Die 5 wichtigsten Bewertungskriterien für die Auswahl des richtigen ITDR-Tools 

Heim » Blog » Die 5 wichtigsten Bewertungskriterien für die Auswahl des richtigen ITDR-Tools 

Identität hat heute höchste Priorität für Sicherheitsentscheider. Die Notwendigkeit, böswillige TTPs wie Anmeldedatenzugriff, Privilegieneskalation usw. zu überwinden seitliche Bewegung, war noch nie so dringend. Wenn bei über 80 % der Verstöße kompromittierte Anmeldedaten zum Einsatz kommen und Ransomware-Angriffe selbst die größten Unternehmen lahmlegen, ist dies der Preis für Vernachlässigung Identitätssicherheit ist unerschwinglich.   

Dieser Sachverhalt hat zur Entstehung einer Produktkategorie geführt, die speziell für den Schutz der Identitätsangriffsfläche entwickelt wurde: Erkennung und Reaktion auf Identitätsbedrohungen (ITDR). Die Einführung einer neuen Kategorie bringt jedoch zwangsläufig eine Phase der Verwirrung für Käufer mit sich, in der Identitätssicherheitsteams herausfinden müssen, welche ITDR-Funktionen obligatorisch und welche „nice to have“ sind.  

Dieser Artikel unterstützt Organisationen auf diesem Weg, indem er die fünf wichtigsten Bewertungskriterien bereitstellt, um zu beurteilen, wie gut eine ITDR-Lösung ihre Versprechen halten kann.   

Bewertungskriterium Nr. 1: Die Breite und Tiefe der Berichterstattung  

Die Identitätsangriffsfläche ist äußerst heterogen und besteht aus mehreren Komponenten. Wir können diese in die folgenden Gruppen einteilen: 

Ressourcen 

Die lokale Umgebung umfasst Workstations und Server, IT-Infrastruktur, Datenbanken und Legacy-Apps. Einige virtuelle Maschinen werden auf Rechenzentrumsservern verwaltet, während sich virtuelle IaaS-Maschinen in der öffentlichen Cloud befinden. Hinzu kommen unternehmenseigene SaaS- und Web-Apps für Speicherung, E-Mail und andere Zwecke. 

Protokolle und Zugriffsmethoden 

Active Directory verwendet Protokolle wie NTLM, Kerberosund LDAP zur Verwaltung des Zugriffs auf Server, Workstations und andere lokale Ressourcen. Dieser Zugriff erfolgt auf verschiedene Arten – über die Befehlszeile, RDP und dedizierte Fernzugriffstools (Teamviewer und ähnliche). Der VPN-Fernzugriff erfolgt normalerweise über RADIUS, während Verbundserver und Cloud-IdPs SAML, OpenID und OAuthor verwenden, um über die Webbrowser der Benutzer auf SaaS-Apps zuzugreifen.  

Benutzerkonten  

Darüber hinaus gibt es verschiedene Arten von Benutzern: Standardbenutzer, privilegierte Benutzer, menschliche Benutzer und nichtmenschliche Benutzer. Einige sind einfacher zu erkennen und zu überwachen, während andere eine größere Herausforderung darstellen. Ein prominentes Beispiel sind nichtmenschliche Identitäten (Non-Human Identities, NHI) wie z Dienstkonten in Active Directory Umgebungen, die extrem schwer zu lokalisieren und zu kartieren sind.  

Eine ITDR-Lösung muss in der Lage sein, ihre Fähigkeiten auf alle Benutzer, Ressourcen und Zugriffsmethoden in der Hybridumgebung anzuwenden.  

Warum spielt es eine Rolle? 

Um eine Angriffsfläche wirklich zu schützen, müssen Sie sie vollständig und ohne tote Winkel schützen. Wenn nur ein Teil davon geschützt wird, bleibt den Angreifern einfach der Weg frei, stattdessen den ungeschützten Teil ins Visier zu nehmen. Aus diesem Grund erfolgen beispielsweise Lateral Movement und Ransomware-Verbreitung meist über den Befehlszeilenzugriff (z. B PsExec, PowerShell und WMI-Tools) statt mit RDP. Während letzteres normalerweise mit geschützt ist MFA, ersteres unterstützt es nicht. Die Sicherung einer einzelnen Zugriffsmethode auf einen Server ist kein ausreichender Schutz, wenn es andere ungesicherte Zugriffspunkte gibt.  

Bewertungskriterium Nr. 2: Möglichst zeitnah  

ITDR-Lösungen analysieren Benutzerauthentifizierungen und Zugriffsversuche, um potenzielle Bedrohungen aufzudecken. Echtzeitanalysen bieten dem ITDR Einblick in jede Beglaubigung von der Initiierungs- und Überprüfungsphase bis hin zum tatsächlichen Abschluss und Zugriff. Die Alternative besteht darin, das Authentifizierungsprotokoll zu analysieren, nachdem der Zugriffsversuch genehmigt oder abgelehnt wurde.  

Warum spielt es eine Rolle? 

Der Zweck von ITDR besteht darin, vermutete böswillige Aktivitäten zu erkennen. Je näher diese Analyse am Echtzeit-Authentifizierungsereignis liegt, desto höher sind die Chancen, böswillige Zugriffe zu erkennen, bevor sie zu einer tatsächlichen Bedrohung werden können. Darüber hinaus gibt es verschiedene Anomalien, die erst bei der eigentlichen Authentifizierung erkannt werden können; Dies wäre ein blinder Fleck für ITDR-Lösungen, die auf rückwirkender Protokollanalyse basieren. 

Bewertungskriterium Nr. 3: Mehrschichtige Erkennungsmaschine 

Die Erkennung bösartiger Aktivitäten beruht auf der Erkennung von Anomalien, die vom standardmäßigen legitimen Verhalten abweichen. Dabei handelt es sich jedoch nicht um ein Nullsummenspiel, und obwohl einige Anomalien eindeutig mit böswilligen Aktivitäten in Zusammenhang stehen, können die meisten auch aus anderen Gründen auftreten, die nichts damit zu tun haben. Der Einsatz einer Risiko-Engine, die verschiedene Arten von Anomalien erkennen kann, kann die Genauigkeit erhöhen und das Risiko falsch positiver Ergebnisse verringern. Zu den Anomalien, nach denen ein ITDR normalerweise suchen sollte, gehören: 

Protokollanomalien 

Diese Anomalien resultieren aus Angriffstechniken, die Schwachstellen in Authentifizierungsprotokollen ausnutzen, um sich böswilligen Zugriff zu verschaffen – das Ticket weiterzugeben, den Hash weiterzugeben usw. Diese Anomalien werden Protokollanomalien genannt, weil sie eine Änderung des Authentifizierungsprozesses beinhalten.  

Verhaltensanomalien 

Diese Anomalien treten als Folge der seitlichen Bewegungsaktivität auf. Lateral Movement ist von Natur aus eine opportunistische Aktivität, bei der der Gegner von Maschine zu Maschine springt, um nach gespeicherten Benutzern und Maschinen zu suchen, die ihm beim Erreichen seines Ziels helfen könnten. Beispielsweise würde ein Angreifer, der auf dem Patienten-Null-Computer gelandet ist, diesen als Ausgangspunkt nutzen, um nacheinander auf andere zuzugreifen und nach gespeicherten Administratoranmeldeinformationen oder dem Computernamen eines kritischen Servers zu suchen. Diese Art der Suche und Bewegung unterscheidet sich stark vom standardmäßigen legitimen Benutzerzugriff. 

Benutzeranomalien  

Jeder Benutzer hat seine eigene Grundlinie für den Ressourcenzugriff. Dies gilt insbesondere für nichtmenschliche Identitäten wie AD-Dienstkonten, gilt aber auch für die meisten menschlichen Benutzer. Mit Ausnahme von Helpdesk- und IT-Administratoren, die zur Fehlerbehebung Zugriff auf mehrere Computer benötigen, verfügen die meisten Benutzer über einen definierten Satz an Ressourcen, auf die sie im Rahmen ihrer Arbeitsroutine zugreifen. Sobald ein Angreifer ein Benutzerkonto kompromittiert, um laterale Bewegungen durchzuführen, besteht eine hohe Wahrscheinlichkeit, dass er versucht, auf Ressourcen zuzugreifen, auf die dieser Benutzer noch nie zuvor zugegriffen hat. 

Warum spielt es eine Rolle? 

Während jede Anomalie für sich genommen einen Prozentsatz falsch positiver Ergebnisse mit sich bringt, ist der Schnittpunkt zwischen ihnen wesentlich zuverlässiger. Hier ist ein Beispiel: 

Der Benutzer Bob greift auf eine Ressource zu, auf die er noch nie zuvor zugegriffen hatte. Bedeutet das, dass Bob kompromittiert ist? Nicht unbedingt. Solche naiven Anomalien treten auch im Rahmen der legitimen Aktivitäten jedes Benutzers auf. Nehmen wir nun an, dass die Authentifizierung, die Bob für den Zugriff auf diese Ressource durchgeführt hat, einen schwächeren Verschlüsselungsalgorithmus als erwartet verwendet. Dies ist zwar verdächtig, aber auch nicht unbedingt böswillig. Treten jedoch beide Anomalien beim selben Zugriffsversuch auf, steigt die Wahrscheinlichkeit, dass es sich um böswillige Angriffe handelt, erheblich.  

Bewertungskriterium Nr. 4: Fähigkeit, Identitätssicherheitskontrollen in Echtzeit auszulösen   

Die Identitätssicherheit wird mit dedizierten Kontrollen durchgeführt, um böswilligen Zugriff zu verhindern, wie z. B. Zugriffsblockierung, MFA und Just-in-Time-Zugriff. Die Kernaufgabe des ITDR besteht darin entdecken ob ein Zugriffsversuch böswillig ist. Es ist jedoch wichtig, dass das ITDR auch über die erforderlichen Integrationen verfügt, um Identitätssicherheitskontrollen in Echtzeit auszulösen. Die kritischsten sind MFA und Zugriffsblockierung. 

Warum spielt es eine Rolle? 

Alarme erfordern eine manuelle Triage und Untersuchung, und als Faustregel gilt, dass die Lösung aller Alarme außerhalb der Kapazitäten des SecOps-Teams liegt. Ein ITDR, der seine Erkennungssignale nutzen kann, um MFA auszulösen und den Zugriff zu blockieren, kann automatisierten Echtzeitschutz bieten und bösartige Aktivitäten blockieren, anstatt nur deren Vorhandensein zu melden.  

Bewertungskriterium Nr. 5: Nahtlose Integration mit dem Sicherheits-Stack 

Obwohl ITDR für den Identitätsaspekt von Cyberangriffen verantwortlich ist, ist dies nur ein – wenn auch bedeutender – Teil der gesamten Bedrohungsschutzgeschichte. Um umfassenden Schutz zu bieten, sollte eine ITDR-Lösung in der Lage sein, Daten und Risikosignale mit den anderen Schlüsselkomponenten des Sicherheitsstapels auszutauschen. Beispielsweise sollte der EDR/XDR in der Lage sein, dem ITDR Daten zu verdächtigen Prozessen und Dateien und der Firewall oder ZTNA Daten zu offenen Ports und Ursprung/Ziel des Datenverkehrs zur Verfügung zu stellen. Außerdem sollte das ITDR in der Lage sein, Daten mit der SIEM-Lösung zu teilen, um Identitätssicherheitssignale zum gesamten Kontext der Netzwerk- und Dateiaktivität hinzuzufügen und in automatisierten SOAR-Workflows zu erfolgen. 

Warum spielt es eine Rolle? 

Erhöht die Genauigkeit 

Jede Sicherheitslösung hat eine Art von Aktivität, die sie überwachen und analysieren kann, und andere, für die sie blind ist. So wie Endpunktschutzlösungen beispielsweise den Authentifizierungsprozess nicht wahrnehmen, ist der ITDR blind für laufende Prozesse und ausgeführte Dateien. Die Überschneidung der beiden Perspektiven erhöht die Genauigkeit und Effizienz.  

Bessere Bedienbarkeit 

SecOps-Teams nutzen eine Vielzahl von Sicherheitstools. Allerdings gibt es normalerweise eine Komponente – SIEM oder XDR –, die als Hauptschnittstelle fungiert, über die Warnungen verwaltet werden. Der ITDR muss sich nahtlos in die Arbeitsabläufe dieser Schnittstelle einfügen können, um seinen Sicherheitswert bereitzustellen.  

ITDR ist ein Schlüsselfaktor bei der Reduzierung der Wahrscheinlichkeit und Auswirkung von Identitätsbedrohungen   

Der Zweck von ITDR besteht darin, die Wahrscheinlichkeit und die Auswirkungen eines erfolgreichen identitätsbezogenen Angriffs zu verringern. Die in diesem Artikel besprochenen Kriterien werden anhand ihres Beitrags zu diesem Anliegen hervorgehoben.  

Haben Sie bereits einige ITDR-Lösungen in die engere Wahl gezogen? Nutzen Sie diese Kriterien, um die schwierigen Fragen zu stellen. Anhand der Antworten erfahren Sie, ob die von Ihnen gesuchte Lösung Ihr Identitätsrisiko verringern und die gewünschte Widerstandsfähigkeit bieten kann.  

Stoppen Sie Identitätsbedrohungen jetzt