen zur Rechteausweitung (z.B. UAC).

Mitigiert durch
Privileged Identity Management (PIM)GrundschutzMittel
CIS: 6.2NIST: PR.AC-1OWASP: A01:2021
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Defense Evasion
T1070

Indicator Removal

ATT&CK

Gezieltes Löschen von Logs und Beweisen zur Verschleierung eines Angriffs.

Mitigiert durch
PowerShell Constrained Language ModeErweiterter SchutzMittel
CIS: 2.1NIST: PR.PT-1
Incident Response Playbook (Admin-Kompromittierung)GrundschutzMittel
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1NIST: RC.RP-1
Credential Access
T1003

OS Credential Dumping

ATT&CK

Extrahieren von Anmeldedaten aus dem Betriebssystem.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
MFA for Windows Sign-inErweiterter SchutzMittel
CIS: 6.5NIST: PR.AC-7
Incident Response Playbook (Admin-Kompromittierung)GrundschutzMittel
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1NIST: RC.RP-1
T1556

Modify Authentication Process

ATT&CK

Manipulation des Authentifizierungs-Workflows.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
MFA for Windows Sign-inErweiterter SchutzMittel
CIS: 6.5NIST: PR.AC-7
Incident Response Playbook (Admin-Kompromittierung)GrundschutzMittel
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1NIST: RC.RP-1
T1558

Steal or Forge Kerberos Tickets

ATT&CK

Manipulation von Kerberos-Tickets zur Umgehung der Authentifizierung.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
Incident Response Playbook (Admin-Kompromittierung)GrundschutzMittel
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1NIST: RC.RP-1
T1557

Adversary-in-the-Middle

ATT&CK

Abfangen von Kommunikation zwischen zwei Parteien.

Mitigiert durch
Privileged Access Workstation (PAW)Erweiterter SchutzHoch
CIS: 6.4NIST: PR.AC-3
T1528

Steal Application Access Token

ATT&CK

Diebstahl von Tokens zur Umgehung der Authentifizierung.

Mitigiert durch
Centralized Secrets VaultingErweiterter SchutzMittel
CIS: 6.12NIST: PR.DS-1
Discovery
T1087

Account Discovery

ATT&CK

Aufzählung interner Konten und Gruppenstrukturen nach erstem Zugriff.

Mitigiert durch
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
T1580

Shadow IT Asset Discovery

ATT&CK

Finden von unmanaged Ressourcen im Netzwerk.

Mitigiert durch
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Lateral Movement
T1021

Remote Services

ATT&CK

Nutzung legitimer Remote-Dienste für laterale Bewegung im Netzwerk.

Mitigiert durch
Tiered Administration ModelErweiterter SchutzHoch
CIS: 6.2NIST: PR.AC-6OWASP: A01:2021
Exfiltration
T1567

Exfiltration Over Web Service

ATT&CK

Abfluss von Daten über legitime Web-Schnittstellen.

Mitigiert durch
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Impact
T1531

Account Access Removal

ATT&CK

Entfernen des Zugriffs für legitime Benutzer.

Mitigiert durch
Break-Glass AccountsGrundschutzNiedrig
CIS: 6.5NIST: PR.IP-4
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
T1485

Data Destruction

ATT&CK

Unwiederbringliches Löschen von Unternehmensdaten.

Mitigiert durch
Break-Glass AccountsGrundschutzNiedrig
CIS: 6.5NIST: PR.IP-4
SIEM IntegrationErweiterter SchutzHoch
CIS: 8.5NIST: DE.AE-3NIST: DE.CM-1OWASP: A09:2021
Incident Response Playbook (Admin-Kompromittierung)GrundschutzMittel
CIS: 17.3CIS: 17.4NIST: RS.MA-1NIST: RS.AN-1NIST: RC.RP-1

Dein Szenario ist komplexer?

Die AYSOLI Experten unterstützen dich bei der Umsetzung deiner spezifischen Sicherheitsanforderungen.

Kostenloses Erstgespräch