Sicherheit für KI-Unternehmen: Die Sichtweise unseres CEO zur Nutzung von KI ohne Kontrollverlust.
Den Blog lesen

Sicherheit für KI-Unternehmen: Die Sichtweise unseres CEO zur Nutzung von KI ohne Kontrollverlust. Blog lesen →

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Grundlagen der Cybersicherheit
    >
  2. Identitätsanalyse

Identitätsanalyse erklärt

Wichtige Erkenntnisse

  • Korrelierte Bedrohungssignale über verschiedene Umgebungen hinweg tragen dazu bei, Unsicherheiten bei der Priorisierung von Identitäten zu reduzieren.
  • Die Dringlichkeitsbewertung berücksichtigt neben der Geschwindigkeit und Komplexität der beobachteten Angriffstaktiken auch die geschäftliche Bedeutung.
  • Das beobachtete Verhalten ermöglicht die Analyse sowohl menschlicher als auch nicht-menschlicher Identitäten.

Im Kern nutzt die Identitätsanalyse maschinelles Lernen, um Bedrohungssignale über Netzwerk-, cloud, SaaS- und Identitätssysteme hinweg zu korrelieren und Identitäten auf der Grundlage des beobachteten Risikos zu priorisieren.

In Sicherheitsvorgängen sind Identitätsaktivitäten auf viele Systeme verteilt, während statische Identitätsdatensätze selten zeigen, wie Berechtigungen in Echtzeit ausgeübt werden. Anstatt sich allein auf zugewiesene Rollen zu verlassen, legt dieser Ansatz den Schwerpunkt auf beobachtete Berechtigungen und umgebungsübergreifende Korrelationen.

Was ist Identitätsanalyse?

Die Identitätsanalyse bewertet das Identitätsrisiko auf der Grundlage des beobachteten Verhaltens und nicht anhand statischer Attribute wie zugewiesener Rollen oder Verzeichniseinträgen. Diese Unterscheidung ist wichtig, da sich bei tatsächlichen Angriffen die tatsächliche Nutzung des Zugriffs oft von der auf dem Papier unterscheidet. Durch die Behandlung von Identitäten als aktive Einheiten bewertet die Identitätsanalyse das Risiko über cloud, Netzwerk-, SaaS- und Identitätssysteme hinweg und nicht innerhalb isolierter Silos.

Klare Grenzen sind ebenfalls wichtig. Wenn Identitätsanalysen mit benachbarten Identitätspraktiken verwechselt werden, können Teams sich auf unvollständige Signale verlassen oder Identitätsaktivitäten falsch interpretieren. 

Identitätsanalyse wird oft verwechselt mit:

  • Identitätsverwaltung und Zugriffsüberprüfungen, die sich eher auf die Zuweisung von Berechtigungen als auf das Echtzeitverhalten konzentrieren
  • Authentifizierungsüberwachung, die den Schwerpunkt auf den Erfolg oder Misserfolg der Anmeldung legt, ohne den weiteren Kontext der Aktivitäten zu berücksichtigen
  • Statische Verzeichnisanalyse, die eher die zugewiesenen Berechtigungen als die beobachteten Berechtigungen widerspiegelt
  • Manuelle threat hunting, die in der Regel nicht auf die kontinuierliche Analyse Tausender Identitäten skaliert werden kann

Wenn das Identitätsrisiko in erster Linie anhand von Berechtigungen, Überprüfungen oder Anmeldergebnissen bewertet wird, können wichtige Verhaltenssignale übersehen werden. 

Erfahren Sie, warum Identitäts- und Zugriffsmanagement allein moderne Angriffe nicht verhindern kann.

Warum verzeichnisbasierte Identitätsansichten die beobachteten Berechtigungen nicht korrekt darstellen

Zugewiesene Rollen und Gruppenmitgliedschaften beschreiben den beabsichtigten Zugriff, nicht das tatsächliche Verhalten. Diese Diskrepanz ist von Bedeutung, da Angreifer legitime Anmeldedaten missbrauchen können, ohne Änderungen an den Verzeichnisdaten auszulösen. Aus diesem Grund ist es wichtig, die Risikobewertung auf beobachtete Berechtigungen und korrelierte Aktivitäten statt auf statische Datensätze auszurichten.

Statische Datensätze, isolierte Ereignisse und verzeichnisgesteuerte Identitätsbewertungen scheitern häufig auf folgende Weise:

  • Behandlung zugewiesener Privilegien als gleichwertig mit effektiven Privilegien, selbst wenn das Verhalten auf einen umfassenderen Zugriff hindeutet
  • Identitätsereignisse isoliert bewerten, anstatt Signale zu einer identitätszentrierten Erzählung zu verknüpfen
  • Verwendung des Ereignisvolumens als Indikator für die Schwere, zunehmende Alarmmüdigkeit und falsche Prioritätensetzung
  • Analysten dazu zwingen, zwischen Tools und Abfragen zu wechseln, um den Identitätskontext manuell zu rekonstruieren

Die wichtigsten analytischen Ebenen hinter der Priorisierung von Identitätsrisiken

Die Kombination aus beobachteten Privilegien, domänenübergreifender Korrelation und Dringlichkeitsbewertung ergibt eine identitätszentrierte Risikobetrachtung. Diese Struktur ist wichtig, da Identitätskompromittierungen häufig Identitätsanbieter, cloud , SaaS-Anwendungen und Netzwerke betreffen. Eine getrennte Behandlung dieser Umgebungen fragmentiert den Kontext und verschleiert den Fortschritt.

Um die Telemetrie zu vereinheitlichen und die Priorisierung zu verbessern, stützt sich die Identitätsanalyse auf eine definierte Reihe von Analyseebenen. Jede Ebene befasst sich mit einer bestimmten Einschränkung der herkömmlichen Identitätsüberwachung, und das Entfernen einer dieser Ebenen schwächt die Risikobewertung.

Die Identitätsanalyse basiert auf den folgenden Ebenen:

  • Beobachtete Privilegien, die das Verhalten und die Zugriffsmuster in Echtzeit verfolgen, anstatt zugewiesene Rollen.
  • Domänenübergreifende Korrelation, die Identitätsaktivitäten über Netzwerk-, cloud, SaaS- und Identitätssysteme hinweg zusammenführt
  • Dringlichkeitsbewertung, die die geschäftliche Bedeutung mit der Geschwindigkeit und Raffinesse der beobachteten Angriffstaktiken kombiniert
  • Entitätszentrierter Untersuchungskontext, der die Analyse auf Identitäten und die von ihnen berührten Ressourcen konzentriert

Ersetzen statischer Vertrauensannahmen durch beobachtete Privilegien

Das Echtzeitverhalten liefert einen genaueren Überblick über Identitätsrisiken als statische Rollendefinitionen. Dies ist wichtig, da Verzeichnisattribute unverändert bleiben können, selbst wenn Berechtigungen aktiv missbraucht werden. Die Verfolgung beobachteter Berechtigungen unterstützt eine dynamische, Zero Trust Perspektive.

Um aussagekräftige Abweichungen aufzudecken, konzentriert sich die Identitätsanalyse auf bestimmte verhaltensbasierte Indikatoren. Diese Indikatoren sind wichtig, da subtile Veränderungen beim Zugriff oft Vorboten für dringlichere Angriffe sind. Dazu gehören:

  • Subtile Verschiebungen in der Nutzung von Privilegien, die über die erwarteten Grenzen hinausgehen
  • Identitäten, die im Verhältnis zu definierten Zugriffserwartungen übermäßig viele Berechtigungen haben
  • Echtzeit-Zugriffsmuster, die den zugewiesenen Verzeichnisrollen widersprechen

Erstellen einer einheitlichen Erzählung durch domänenübergreifende Korrelation

Über verschiedene Systeme verstreute Signale sind für sich genommen selten aussagekräftig. Durch die Verknüpfung von Aktivitäten über Netzwerk-, cloud, SaaS- und Identitätssysteme hinweg lassen sich Unklarheiten hinsichtlich der Aktivitäten einer Identität reduzieren und Teilindikatoren in kohärente Verhaltensmuster umwandeln.

Zu diesem Zweck verknüpfen Identitätsanalyselösungen Aktivitäten über mehrere Bereiche hinweg, wie zum Beispiel:

Wie Identitätsanalysen Identitätsverhalten mit dem Fortschreiten von Angriffen in Verbindung bringen

Die Betrachtung von Identitätsmissbrauch als fortlaufender Prozess kann die Entscheidungsfindung hinsichtlich der Reaktion erleichtern. Missbrauch im Frühstadium unterscheidet sich von Ausnutzung im Spätstadium, und die Korrelation von Verhaltensweisen hilft dabei, beide voneinander zu unterscheiden. Dies trägt dazu bei, Unsicherheiten hinsichtlich Schweregrad und Zeitpunkt zu verringern.

Um den Fortschritt zu bewerten, untersuchen Analysten wiederkehrende Verhaltensweisen, die auf eine Weiterentwicklung hindeuten, vom Zugriff bis zur Kontrolle, über verschiedene Umgebungen hinweg:

Um diese Lücke zu schließen, sind identitätsorientierte Analysen erforderlich, die echtes Angriffsverhalten frühzeitig aufdecken und die Untersuchungslast für bereits stark beanspruchte Teams reduzieren.

Sehen Sie selbst, wie Vectra AI eine dreifache Bedrohungstransparenz bei 50 % weniger Arbeitsaufwand bietet →

Wie man Identitätsanalyseansätze bewertet 

Die Bewertung hängt davon ab, ob ein Ansatz tatsächlich Unsicherheiten reduziert und die Priorisierung verbessert. Statische Aufzeichnungen und isolierte Warnmeldungen erfüllen diese Anforderung nicht. Eine effektive Identitätsanalyse konzentriert sich daher auf Verhalten, Korrelation und Dringlichkeit.

Eine effektive Bewertung sollte sich darauf konzentrieren, ob ein Ansatz tatsächlich Unsicherheiten reduziert und die Priorisierung verbessert. Statische Aufzeichnungen und isolierte Warnmeldungen reichen für dieses Ziel nicht aus. Eine leistungsstarke Identitätsanalyse konzentriert sich auf beobachtetes Verhalten, umgebungsübergreifende Korrelationen und Dringlichkeit.

Klare Bewertungskriterien tragen dazu bei, Fehlklassifizierungen und operative Reibungsverluste zu vermeiden. Sie entscheiden auch darüber, ob Identitätsanalysen das manuelle Zusammenfügen von Ereignissen durch konsistente, identitätszentrierte Erkenntnisse ersetzen können.

Identitätsanalyseansätze können anhand der folgenden Kriterien bewertet werden:

  • Basiert der Ansatz eher auf beobachteten Privilegien als auf statischen Verzeichnisrollen als Grundlage für die Risikobewertung?
  • Korreliert es Identitätssignale über Netzwerk-, cloud, SaaS- und Identitätssysteme hinweg, anstatt jedes einzelne isoliert zu analysieren?
  • Wird die Priorisierung eher durch Dringlichkeit und Risiko bestimmt als durch die reine Anzahl von Warnmeldungen oder Ereignissen?

Wie die Vectra AI Identitätsanalysen einsetzt, um Identitätsrisiken in verschiedenen Umgebungen zu priorisieren

Die Vectra AI wendet Identitätsanalysen an, indem sie Signale für Identitätsbedrohungen über verschiedene Umgebungen hinweg miteinander in Beziehung setzt, um zu priorisieren, welche Identitäten am dringendsten behandelt werden müssen. Dies ist wichtig, da Identitätskompromittierungen sich über Netzwerke, cloud, SaaS und Identitätssysteme erstrecken können und isolierte Warnmeldungen keinen einheitlichen Überblick über die beobachteten Berechtigungen und die Entwicklung der Risiken bieten.

Im Wesentlichen formuliert die Vectra AI das Problem als identitätszentrierte Priorisierung und nicht als ereigniszentrierte Überwachung.

Mithilfe von Identitätsanalysen bietet die Vectra AI Einblick in:

  • Welche Identitäten zeigen ein korreliertes Verhalten über Netzwerk-, cloud, SaaS- und Identitätssysteme hinweg?
  • Welche Identitäten zeigen Verschiebungen bei den beobachteten Privilegien im Zusammenhang mit dem Fortschreiten des Risikos?
  • Welche Identitäten sind an Verhaltensweisen wie seitlicher Bewegung oder Privilegienerweiterung beteiligt?

Sehen Sie, wie die Vectra AI Identitätsrisiken in Netzwerken, cloud und SaaS priorisiert →

Weitere Grundlagen der Cybersicherheit

Was ist ein Indikator für einen Kompromiss?

Domain Indicators of Compromise (IOCs) sind ein starkes Signal für eine Kompromittierung, da diese Domains von einem böswilligen Akteur registriert wurden und der Verkehr ...

Mehr lesen
Verwaltete IT-Sicherheitsdienste: Vollständiger Leitfaden zu MSSP, MDR und SOC

Umfassender Leitfaden zu Managed IT Security Services. Erfahren Sie mehr über MSSP vs. MDR, Preisgestaltung, Anbieterauswahl und wie KI SOCs verändert. Basierend auf Marktdaten für 2025.

Mehr lesen
Cyberangriffe: 6 gängige Arten und wie man sie verhindert

Erfahren Sie mehr über verschiedene Arten von Cyberangriffen wie malware, phishing, DoS- und MITM-Angriffe und deren Auswirkungen auf Privatpersonen, Unternehmen und Regierungen.

Mehr lesen
Bedrohungsakteure in der Cybersicherheit verstehen

Cyber-Bedrohungen gehen nicht mehr von einzelnen Personen aus, sondern sind das Ergebnis einer Vielzahl von ausgeklügelten und gut organisierten Einheiten mit unterschiedlichen Zielen und Fähigkeiten.

Mehr lesen
Was ist Cloud ?

Die größten Sicherheitsbedrohungen cloud - 1. Unzureichendes Identitäts-, Berechtigungs- und Zugangsmanagement - 2. Unsichere Schnittstellen und APIs - 3. Account-Hijacking - 4. Böswillige ...

Mehr lesen
Was sind Angriffsmethoden?

Dieser Artikel gibt einen umfassenden Überblick über gängige und fortgeschrittene Cyber-Angriffstechniken und bietet technische Einblicke und Beispiele.

Mehr lesen
Was ist die Security Team Visibility Triad?

Dieser dreigleisige Ansatz verschafft SOCs einen besseren Einblick in die Bedrohungen sowie mehr Möglichkeiten zur Erkennung, Reaktion, Untersuchung und Behebung.

Mehr lesen
Cybersecurity-Lösungen | Agentenbasierte vs. agentenlose Sicherheitstools

Entdecken Sie Cybersicherheitslösungen für moderne Bedrohungen. Vergleichen Sie agentenbasierte und agentenlose Ansätze, erkunden Sie moderne NDR-Optionen und bauen Sie effektive Sicherheit auf.

Mehr lesen
Das Verhalten von Angreifern in modernen Sicherheitsumgebungen verstehen

Verstehen Sie das Verhalten von Angreifern, wie moderne Angriffe über Identitäten, Netzwerke und cloud hinweg ablaufen und wie SOC-Teams Aktionen und Signale interpretieren sollten.

Mehr lesen
Alle Grundlagen der Cybersicherheit anzeigen

Häufig gestellte Fragen

Wie unterscheidet sich die Identitätsanalyse von der alleinigen Verwendung von Verzeichnisdaten?

Ersetzt die Identitätsanalyse präventive Identitätskontrollen wie MFA?

Wie wird die Dringlichkeitsbewertung in der Identitätsanalyse ermittelt?

Wie werden nicht-menschliche Identitäten in der Identitätsanalyse bewertet?

Welche Signale sind für die Erkennung von Identitätsdiebstahl am relevantesten?