Tenable Identity Exposure On-Premise – Versionshinweise 2024

• Secure Relay – Einführung eines neuen Modus zur Übertragung Ihrer Active Directory-Daten aus Ihrem Netzwerk an Tenable Identity Exposure, bei dem TLS (Transport Layer Security) anstelle von AMQP (Advanced Message Queuing Protocol) verwendet wird. Weitere Informationen finden Sie unter Upgrade to Use Secure Relay im Installationshandbuch und unter Relay konfigurieren im Administratorhandbuch.

  • Warnmeldungen und Authentifizierung – Das Secure Relay unterstützt Syslog- und SMTP-Warnmeldungen. Weitere Informationen finden Sie unter Secure Relay im Tenable Identity Exposure-Administratorhandbuch.

    • Authentifizierung – Sie können die LDAP-Authentifizierung konfigurieren, indem Sie ein Secure Relay auswählen. Dieses Relay stellt eine Verbindung zu Ihrem LDAP-Server her, um den Benutzer zu authentifizieren.

    • Warnungen – Die Syslog- und SMTP-Warnungsfunktion kann Warnungen über ein Secure Relay an private Server senden. Beim Erstellen einer Warnmeldung werden Sie von der Secure Relay-Plattform zur Auswahl eines Relay aufgefordert. Sie können Relays einrichten und diese entweder für Domänenüberwachung und -warnungen oder für beides verwenden.

      Wenn Sie Secure Relay verwenden und Warnungen vorliegen, weist das Tenable Identity Exposure 3.45-Update diesen automatisch ein Relay zu, um die Servicekontinuität zu gewährleisten. Sie können dieses Relay aus Gründen bearbeiten, die mit Ihren Relay-VM-Netzwerkregeln oder Ihren Präferenzen zusammenhängen.

  • Unterstützung für Standardauthentifizierung und nicht authentifizierten HTTP-Proxy – Die Relay-Funktion unterstützt auch einen HTTP-Proxy mit Standardauthentifizierung oder ohne Authentifizierung, wenn das Netzwerk einen Proxy-Server benötigt, um den Directory Listener-Server zu erreichen. Weitere Informationen finden Sie unter Secure Relay im Tenable Identity Exposure-Administratorhandbuch.

• Unterstützung von Entra ID – Mit dieser Funktion wird der Anwendungsbereich von Tenable Identity Exposure erweitert, sodass nun zusätzlich zu Active Directory auch Microsoft Entra ID (ehemals Azure AD) unterstützt wird. Um Schwachstellen in Entra ID zu identifizieren, sind jetzt die folgenden neuen Indicators of Exposure (IoEs) verfügbar, die speziell auf Entra ID ausgerichtet sind:

  • Bekannte Verbund-Backdoor – Ein Microsoft Entra-Mandant kann einen Verbund mit einer externen Domäne einrichten, um zu Authentifizierungs- und Autorisierungszwecken eine Vertrauensbeziehung zu einer anderen Domäne herzustellen. Organisationen nutzen die Verbundfunktion, um die Authentifizierung für Active Directory-Benutzer an ihre On-Premises-Active Directory Federation Services (AD FS) zu delegieren. (Hinweis: Die externe Domäne ist keine Active Directory-„Domäne“.) Wenn sich jedoch böswillige Akteure erhöhte Rechte in Microsoft Entra ID verschaffen, können sie diesen Verbundmechanismus missbrauchen, um eine Backdoor zu erstellen. Hierzu fügen sie ihre eigene Verbunddomäne hinzu oder bearbeiten eine vorhandene Verbunddomäne, um eine zweite Konfiguration mit ihren eigenen Einstellungen hinzufügen.

  • Erstanbieter-Dienstprinzipal mit Anmeldeinformationen – Erstanbieter-Dienstprinzipale (Unternehmensanwendungen) stammen aus Anwendungen (Anwendungsregistrierungen), die Microsoft gehören. Die meisten haben sensible Berechtigungen in Microsoft Entra ID, die bei Sicherheitsprüfungen oft übersehen werden. Dadurch können Angreifer ihnen Anmeldeinformationen hinzufügen, um unbemerkt von ihren Berechtigungen zu profitieren.

  • Mit AD (Hybrid) synchronisiertes privilegiertes Entra-Konto – Prüft auf hybride Konten, insbesondere auf solche, die über Active Directory synchronisiert werden und privilegierte Rollen in Entra ID haben. Diese Konten stellen ein Sicherheitsrisiko dar, da sie Angreifern, die AD kompromittieren, einen Wechsel zu Entra ID ermöglichen. Privilegierte Konten in Entra ID müssen reine Cloudkonten sein.

  • Gefährliche API-Berechtigungen, die den Mandanten betreffen – Bestimmte Berechtigungen für einige Microsoft-APIs können eine ernste Bedrohung für den gesamten Microsoft Entra-Mandanten darstellen, weil ein Dienstprinzipal mit diesen Berechtigungen über viel Macht verfügt, zugleich jedoch diskreter ist als ein Benutzer mit einer mächtigen Administratorrolle wie z. B. „Globaler Administrator“. Ein Missbrauch dieser Situation kann es einem Angreifer ermöglichen, die Multifaktor-Authentifizierung (MFA) zu umgehen und sich dem Zurücksetzen von Benutzerpasswörtern zu widersetzen.

  • Fehlende MFA für privilegiertes Konto – Multifaktor-Authentifizierung (MFA) bietet Konten starken Schutz vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten, für die keine MFA-Methode registriert wurde, können nicht von ihr profitieren. Dieser IoE warnt Sie, wenn ein privilegiertes Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen, ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar.

  • Fehlende MFA für nicht-privilegiertes Konto – Multifaktor-Authentifizierung (MFA) bietet Konten starken Schutz vor schwachen oder gehackten Passwörtern. Best Practices und Standards für Sicherheit empfehlen die Aktivierung von MFA, selbst für nicht-privilegierte Konten. Konten, für die keine MFA-Methode registriert wurde, können nicht von ihr profitieren. Dieser IoE warnt Sie, wenn ein nicht privilegiertes Konto keine registrierte MFA-Methode hat oder wenn Sie MFA erzwingen, ohne eine Methode zu registrieren. Letzteres kann Angreifern mit einem Passwort erlauben, ihre eigenen MFA-Methoden zu registrieren, und stellt ein Sicherheitsrisiko dar.

  • Hohe Anzahl von Administratoren – Administratoren haben definitionsgemäß erhöhte Rechte. Wenn es sehr viele von ihnen gibt, können sie ein Sicherheitsrisiko darstellen, da dies die Angriffsoberfläche vergrößert, weil eine höhere Wahrscheinlichkeit besteht, dass einer von ihnen kompromittiert wird. Dies ist auch ein Zeichen, dass das Prinzip der geringsten Berechtigungen (Least-Privilege) nicht respektiert wird.

• Neue Indicators of Attack (IoA)

  • DC-Passwortänderung – Im Zusammenhang mit Zerologon konzentriert sich dieser IoA auf eine bestimmte Aktivität nach einer Ausnutzung, die Angreifer häufig im Zusammenhang mit der Netlogon-Schwachstelle verwenden: die Änderung des Passworts des Domänencontroller-Computerkontos. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.

  • Zerologon – Erkennt einen Fehler im Netlogon-Authentifizierungsprozess, der darauf hinweist, dass Angreifer versuchen, die Zerologon-Schwachstelle auszunutzen, um Privilegien für die Domäne zu erlangen. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.

  • Extrahierung des Domänensicherungsschlüssels – Erkennt eine Vielzahl von Angriffstools, die mithilfe von LSA RPC-Aufrufen auf Sicherungsschlüssel zugreifen. Weitere Informationen finden Sie im Tenable Identity Exposure – Referenzhandbuch zu Indicators of Attack.

• Indicators of Exposure (IoE)

  • Neue IoEs:

  • Unsichere dynamische Updates von DNS-Zonen zulässig – Identifiziert eine unsichere Konfiguration von dynamischen Updates von DNS-Zonen, die dazu führen kann, dass DNS-Einträge von nicht authentifizierten Benutzern bearbeitet werden können, was sie anfällig für Rogue-DNS-Einträge macht.

  • Integrität von Eigenschaftssätzen – Prüft, ob Fehlkonfigurationen oder Backdoors von böswilligen Akteuren in Eigenschaftssätzen und deren Attributen innerhalb des AD-Schemas vorhanden sind. Obwohl derzeit keine öffentlichen Angriffsvektoren im Zusammenhang mit der Verwendung von Eigenschaftssätzen bekannt sind, konzentriert sich dieser IoE in erster Linie auf die Identifizierung von Fehlkonfigurationen oder Auffälligkeiten, die aus Drittanbieterprodukten stammen, die diese Funktion nutzen.

  • Gefährliche WSUS-Fehlkonfigurationen – Überprüft Windows Server Update Services (WSUS) – ein Microsoft-Produkt, das Windows-Updates auf Arbeitsstationen und Servern bereitstellt – auf falsch konfigurierte Einstellungen, die dazu führen können, dass die Berechtigungen eines Standardkontos auf Administratorrechte hochgestuft werden.

  • Erkennung von Passwortschwächen – Überprüft auf starke Passwörter, um die Sicherheit der Active Directory-Authentifizierung zu gewährleisten. Schwache Passwörter sind auf Faktoren wie unzureichende Komplexität, veraltete Hashing-Algorithmen, gemeinsam genutzte Passwörter und Exposition in geleakten Datenbanken zurückzuführen. Angreifer nutzen diese Schwächen aus, um Konten zu imitieren, insbesondere privilegierte Konten, sodass sie unbefugten Zugriff innerhalb von Active Directory erlangen.

  • DFS-Fehlkonfiguration – Überprüft, ob SYSVOL die verteilte Dateisystemreplikation (Distributed File System Replication, DFSR) verwendet, einen Mechanismus, der als Ersatz für den Dateireplikationsdienst (File Replication Service, FRS) eingeführt wurde, um Robustheit, Skalierbarkeit und Replikationsleistung zu verbessern.

  • Ausschlüsse abweichender Objekte – Tenable Identity Exposure erlaubt Ausschlüsse für abweichende Objekte in ausgewählten IoEs, einschließlich:

    • Gruppe: Login-Beschränkungen für privilegierte Benutzer

    • Betriebssystem: Computer, auf denen ein veraltetes Betriebssystem ausgeführt wird

    • Organisationseinheit: Login-Beschränkungen für privilegierte Benutzer, Computer mit veraltetem Betriebssystem, Anwendung von schwachen Passwortrichtlinien auf Benutzer, Inaktive Konten, Benutzerkonto mit altem Passwort

  • IoE-Analyse – On-Premises-Benutzer können jetzt die IoE-Analyse im standardmäßigen Tenable-Sicherheitsprofil deaktivieren, um die Ressourcennutzung zu reduzieren und eine niedrige Latenz bei der Sicherheitsanalyse zu erzielen. Um dies zu implementieren, setzen Sie die Umgebungsvariable ALSID_CASSIOPEIA_CYGNI_Application__IOE__IgnoreDefaultProfile im Security Engine Node (SEN) auf true und starten den Cygni-Dienst neu.

• Reporting Center – Diese Funktion bietet eine Möglichkeit, wichtige Daten mithilfe eines optimierten Berichtserstellungsprozesses als Berichte an wichtige Stakeholder in einer Organisation zu exportieren. Weitere Informationen finden Sie unter Reporting Center im Tenable Identity Exposure-Administratorhandbuch.

• Dashboard-Vorlagen – Mit gebrauchsfertigen Vorlagen können Sie sich auf die vorrangigen Themen konzentrieren, die Ihr Unternehmen betreffen, z. B. Compliance, Risiko, Passwortverwaltung und Benutzer-/Administratorüberwachung. Weitere Informationen finden Sie unter Dashboards im Tenable Identity Exposure-Benutzerhandbuch.

• Funktionen zur Prüfung der Plattformintegrität – Tenable Identity Exposure listet die durchgeführten Prüfungen der Plattformintegrität in einer konsolidierten Ansicht auf, damit Sie Konfigurationsanomalien umgehend untersuchen und beheben können. Weitere Informationen finden Sie unter Integritätsprüfungen im Tenable Identity Exposure-Administratorhandbuch.

• Onboarding – Zur Verbesserung der Sicherheit erfordert der Onboarding-Prozess nun, dass Benutzer die für die Erstanmeldung bereitgestellten Standardanmeldeinformationen ändern, wenn sie sich zum ersten Mal einloggen. In Tenable Identity Exposure wurden auch die Regeln für neue Passwörter verbessert.

• Skalierbarkeit – In Tenable Identity Exposure wurde die Leistung von Indicators of Attack auf der Serviceseite verbessert, um relevante Ereignisse für eine bessere IoA-Genauigkeit und -Latenz in größerem Umfang zu verarbeiten. Weitere Informationen finden Sie unter Scale Tenable Identity Exposure Services im Tenable Identity Exposure-Installationshandbuch.

• Trail Flow

  • Tenable Identity Exposure empfängt Ereignisse von Active Directory umgehend, sobald Änderungen vorgenommen werden. Bei sehr häufigen Änderungen in großen Gruppen wird jedoch eine 10-minütige Verzögerung angewendet, um Ereignisse zu aggregieren, bevor der Rest des Systems benachrichtigt wird, wodurch Leistungsprobleme vermieden werden.

  • Trail Flow-Ereignisse können jetzt sowohl nach Datum als auch nach Uhrzeit gefiltert werden.

Tenable Identity Exposure Version 3.59.4 enthält alle Fehlerkorrekturen seit Version 3.42.

Tenable Identity Exposure On-Premise-Version 3.59.4 bietet erhebliche Erweiterungen zum Schutz Ihrer Active Directory-Infrastruktur. Diese Version enthält Aktualisierungen für bestimmte Abhängigkeiten, um der Softwaresicherheit Priorität einzuräumen und aktuelle Komponenten für verbesserten Schutz sicherzustellen. Die Komponenten sind:

• Storage Manager (SM)

• Security Engine Node (SEN)

• Directory Listener (DL)

Softwarename	Komponente	Version vor dem Upgrade	Version nach dem Upgrade
Tenable Identity Exposure		3.42	3.59
C++ 2015–2019 Redistributable	Alle (unverändert)	14.24.28127.4	14.24.28127.4
.NET Windows Server Hosting	SEN, DL	6.0.22.23424	6.0.27
.NET Runtime	SEN, DL	6.0.22.32824	6.0.27
ASP.NET Core	SEN, DL	6.0.22.23424	6.0.27
IIS URL Rewrite Module 2	SEN (unverändert)	7.2.1993	7.21993
Application Request Routing 3.0	SEN (unverändert)	3.0.05311	3.0.05311
NodeJS	SM, SEN	18.18.0	18.19.0
Erlang OTP	SEN	26.1.1	26.2.2
Rabbit MQ	SEN	3.12.6	3.12.12
SQL Server	SM	15.0.4322.2	15.0.4335.1