Identität hat heute höchste Priorität für Sicherheitsentscheider. Die Notwendigkeit, böswillige TTPs wie Anmeldedatenzugriff, Privilegieneskalation usw. zu überwinden seitliche Bewegung, war noch nie so dringend. Wenn bei über 80 % der Verstöße kompromittierte Anmeldedaten zum Einsatz kommen und Ransomware-Angriffe selbst die größten Unternehmen lahmlegen, ist dies der Preis für Vernachlässigung Identitätssicherheit ist unerschwinglich.
Dieser Sachverhalt hat zur Entstehung einer Produktkategorie geführt, die speziell für den Schutz der Identitätsangriffsfläche entwickelt wurde: Erkennung von & Reaktion auf Identitätsbedrohungen (ITDR) (ITDR). Die Einführung einer neuen Kategorie bringt jedoch zwangsläufig eine Phase der Verwirrung für die Käufer mit sich, in der die Identitätssicherheitsteams herausfinden müssen, welche ITDR Fähigkeiten sind obligatorisch und welche „nice to have“ sind.
Dieser Artikel unterstützt Organisationen auf diesem Weg, indem er die fünf wichtigsten Bewertungskriterien bereitstellt, um zu beurteilen, wie gut ein ITDR Lösung kann halten, was sie verspricht.
Bewertungskriterium Nr. 1: Die Breite und Tiefe der Berichterstattung
Die Identitätsangriff Oberfläche ist äußerst heterogen und besteht aus mehreren Komponenten. Wir können diese in folgende Gruppen einteilen:
weitere Info
Die lokale Umgebung umfasst Workstations und Server, IT-Infrastruktur, Datenbanken und Legacy-Apps. Einige virtuelle Maschinen werden auf Rechenzentrumsservern verwaltet, während sich virtuelle IaaS-Maschinen in der öffentlichen Cloud befinden. Hinzu kommen unternehmenseigene SaaS- und Web-Apps für Speicherung, E-Mail und andere Zwecke.
Protokolle und Zugriffsmethoden
Active Directory verwendet Protokolle wie NTLM, Kerberosund LDAP zur Verwaltung des Zugriffs auf Server, Workstations und andere lokale Ressourcen. Dieser Zugriff erfolgt auf verschiedene Arten – über die Befehlszeile, RDP und dedizierte Fernzugriffstools (Teamviewer und ähnliche). Der VPN-Fernzugriff erfolgt normalerweise über RADIUS, während Verbundserver und Cloud-IdPs SAML, OpenID und OAuthor verwenden, um über die Webbrowser der Benutzer auf SaaS-Apps zuzugreifen.
Darüber hinaus gibt es verschiedene Arten von Benutzern: Standardbenutzer, privilegierte Benutzer, menschliche Benutzer und nichtmenschliche Benutzer. Einige sind einfacher zu erkennen und zu überwachen, während andere eine größere Herausforderung darstellen. Ein prominentes Beispiel sind nichtmenschliche Identitäten (Non-Human Identities, NHI) wie z Service Accounts in Active Directory Umgebungen, die extrem schwer zu lokalisieren und zu kartieren sind.
Eine ITDR-Lösung muss in der Lage sein, ihre Fähigkeiten auf alle Benutzer, Ressourcen und Zugriffsmethoden in der Hybridumgebung anzuwenden.
Warum spielt es eine Rolle?
Um wirklich zu schützen, Angriffsfläche Sie müssen alles schützen, ohne blinde Flecken. Wenn Sie nur einen Teil davon schützen, ist der Weg für Angreifer frei, stattdessen den ungeschützten Teil anzugreifen. Aus diesem Grund werden beispielsweise laterale Bewegungen und die Verbreitung von Ransomware meist über den Befehlszeilenzugriff durchgeführt (z. B. PsExec, PowerShell und WMI-Tools) statt mit RDP. Während letzteres normalerweise mit geschützt ist MFA, ersteres unterstützt es nicht. Die Sicherung einer einzelnen Zugriffsmethode auf einen Server ist kein ausreichender Schutz, wenn es andere ungesicherte Zugriffspunkte gibt.
Bewertungskriterium Nr. 2: Möglichst zeitnah
ITDR-Lösungen analysieren Benutzerauthentifizierungen und Zugriffsversuche, um potenzielle Bedrohungen aufzudecken. Echtzeitanalysen bieten dem ITDR Einblick in jede Beglaubigung von der Initiierungs- und Überprüfungsphase bis hin zum tatsächlichen Abschluss und Zugriff. Die Alternative besteht darin, das Authentifizierungsprotokoll zu analysieren, nachdem der Zugriffsversuch genehmigt oder abgelehnt wurde.
Warum spielt es eine Rolle?
Der Zweck von ITDR besteht darin, vermutete böswillige Aktivitäten zu erkennen. Je näher diese Analyse am Echtzeit-Authentifizierungsereignis liegt, desto höher sind die Chancen, böswillige Zugriffe zu erkennen, bevor sie zu einer tatsächlichen Bedrohung werden können. Darüber hinaus gibt es verschiedene Anomalien, die erst bei der eigentlichen Authentifizierung erkannt werden können; Dies wäre ein blinder Fleck für ITDR-Lösungen, die auf rückwirkender Protokollanalyse basieren.
Bewertungskriterium Nr. 3: Mehrschichtige Erkennungsmaschine
Die Erkennung bösartiger Aktivitäten beruht auf der Erkennung von Anomalien, die vom standardmäßigen legitimen Verhalten abweichen. Dabei handelt es sich jedoch nicht um ein Nullsummenspiel, und obwohl einige Anomalien eindeutig mit böswilligen Aktivitäten in Zusammenhang stehen, können die meisten auch aus anderen Gründen auftreten, die nichts damit zu tun haben. Der Einsatz einer Risiko-Engine, die verschiedene Arten von Anomalien erkennen kann, kann die Genauigkeit erhöhen und das Risiko falsch positiver Ergebnisse verringern. Zu den Anomalien, nach denen ein ITDR normalerweise suchen sollte, gehören:
Protokollanomalien
Diese Anomalien resultieren aus Angriffstechniken, die Schwachstellen in Authentifizierungsprotokollen ausnutzen, um sich böswilligen Zugriff zu verschaffen – das Ticket weiterzugeben, den Hash weiterzugeben usw. Diese Anomalien werden Protokollanomalien genannt, weil sie eine Änderung des Authentifizierungsprozesses beinhalten.
Verhaltensanomalien
Diese Anomalien treten als Folge der seitlichen Bewegungsaktivität auf. Lateral Movement ist von Natur aus eine opportunistische Aktivität, bei der der Gegner von Maschine zu Maschine springt, um nach gespeicherten Benutzern und Maschinen zu suchen, die ihm beim Erreichen seines Ziels helfen könnten. Beispielsweise würde ein Angreifer, der auf dem Patienten-Null-Computer gelandet ist, diesen als Ausgangspunkt nutzen, um nacheinander auf andere zuzugreifen und nach gespeicherten Administratoranmeldeinformationen oder dem Computernamen eines kritischen Servers zu suchen. Diese Art der Suche und Bewegung unterscheidet sich stark vom standardmäßigen legitimen Benutzerzugriff.
Benutzeranomalien
Jeder Benutzer hat seine eigene Basis für den Ressourcenzugriff. Dies gilt insbesondere für nichtmenschliche Identitäten wie AD-Dienstkonten, gilt aber auch für die meisten menschlichen Benutzer. Mit Ausnahme von Helpdesk- und IT-Administratoren, die zur Fehlerbehebung Zugriff auf mehrere Rechner benötigen, haben die meisten Benutzer einen definierten Satz von Ressourcen, auf die sie in ihrer Arbeitsroutine zugreifen. Sobald ein Angreifer ein Benutzerkonto kompromittiert, um eine laterale Bewegung durchzuführen, besteht eine hohe Wahrscheinlichkeit, dass er versucht, auf Ressourcen zuzugreifen, auf die dieser Benutzer noch nie zuvor zugegriffen hat.
Warum spielt es eine Rolle?
Während jede Anomalie für sich genommen einen Prozentsatz falsch positiver Ergebnisse mit sich bringt, ist der Schnittpunkt zwischen ihnen wesentlich zuverlässiger. Hier ist ein Beispiel:
Der Benutzer Bob greift auf eine Ressource zu, auf die er noch nie zuvor zugegriffen hatte. Bedeutet das, dass Bob kompromittiert ist? Nicht unbedingt. Solche naiven Anomalien treten auch im Rahmen der legitimen Aktivitäten jedes Benutzers auf. Nehmen wir nun an, dass die Authentifizierung, die Bob für den Zugriff auf diese Ressource durchgeführt hat, einen schwächeren Verschlüsselungsalgorithmus als erwartet verwendet. Dies ist zwar verdächtig, aber auch nicht unbedingt böswillig. Treten jedoch beide Anomalien beim selben Zugriffsversuch auf, steigt die Wahrscheinlichkeit, dass es sich um böswillige Angriffe handelt, erheblich.
Bewertungskriterium Nr. 4: Fähigkeit, Identitätssicherheitskontrollen in Echtzeit auszulösen
Die Identitätssicherheit wird mit dedizierten Kontrollen durchgeführt, um böswilligen Zugriff zu verhindern, wie z. B. Zugriffsblockierung, MFA und Just-in-Time-Zugriff. Die Kernaufgabe des ITDR besteht darin entdecken ob ein Zugriffsversuch böswillig ist. Es ist jedoch wichtig, dass das ITDR auch über die erforderlichen Integrationen verfügt, um Identitätssicherheitskontrollen in Echtzeit auszulösen. Die kritischsten sind MFA und Zugriffsblockierung.
Warum spielt es eine Rolle?
Alarme erfordern eine manuelle Triage und Untersuchung, und als Faustregel gilt, dass die Lösung aller Alarme außerhalb der Kapazitäten des SecOps-Teams liegt. Ein ITDR, der seine Erkennungssignale nutzen kann, um MFA auszulösen und den Zugriff zu blockieren, kann automatisierten Echtzeitschutz bieten und bösartige Aktivitäten blockieren, anstatt nur deren Vorhandensein zu melden.
Bewertungskriterium Nr. 5: Nahtlose Integration mit dem Sicherheits-Stack
Obwohl ITDR für den Identitätsaspekt von Cyberangriffen verantwortlich ist, ist dies nur ein – wenn auch bedeutender – Teil der gesamten Bedrohungsschutzgeschichte. Um umfassenden Schutz zu bieten, sollte eine ITDR-Lösung in der Lage sein, Daten und Risikosignale mit den anderen Schlüsselkomponenten des Sicherheitsstapels auszutauschen. Beispielsweise sollte der EDR/XDR in der Lage sein, dem ITDR Daten zu verdächtigen Prozessen und Dateien und der Firewall oder ZTNA Daten zu offenen Ports und Ursprung/Ziel des Datenverkehrs zur Verfügung zu stellen. Außerdem sollte das ITDR in der Lage sein, Daten mit der SIEM-Lösung zu teilen, um Identitätssicherheitssignale zum gesamten Kontext der Netzwerk- und Dateiaktivität hinzuzufügen und in automatisierten SOAR-Workflows zu erfolgen.
Warum spielt es eine Rolle?
Erhöht die Genauigkeit
Jede Sicherheitslösung hat eine Art von Aktivität, die sie überwachen und analysieren kann, und andere, für die sie blind ist. So wie Endpunktschutzlösungen beispielsweise den Authentifizierungsprozess nicht wahrnehmen, ist der ITDR blind für laufende Prozesse und ausgeführte Dateien. Die Überschneidung der beiden Perspektiven erhöht die Genauigkeit und Effizienz.
Bessere Bedienbarkeit
SecOps-Teams nutzen eine Vielzahl von Sicherheitstools. Allerdings gibt es normalerweise eine Komponente – SIEM oder XDR –, die als Hauptschnittstelle fungiert, über die Warnungen verwaltet werden. Der ITDR muss sich nahtlos in die Arbeitsabläufe dieser Schnittstelle einfügen können, um seinen Sicherheitswert bereitzustellen.
ITDR ist ein Schlüsselfaktor bei der Reduzierung der Wahrscheinlichkeit und Auswirkung von Identitätsbedrohungen
Der Zweck von ITDR besteht darin, die Wahrscheinlichkeit und die Auswirkungen eines erfolgreichen identitätsbezogenen Angriffs zu verringern. Die in diesem Artikel besprochenen Kriterien werden anhand ihres Beitrags zu diesem Anliegen hervorgehoben.
Haben Sie bereits einige ITDR-Lösungen in die engere Wahl gezogen? Nutzen Sie diese Kriterien, um die schwierigen Fragen zu stellen. Anhand der Antworten erfahren Sie, ob die von Ihnen gesuchte Lösung Ihr Identitätsrisiko verringern und die gewünschte Widerstandsfähigkeit bieten kann.