ขณะนี้ข้อมูลประจำตัวกลายเป็นสิ่งที่สำคัญที่สุดสำหรับผู้มีอำนาจตัดสินใจด้านความปลอดภัย ความจำเป็นในการเอาชนะ TTP ที่เป็นอันตราย เช่น การเข้าถึงข้อมูลประจำตัว การเพิ่มระดับสิทธิ์ และ การเคลื่อนไหวด้านข้างไม่เคยมีความเร่งด่วนมากเท่านี้มาก่อน เมื่อการละเมิดมากกว่า 80% เกี่ยวข้องกับการใช้ข้อมูลประจำตัวที่ถูกบุกรุกและการโจมตีแรนซัมแวร์สามารถทำลายล้างได้แม้แต่องค์กรที่ใหญ่ที่สุด ซึ่งเป็นราคาของการละเลย ความปลอดภัยของข้อมูลประจำตัว ราคาไม่แพง
สถานการณ์นี้ได้นำไปสู่การเพิ่มขึ้นของหมวดหมู่ผลิตภัณฑ์ที่สร้างขึ้นโดยมีวัตถุประสงค์เพื่อปกป้องพื้นผิวการโจมตีข้อมูลระบุตัวตน: การตรวจจับและตอบสนองภัยคุกคามข้อมูลส่วนบุคคล (ITDR) อย่างไรก็ตาม การนำหมวดหมู่ใหม่มาใช้จะทำให้เกิดความสับสนสำหรับผู้ซื้ออย่างหลีกเลี่ยงไม่ได้ ซึ่งในระหว่างนั้น ทีมงานด้านความปลอดภัยในการระบุตัวตนจะต้องค้นหาว่าหมวดหมู่ใด สคท ความสามารถนั้นเป็นสิ่งจำเป็นและเป็น “สิ่งที่ดีที่จะมี”
บทความนี้ช่วยเหลือองค์กรต่างๆ ในการเดินทางนี้โดยให้เกณฑ์การประเมิน 5 อันดับแรกเพื่อประเมินว่าองค์กรทำงานได้ดีเพียงใด สคท โซลูชันนี้สามารถส่งมอบตามคำสัญญาได้
เกณฑ์การประเมิน #1: ความกว้างและความลึกของความคุ้มครอง
การขอ การโจมตีตัวตน พื้นผิวมีลักษณะไม่สม่ำเสมออย่างมากและประกอบด้วยส่วนประกอบหลายส่วน เราสามารถจำแนกส่วนประกอบเหล่านี้ออกเป็นกลุ่มต่อไปนี้:
แหล่งข้อมูล
สภาพแวดล้อมภายในองค์กรประกอบด้วยเวิร์กสเตชันและเซิร์ฟเวอร์ โครงสร้างพื้นฐานด้านไอที ฐานข้อมูล และแอปรุ่นเก่า เครื่องเสมือนบางเครื่องได้รับการจัดการในเซิร์ฟเวอร์ศูนย์ข้อมูล ในขณะที่เครื่องเสมือน IaaS อยู่ในคลาวด์สาธารณะ สิ่งเหล่านี้เข้าร่วมโดย SaaS ขององค์กรและเว็บแอปเพื่อการจัดเก็บ อีเมล และวัตถุประสงค์อื่น ๆ
โปรโตคอลและวิธีการเข้าถึง
Active Directory ใช้โปรโตคอลเช่น NTLM Kerberosและ LDAP เพื่อจัดการการเข้าถึงเซิร์ฟเวอร์ เวิร์กสเตชัน และทรัพยากรภายในองค์กรอื่นๆ การเข้าถึงนี้ดำเนินการได้หลายวิธี - บรรทัดคำสั่ง, RDP และเครื่องมือการเข้าถึงระยะไกลเฉพาะ (Teamviewer และอื่นๆ ที่คล้ายกัน) โดยปกติการเข้าถึง VPN ระยะไกลจะทำผ่าน RADIUS ในขณะที่เซิร์ฟเวอร์รวมและ IdP บนคลาวด์ใช้ SAML, OpenID และ OAuthor เพื่อเข้าถึงแอป SaaS ผ่านเว็บเบราว์เซอร์ของผู้ใช้
นอกจากนี้ ยังมีผู้ใช้หลายประเภท: มาตรฐาน ผู้ใช้พิเศษ มนุษย์ และไม่ใช่มนุษย์ บางชนิดตรวจจับและติดตามได้ง่ายกว่า ในขณะที่บางชนิดมีความท้าทายมากกว่า ตัวอย่างที่โดดเด่นคืออัตลักษณ์ที่ไม่ใช่มนุษย์ (NHI) เช่น บัญชีบริการ in Active Directory สภาพแวดล้อมซึ่งยากต่อการค้นหาและจัดทำแผนที่
โซลูชัน ITDR จะต้องสามารถใช้ความสามารถกับผู้ใช้ ทรัพยากร และวิธีการเข้าถึงทั้งหมดในสภาพแวดล้อมแบบไฮบริด.
ทำไมมันถึงสำคัญ?
เพื่อปกป้องอย่างแท้จริง พื้นผิวการโจมตี คุณต้องปกป้องทั้งหมดโดยไม่มีจุดบอด การปกป้องเพียงบางส่วนก็เพียงแค่เปิดทางให้ศัตรูโจมตีส่วนที่ไม่ได้รับการปกป้องแทน นั่นเป็นเหตุผลว่าทำไมการเคลื่อนไหวในแนวขวางและการแพร่กระจายแรนซัมแวร์จึงดำเนินการส่วนใหญ่ผ่านการเข้าถึงบรรทัดคำสั่ง (เช่น PsExec, PowerShell และเครื่องมือ WMI) แทนที่จะใช้ RDP ในขณะที่อย่างหลังมักจะได้รับการปกป้องด้วย MFA ได้ทุกที่อดีตไม่สนับสนุนมัน การรักษาความปลอดภัยวิธีการเข้าถึงเซิร์ฟเวอร์ด้วยวิธีเดียวนั้นไม่เพียงพอ เมื่อมีจุดเชื่อมต่อที่ไม่ปลอดภัยอื่นๆ
เกณฑ์การประเมิน #2: ใกล้เรียลไทม์มากที่สุด
โซลูชัน ITDR วิเคราะห์การรับรองความถูกต้องของผู้ใช้และความพยายามในการเข้าถึงเพื่อเปิดเผยภัยคุกคามที่อาจเกิดขึ้น การวิเคราะห์แบบเรียลไทม์ช่วยให้ ITDR มองเห็นแต่ละรายการได้ การรับรอง ตั้งแต่ขั้นตอนการเริ่มต้นและการตรวจสอบไปจนถึงความสมบูรณ์และการเข้าถึงจริง อีกทางเลือกหนึ่งคือการวิเคราะห์บันทึกการตรวจสอบสิทธิ์หลังจากที่ความพยายามในการเข้าถึงได้รับการอนุมัติหรือปฏิเสธ
ทำไมมันถึงสำคัญ?
วัตถุประสงค์ของ ITDR คือการตรวจจับกิจกรรมที่น่าสงสัย ยิ่งการวิเคราะห์นี้ใกล้เคียงกับเหตุการณ์การตรวจสอบสิทธิ์แบบเรียลไทม์มากเท่าใด โอกาสในการตรวจจับการเข้าถึงที่เป็นอันตรายก่อนที่จะกลายเป็นภัยคุกคามจริงก็จะยิ่งมีมากขึ้นเท่านั้น นอกจากนี้ ยังมีความผิดปกติต่างๆ ที่สามารถตรวจพบได้ในระหว่างการรับรองความถูกต้องจริงเท่านั้น สิ่งเหล่านี้จะเป็นจุดบอดสำหรับโซลูชัน ITDR ที่ต้องอาศัยการวิเคราะห์บันทึกย้อนหลัง
เกณฑ์การประเมิน #3: ระบบตรวจจับแบบหลายชั้น
การตรวจจับกิจกรรมที่เป็นอันตรายอาศัยการตรวจจับความผิดปกติที่เบี่ยงเบนไปจากพฤติกรรมที่ชอบด้วยกฎหมายมาตรฐาน อย่างไรก็ตาม นี่ไม่ใช่เกมที่มีผลรวมเป็นศูนย์ และแม้ว่าความผิดปกติบางอย่างจะเชื่อมโยงอย่างชัดเจนกับกิจกรรมที่เป็นอันตราย แต่ส่วนใหญ่สามารถเกิดขึ้นได้จากเหตุผลที่ไม่เกี่ยวข้องอื่นๆ การใช้กลไกความเสี่ยงที่สามารถตรวจจับความผิดปกติประเภทต่างๆ สามารถเพิ่มความแม่นยำและลดความเสี่ยงของผลบวกลวงได้ ความผิดปกติที่ ITDR โดยทั่วไปควรมองหา ได้แก่:
ความผิดปกติของโปรโตคอล
ความผิดปกติเหล่านี้เป็นผลมาจากเทคนิคการโจมตีที่ใช้ประโยชน์จากจุดอ่อนในโปรโตคอลการตรวจสอบสิทธิ์เพื่อเข้าถึงการเข้าถึงที่เป็นอันตราย เช่น ส่งตั๋ว ส่งแฮช ฯลฯ สิ่งเหล่านี้เรียกว่าความผิดปกติของโปรโตคอลเนื่องจากเกี่ยวข้องกับการเปลี่ยนแปลงกระบวนการตรวจสอบสิทธิ์
พฤติกรรมผิดปกติ
ความผิดปกติเหล่านี้เกิดขึ้นอันเป็นผลมาจากการเคลื่อนไหวด้านข้าง การเคลื่อนไหวด้านข้างโดยธรรมชาติแล้วเป็นกิจกรรมฉวยโอกาสซึ่งฝ่ายตรงข้ามจะกระโดดจากเครื่องหนึ่งไปอีกเครื่องหนึ่งเพื่อค้นหาผู้ใช้ที่เก็บไว้และเครื่องใด ๆ ที่สามารถช่วยให้พวกเขาบรรลุเป้าหมายได้ ตัวอย่างเช่น ผู้โจมตีที่โจมตีเครื่องผู้ป่วยเป็นศูนย์จะใช้เครื่องนี้เป็นจุดเริ่มต้นในการเข้าถึงเครื่องอื่นทีละเครื่อง ค้นหาข้อมูลประจำตัวของผู้ดูแลระบบที่เก็บไว้หรือชื่อคอมพิวเตอร์ของเซิร์ฟเวอร์ที่สำคัญ การค้นหาและการเคลื่อนไหวประเภทนี้แตกต่างอย่างมากจากการเข้าถึงของผู้ใช้ที่ถูกต้องตามมาตรฐาน
ความผิดปกติของผู้ใช้
ผู้ใช้แต่ละรายมีเกณฑ์การเข้าถึงทรัพยากรของตนเอง โดยเฉพาะอย่างยิ่งสำหรับ ตัวตนที่ไม่ใช่มนุษย์ เหมือนกับบัญชีบริการ AD แต่ใช้ได้กับผู้ใช้ส่วนใหญ่เช่นกัน ยกเว้นผู้ดูแลระบบฝ่ายช่วยเหลือและไอทีที่ต้องเข้าถึงเครื่องหลายเครื่องเพื่อแก้ไขปัญหา ผู้ใช้ส่วนใหญ่มีชุดทรัพยากรที่กำหนดไว้ซึ่งพวกเขาเข้าถึงได้ในการทำงานประจำวัน เมื่อผู้ไม่หวังดีเจาะเข้าบัญชีผู้ใช้เพื่อดำเนินการเคลื่อนย้ายในแนวขวาง มีโอกาสสูงที่พวกเขาจะพยายามเข้าถึงทรัพยากรที่ผู้ใช้รายนี้ไม่เคยเข้าถึงมาก่อน
ทำไมมันถึงสำคัญ?
แม้ว่าความผิดปกติแต่ละรายการจะก่อให้เกิดผลบวกลวงเป็นเปอร์เซ็นต์ แต่จุดตัดระหว่างความผิดปกติเหล่านี้มีความน่าเชื่อถือมากกว่าอย่างมาก นี่คือตัวอย่าง:
ผู้ใช้ Bob เข้าถึงทรัพยากรที่เขาไม่เคยเข้าถึงมาก่อน นั่นหมายความว่า Bob ถูกบุกรุกใช่ไหม? ไม่จำเป็น. ความผิดปกติโดยธรรมชาติเหล่านี้ยังเกิดขึ้นภายในกิจกรรมที่ถูกต้องตามกฎหมายของผู้ใช้ทุกคนอีกด้วย ตอนนี้สมมติว่าการตรวจสอบสิทธิ์ Bob ได้ดำเนินการเพื่อเข้าถึงทรัพยากรนี้โดยใช้อัลกอริธึมการเข้ารหัสที่อ่อนแอกว่าที่คาดไว้ แม้ว่าสิ่งนี้จะน่าสงสัย แต่ก็ไม่ได้เป็นอันตรายเสมอไป อย่างไรก็ตาม หากความผิดปกติทั้งสองเกิดขึ้นในความพยายามเข้าถึงครั้งเดียวกัน ความน่าจะเป็นที่ว่าจะเป็นอันตรายก็จะเพิ่มขึ้นอย่างมาก
เกณฑ์การประเมิน #4: ความสามารถในการกระตุ้นการควบคุมความปลอดภัยของข้อมูลระบุตัวตนแบบเรียลไทม์
การรักษาความปลอดภัยข้อมูลประจำตัวจะดำเนินการด้วยการควบคุมเฉพาะเพื่อป้องกันการเข้าถึงที่เป็นอันตราย เช่น การบล็อกการเข้าถึง MFA และการเข้าถึงแบบทันเวลา บทบาทหลักของ ITDR คือ ตรวจจับ ความพยายามในการเข้าถึงเป็นอันตรายหรือไม่ อย่างไรก็ตาม จำเป็นอย่างยิ่งที่ ITDR จะต้องมีการผสานรวมที่จำเป็นเพื่อกระตุ้นการควบคุมความปลอดภัยของข้อมูลระบุตัวตนแบบเรียลไทม์ สิ่งที่สำคัญที่สุดคือ MFA และบล็อกการเข้าถึง
ทำไมมันถึงสำคัญ?
การแจ้งเตือนจำเป็นต้องมีการคัดแยกและการสอบสวนด้วยตนเอง และตามหลักทั่วไปแล้ว การแก้ไขปัญหาทั้งหมดนั้นอยู่นอกเหนือความสามารถของทีม SecOps ITDR ที่สามารถใช้สัญญาณการตรวจจับเพื่อทริกเกอร์ MFA และบล็อกการเข้าถึงสามารถให้การป้องกันแบบเรียลไทม์แบบอัตโนมัติและบล็อกกิจกรรมที่เป็นอันตราย แทนที่จะเพียงแจ้งเตือนการมีอยู่ของมัน
เกณฑ์การประเมิน #5: การบูรณาการอย่างราบรื่นกับกลุ่มการรักษาความปลอดภัย
แม้ว่า ITDR จะเป็นเจ้าของลักษณะเฉพาะของการโจมตีทางไซเบอร์ แต่นี่เป็นเพียงส่วนหนึ่งเท่านั้น แม้ว่าจะเป็นส่วนสำคัญก็ตามของเรื่องราวการป้องกันภัยคุกคามทั้งหมด เพื่อให้การป้องกันที่ครอบคลุม โซลูชัน ITDR ควรสามารถแลกเปลี่ยนข้อมูลและสัญญาณความเสี่ยงกับองค์ประกอบหลักอื่นๆ ของกลุ่มการรักษาความปลอดภัยได้ ตัวอย่างเช่น EDR/XDR ควรสามารถให้ข้อมูล ITDR เกี่ยวกับกระบวนการและไฟล์ที่น่าสงสัย และไฟร์วอลล์หรือ ZTNA บนพอร์ตเปิดและต้นทาง/ปลายทางของการรับส่งข้อมูล นอกจากนี้ ITDR ควรจะสามารถแบ่งปันข้อมูลกับโซลูชัน SIEM เพื่อเพิ่มสัญญาณการรักษาความปลอดภัยของข้อมูลประจำตัวให้กับบริบททั้งหมดของกิจกรรมเครือข่ายและไฟล์ รวมถึงเกิดขึ้นในเวิร์กโฟลว์ SOAR อัตโนมัติ
ทำไมมันถึงสำคัญ?
เพิ่มความแม่นยำ
โซลูชันการรักษาความปลอดภัยทุกรายการมีกิจกรรมประเภทหนึ่งที่สามารถตรวจสอบและวิเคราะห์ได้ และอื่นๆ ที่อาจมองไม่เห็น ตัวอย่างเช่น ในลักษณะเดียวกับที่โซลูชันการป้องกันปลายทางจะมองไม่เห็นกระบวนการตรวจสอบสิทธิ์ ITDR จะมองไม่เห็นกระบวนการที่ทำงานอยู่และการดำเนินการไฟล์ การตัดกันมุมมองทั้งสองจะเพิ่มความแม่นยำและประสิทธิภาพ
การดำเนินงานที่ดีขึ้น
ทีม SecOps ใช้เครื่องมือรักษาความปลอดภัยมากมาย อย่างไรก็ตาม โดยปกติจะมีส่วนประกอบ SIEM หรือ XDR ที่ทำงานเป็นอินเทอร์เฟซหลักที่ใช้จัดการการแจ้งเตือน ITDR จะต้องสามารถปรับให้เข้ากับเวิร์กโฟลว์ของอินเทอร์เฟซนี้ได้อย่างราบรื่นเพื่อส่งมอบคุณค่าด้านความปลอดภัย
ITDR เป็นปัจจัยสำคัญในการลดความน่าจะเป็นและผลกระทบของภัยคุกคามด้านข้อมูลประจำตัว
วัตถุประสงค์ของ ITDR คือการลดความน่าจะเป็นและผลกระทบของการโจมตีที่เกี่ยวข้องกับข้อมูลประจำตัวที่ประสบความสำเร็จ เกณฑ์ที่กล่าวถึงในบทความนี้ได้รับการแยกตามการมีส่วนร่วมในสาเหตุนี้
คุณได้คัดเลือกโซลูชัน ITDR บางส่วนแล้วหรือยัง? ใช้เกณฑ์เหล่านี้เพื่อถามคำถามที่ยาก คำตอบจะแจ้งให้คุณทราบว่าโซลูชันที่คุณกำลังมองหาสามารถลดความเสี่ยงด้านข้อมูลประจำตัวของคุณและให้ความยืดหยุ่นที่คุณกำลังมองหาได้หรือไม่
