Erkennung von und Reaktion auf Identitätsbedrohungen

Identity Threat Detection and Response (ITDR) ist ein entscheidender Fortschritt im Bereich der Cybersicherheit, der sich auf den Schutz von Identitäten und Anmeldedaten konzentriert, die häufig das Hauptziel von Cyberangriffen sind. Durch die Erkennung von und Reaktion auf Bedrohungen von Benutzeridentitäten trägt ITDR dazu bei, den Zugang zu Unternehmensressourcen zu sichern und zu gewährleisten, dass nur legitime Benutzer Zugang haben.

Was ist Identität und was ist die Herausforderung bei der Abwehr von Identitätsangriffen?

Identität ist das Herzstück des modernen Unternehmens. Es gibt sowohl cloud und Netzwerk-Identitäten als auch maschinelle und menschliche Identitäten, die sich über SaaS-Anwendungen, öffentliche Clouds, sichere Web-Gateways, AD-Dienste und lokale Dienste erstrecken. Im vergangenen Jahr verzeichneten 98 % der Unternehmen eine Zunahme der ^{Identitäten1}. Auf jede menschliche Identität kommen 45 Maschinen- oder ^{Service-Identitäten2}. Dies stellt eine große Herausforderung für Verteidiger dar, da 62 % keinen Einblick in den Zugriff von Menschen oder Maschinen auf sensible Daten und ^Werte haben2.

Warum braucht meine Organisation ITDR?

Die Identität ist zum Zentrum moderner Angriffe geworden, da verschiedene Arten von Angreifern wie ransomware , nationalstaatliche Angreifer und professionelle Cyberkriminelle alle die Identität für ihre Angriffe missbrauchen. Daher waren 90 % der Unternehmen im vergangenen Jahr von einem Identitätsangriff ^betroffen1.

Außerdem sind erfolgreiche Identitätsangriffe für Unternehmen mit hohen Kosten verbunden. So erlitt Okta beispielsweise einen Verlust von 2 Mrd. USD an Marktkapitalisierung und verlor Daten aller Benutzer des Kundensupports; MGM erlitt einen Verlust von bis zu 8,4 Mio. USD pro Tag; Caesars Palace zahlte 15 Mio. USD an Lösegeld. Tatsächlich hatten 68 % der Unternehmen direkte Auswirkungen auf ihr Geschäft durch einen ^{Identitätsmissbrauch1}.

Unternehmen, die über Prävention und Identitätsmanagement verfügen, sind immer noch anfällig für Identitätsangriffe, da Angreifer zunehmend MFA und Prävention umgehen. Laut Gartner fungiert ITDR als zweite und dritte Verteidigungsschicht, nachdem die Prävention versagt hat.

Identity Threat Detection and Response (ITDR) ist für Unternehmen von entscheidender Bedeutung, um wertvolle Vermögenswerte zu schützen und Identitätsbedrohungen zu stoppen, bevor sie Schaden anrichten und Auswirkungen auf das Geschäft haben.

Gartners Vision von ITDR

Der Gartner Hype Cycle for Security Operations 2023 hebt hervor, dass ITDR eine hohe Nutzenbewertung hat. Es wird festgestellt, dass die Sicherung der organisatorischen Identitätsinfrastruktur für den Sicherheitsbetrieb von entscheidender Bedeutung ist.

Wenn Unternehmenskonten kompromittiert werden, Berechtigungen falsch gesetzt werden oder die Identitätsinfrastruktur selbst kompromittiert wird, können Angreifer die Kontrolle über die Systeme übernehmen.

Daher müssen der Schutz der Identitätsinfrastruktur und die Abwehr von Identitätsangriffen oberste Priorität haben.

Wie funktionieren Identity Threat Detection and Response?

Hocheffiziente ITDR-Lösungen nutzen modernste Algorithmen für maschinelles Lernen und KI-Modelle, um das Verhalten von Identitäten (Netzwerk-, cloud, Menschen-, Maschinen- und Service-Identitäten) innerhalb des Netzwerks und der cloud eines Unternehmens zu analysieren.

Diese Lösungen verfolgen Benutzeraktivitäten, Berechtigungen und Zugriffsmuster, um Abweichungen von etablierten Normen zu erkennen. Durch die Zuordnung dieser Verhaltensweisen zu bekannten Bedrohungsmodellen können ITDR-Lösungen potenzielle Bedrohungen mit einem hohen Maß an Genauigkeit identifizieren.  

ITDR-Lösungen liefern Echtzeitwarnungen und Einblicke, so dass Sicherheitsteams umgehend auf potenzielle Bedrohungen reagieren können. Sie lassen sich auch nahtlos in andere Cybersicherheits-Tools und -Lösungen integrieren, z. B. in IAM-Systeme (Identity and Access Management) und SIEM-Plattformen (Security Information and Event Management), um einen umfassenden Ansatz zur Erkennung von und Reaktion auf Bedrohungen zu bieten.

Was sind die Vorteile von Identity Threat Detection and Response?  

1. Kontinuierliche Überwachung von Identitäten über die gesamte hybride Angriffsfläche
   ITDR-Lösungen bieten kontinuierlichen Einblick in alle Identitäten, einschließlich Netzwerk-, cloud, Menschen- und Maschinenkonten, Zugriffsberechtigungen und damit verbundene Aktivitäten im Netzwerk und in der cloud eines Unternehmens. Diese Transparenz erstreckt sich vom Rechenzentrum bis zur cloud und umfasst verschiedene Benutzertypen, Standorte und Gerätetypen, einschließlich IoT-Geräte und Drucker.    
2. Schutz von Dienst- und Administratorkonten
   Führende ITDR-Lösungen nutzen KI aktiv zur Erkennung und Überwachung von Dienst- und Administratorkonten und bieten Schutz für diese Konten, auch wenn sie nicht klar definiert oder gekennzeichnet sind.      
3. Verhaltensanalyse und KI für Advanced Threat Detection
   Führende ITDR-Lösungen nutzen Verhaltensanalyse und maschinelles Lernen, um ungewöhnliche Aktivitäten und Bedrohungen im Zusammenhang mit Identitäten zu modellieren und zu erkennen. Anstatt sich auf eine signaturbasierte Erkennung zu verlassen, konzentrieren sich diese Lösungen auf die Identifizierung aktiver Angriffe, einschließlich Persistenz, Privilegieneskalation, Umgehung von Verteidigungsmaßnahmen, Zugriff auf Anmeldeinformationen, Entdeckung, Seitwärtsbewegungen, Datensammlung, Command-and-Control-Aktivitäten (C2) und Datenexfiltration.    
4. KI steigert die Effizienz von Security Operations Centern (SOC)
   , indem sie das Rauschen reduziert KI-gesteuerte ITDR-Lösungen verstehen Privilegien und liefern klare Signale, die einfache UEBA-Anomalien nicht liefern können. Sie automatisieren viele Aspekte der Erkennung von und Reaktion auf Bedrohungen und verbessern so die Effizienz von Security Operations Centern (SOCs), indem sie das Rauschen reduzieren. Trotz des anhaltenden Mangels an Cybersecurity-Experten liefern diese Lösungen detaillierte Angriffsrekonstruktionen in natürlicher Sprache und geben Analysten die Informationen an die Hand, die sie benötigen, um schnell und umfassend auf Warnmeldungen zu reagieren.    
5. Automatisierte Reaktion in Echtzeit
   ITDR-Lösungen erkennen nicht nur ausgefeilte Angriffe und verdächtige Verhaltensweisen, sondern können auch automatisch reagieren und Angriffe in Echtzeit abwehren. Sie lassen sich auch nahtlos in andere Cybersicherheitsprodukte wie Endpoint Detection and Response (EDR) integrieren, um die Sicherheitsmaßnahmen zu verbessern.  

Was ist der Wert einer effektiven Lösung zur Erkennung von und Reaktion auf Identitätsbedrohungen?

Eine effektive ITDR-Lösung korreliert mit Ihrer Netzwerk- und cloud und arbeitet im Rahmen Ihrer anderen Tools, nicht in einem Silo. Die Lösung sollte es Ihrer Organisation ermöglichen,:  

• Frühzeitig aufhören ransomware
• Schluss mit phishing-gesteuerten Kompromissen
• Ausufernde Dienstkonten sichern  
• Privilegierte Identitäten verteidigen  
• Verteidigung der Identitätsinfrastruktur  
• Stoppen der identitätsbasierten Seitwärtsbewegung  
• Sichere ZScaler-Verbindungen  
• Überwachung auf Insider-Bedrohungen  
• Proaktive Überwachung der Identitätsnutzung

Die Entwicklung von Erkennung und Reaktion auf Identitätsbedrohungen  

Laut Gartner erfordert ITDR eine Koordination zwischen IAM- und Sicherheitsteams. Unternehmen wird empfohlen, grundlegende IAM-Infrastrukturhygiene wie PAM und IGA mit ITDR zu kombinieren und in das IAM-Programm zu integrieren. Die Sicherung der Identitätsinfrastruktur mit Tools zur Überwachung von Identitätsangriffstechniken, zum Schutz von Identitäts- und Zugriffskontrollen, zur Erkennung von Angriffen und zur schnellen Behebung von Mängeln muss Vorrang haben. Das MITRE ATT&CK sollte auch verwendet werden, um ITDR-Techniken mit Angriffsszenarien zu korrelieren, um sicherzustellen, dass zumindest bekannte Angriffsvektoren berücksichtigt werden.

Identitäten werden zunehmend von Angreifern ins Visier genommen und die Implementierung von ITDR ist nicht nur eine Option, sondern eine Notwendigkeit. Vectra AI ist führend bei der Bereitstellung fortschrittlicher ITDR-Lösungen, die Sicherheitsteams in die Lage versetzen, Identitätsbedrohungen proaktiv zu erkennen und darauf zu reagieren. Setzen Sie sich mit uns in Verbindung, um zu erfahren, wie wir Ihnen helfen können, die wichtigsten Werte Ihres Unternehmens zu schützen - Ihre Identitäten.

Erfahren Sie mehr über Vectra AI ITDR >