ITDR und ISPM: Das Beste aus beiden Welten

Auf den ersten Blick klingen Identity Threat Detection and Response (ITDR) und Identity Security Posture Management (ISPM) wie zwei Namen für dasselbe (denn eine Sache, die wir wirklich Bedarf in der Cybersicherheit sind mehr Akronyme). Obwohl sie einige Gemeinsamkeiten haben – wie ein scharfes Auge für Probleme – spielen sie jeweils eine sehr spezifische Rolle in Identitätssicherheit und lösen sehr unterschiedliche Probleme. Aber genau deshalb ergänzen sie sich so gut. In diesem Artikel erklären wir, was jeder tut, wie sie zusammenarbeiten und warum Sie diese Unterschiede nicht ignorieren dürfen.

ISPM: Proaktive Reduzierung der Angriffsfläche für Identitäten

Die Hauptfunktion von ISPM besteht darin, die Transparenz in Ihrem gesamten Identitätsinfrastruktur, einschließlich Benutzern, Ressourcen und Berechtigungen, egal ob vor Ort oder in der Cloud. Während ITDR konzentriert sich auf die Echtzeitreaktion auf anhaltende Bedrohungen und stellt sicher, dass Ihre Umgebung gar nicht erst voller ausnutzbarer Schwachstellen ist.

ISPM bewertet kontinuierlich den Zustand Ihrer Identitätsangriffsfläche Schwachstellen zu identifizieren bevor sie sind das Ziel eines tatsächlichen Angriffs. Diese Schwachstellen können Fehlkonfigurationen, übermäßige Privilegien, Fehlverhalten und unsichere Legacy-Infrastrukturen sein. Beispielsweise sind Konten, die mit uneingeschränkter Delegation konfiguriert sind, ideale Ziele für die Ausweitung von Privilegien – etwas, woran Angreifer immer interessiert sind, da es ihnen ermöglicht, Erwerben Sie Berechtigungen auf höherer EbeneISPM kann jedoch solche Fehlkonfigurationen erkennen und das Identitätsteam benachrichtigen, sodass dieses die Möglichkeit hat, das Problem zu beheben oder zumindest einzudämmen, bevor Angriffe gestartet werden.

ITDR: Laufende Angriffe erkennen

ITDR ist eine Sicherheitslösung, die speziell für die Erkennung und Reaktion auf identitätsbezogene TTPs (Taktiken, Techniken und Verfahren, wie definiert durch MITRE ATT & CK) mit dem Ziel, Zugang zu Anmeldeinformationen, Rechteausweitung oder laterale Bewegung zu erlangen. Angreifer nutzen beispielsweise häufig kompromittierte Zugangsdaten um sich ersten Zugang zu einer Umgebung zu verschaffen, sich seitlich zu bewegen und Ransomware zu verbreiten. Es ist ITDRs Aufgabe, diesen Fluss zu erkennen, während er im Gange ist, und ihn, was entscheidend ist, zu stoppen, bevor zu viel Schaden angerichtet wird. Denken Sie an ITDR als Identitätswächter, der alle Authentifizierungen und Zugriffsversuche in Echtzeit genau überwacht, um potenziell bösartige Präsenz und Aktivitäten zu erkennen, wie etwa Versuche, von nicht autorisierten Standorten aus auf vertrauliche Ressourcen zuzugreifen. Wenn eine Bedrohung erkannt wird, sollte ITDR eine Reaktion auslösen – etwa das Sicherheitsteam alarmieren oder, noch besser, die betroffenen Konten sperren – und weitere Untersuchungen ermöglichen.

ITDR und ISPM: Gemeinsam besser

ITDR und ISPM sind zwei Seiten derselben Medaille: Milderung und Behebung. Daher funktionieren sie am besten, wenn sie kombiniert werden. ISPM überwacht und härtet Ihre Identitätsinfrastruktur kontinuierlich, um Ihre Angriffsfläche, während ITDR aktive Bedrohungen erkennt und darauf reagiert.

So arbeiten sie zusammen und deshalb benötigen Sie beide:

ITDRISPM
Erkennung von anormalem Verhalten: Alle Benutzer sollten über ein individuelles Verhaltensprofil und einen Risikowert verfügen, sodass ITDR möglicherweise kompromittierte Konten aufgrund von Abweichungen vom normalen Verhalten identifizieren kann.Sichtbarkeit und Inventar: ISPM bietet Einblick in die Organisation Identitätsangriff Oberfläche, führt ein detailliertes Inventar aller Benutzer und stellt diese Daten für weitere Erkundungen und Untersuchungen zur Verfügung.
Erkennung von TTPs: ITDR kann TTPs erkennen, darunter Kerberasting, Pass-the-Hash, Pass-the-Ticket, Brute Force, Credential Scanning, Lateral Movement und mehr.Risikoanalyse und -behebung: ISPM analysiert, klassifiziert und priorisiert Risiken und bietet Empfehlungen zur Korrektur und Verbesserung der Körperhaltung.
Untersuchung und Reaktion: Wenn ein Benutzer verdächtiges Verhalten zeigt, kann ITDR automatisierte Reaktionsverfahren einleiten, z. B. den Zugriff des Benutzers blockieren oder kompromittierte Benutzer oder Ressourcen unter Quarantäne stellen, bis eine Untersuchung abgeschlossen ist. Wenn beispielsweise ein Endpunkt angegriffen wird, kann ITDR feststellen, wer sich angemeldet hat und welche Ressourcen verwendet wurden.Identitätshygiene: Durch ISPM erhält ein Unternehmen einen 360-Grad-Überblick über seine Leistung in Bezug auf Identitätssicherheit. ISPM verwendet normalerweise ein Bewertungssystem, um Organisationen mitzuteilen, wo sie stehen. Wenn Probleme gelöst werden, steigt der ISPM-Score.

Von der Theorie zur Praxis: Beispiele aus der Praxis

Dies ist nicht nur eine Theorie. Leider gibt es viel zu viele Beispiele aus der Praxis, die verdeutlichen, warum Sie sowohl ITDR als auch ISPM benötigen.

Beim Snowflake-Angriff im Jahr 2024 nutzten Angreifer beispielsweise kompromittierte Anmeldeinformationen, um Zugriff auf kritische Daten zu erhalten (mehr über diesen Angriff finden Sie hier). HIER.) ISPM hätte hier eine wichtige präventive Rolle spielen können. Die Untersuchung ergab einen gravierenden Mangel an MFA – eine wesentliche Schwachstelle, die vom ISPM hätte erkannt und durch strengere Zugriffskontrollen hätte abgemildert werden können, bevor sie zum Problem wurde. Wäre es den Angreifern dennoch gelungen, Zugriff auf ihre Systeme zu erhalten, hätte ITDR dies wahrscheinlich viel früher erkannt und ihren Sicherheitsteams einen Vorsprung verschafft.

Ähnlich, die 2023 MOVEit: Sicherheitslücke bei unsachgemäßer Authentifizierung führte zur Umgehung der Authentifizierung und betraf zahlreiche Organisationen, darunter auch Regierungsbehörden, die den MOVEit-Dateitransfer nutzten. Obwohl ITDR und ISPM den anfänglichen Zugriff nicht unbedingt verhindert hätten, hätten sie die verdächtige Aktivität erkennen und ihre Auswirkungen deutlich reduzieren können. Wenn Angreifer beispielsweise versucht hätten, sich außerhalb der Geschäftszeiten oder von unbekannten Standorten aus seitlich zu bewegen oder mit Systemen oder Daten zu interagieren, hätte ITDR dies erkennen können. ISPM hingegen bewertet die Umgebung kontinuierlich, um Fehlkonfigurationen und Fehler zu identifizieren, wie – wie in diesem Fall – eine Anwendung wie MOVEit ohne zusätzliche Kontrollen für nicht autorisierte Benutzer zugänglich zu machen.

Abschließende Überlegungen

ITDR und ISPM funktionieren am besten als vereinte Kraft. ISPM stärkt Ihre Identitätssicherheitsposition und macht Sie auf Ihre Identitätsschwächen aufmerksam, bevor potenzielle Angreifer sie erkennen, und ITDR gibt Ihnen die Möglichkeit, mit Identitätsbedrohungen während sie sich entwickeln. Durch die Zusammenarbeit schließen sie nicht nur einzelne Lücken – sie ergänzen die fehlenden Teile, um einen einheitlichen Ansatz für die Identitätssicherheit zu erreichen.

Stoppen Sie Identitätsbedrohungen jetzt