Identity Threat Detection and Response (IDTR)

Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM)

Auch Identity-Access-Management-Lösungen sind Ziele von Cyberangriffen – ein Trend, der sich verstärkt fortsetzen dürfte. Wenn ein Angreifer in der Lage ist, eine IAM-Lösung zu kompromittieren, hat er privilegierten Zugriff auf das Zielnetzwerk und kann viel Schaden anrichten. Die Erkennung von Sicherheitslücken und Anomalien bei der Nutzung von Benutzerkonten und Zugriffsrechten wird daher in Zukunft zu den zentralen Abwehrmechanismen in der Cybersicherheit gehören und zum Kern des Identity und Access Managements werden.

Begriffserklärung: Was ist Identity Threat Detection and Response?

Gartner hat diesen Trend bereits aufgegriffen und mit dem Begriff „Identity Threat Detection and Response (ITDR)“ ein neues Aktionsfeld definiert. Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. Somit konzentriert sich IDTR auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen und Berechtigungskonten sowie anderer identitätsbezogener Bedrohungen. Im Umfeld von Unternehmen lässt sich auch von „Cyber Resilience “ sprechen, welches die Fähigkeit von beschreibt, angemessen auf Cyberangriffe zu reagieren.

Grafik für IAM Innovationen ITDR von Gartner

Herausforderung: Cyberangriffe und Identitätsbedrohungen verhindern

Angreifer versuchen normalerweise, IAM-Systeme mit gestohlenen Anmeldeinformationen mit privilegiertem Zugriff zu umgehen. Von dort aus gelangen sie in die eigentlichen Businessapplikationen, um sensible Daten zu stehlen – oder sie versuchen Systeme zu stören und zum Erliegen zu bringen. Somit zählt eine Verhinderung des Diebstahls von Anmeldeinformationen zu den größten Herausforderungen, sind doch in über 60 Prozent von Datenschutzverletzungen gestohlene Anmeldeinformationen die Ursache (Quelle Verizon).
Die Einführung von cloudbasierten Systemen durch die Organisationen hat das Problem des Diebstahls noch verschärft, da die traditionellen Schutzkonzepte nicht mehr greifen. Es reicht nicht mehr, „die Burg zu schützen und einen unüberwindbaren Burggraben anzulegen“, um ein Eindringen zu verhindern. Es ist daher erforderlich, dass Unternehmen Zero-Trust-Ansätze realisieren. Sie müssen sich auf die Sicherung der Identitäten und Daten konzentrieren, auf die sie Zugriff haben – unabhängig davon, über welches Netzwerk oder Gerät der Zugriff erfolgt.

Wie funktionieren IDTR Systeme?

ITDR-Lösungen verwenden ähnliche Techniken, um unbefugten Zugriff zu verhindern, wie beispielsweise Echtzeit-24/7-Überwachung, regelbasierte automatisierte Antworten und verschiedene Analysetools. Im Gegensatz zu TDR-Lösungen sind sie darauf ausgelegt, Identitäten zu überwachen. Einige ITDR-Lösungen können auch „Honeypots“ verwenden, um Gegner mit gefälschten Daten anzulocken, auf die der Administrator (und/oder die Lösung selbst) reagieren kann.

Grafik für ITDR Referenz Modell von Sharelock.ai

Wo liegen die Schwachstellen bei der Identitätssicherheit?

Nicht verwaltete Identitäten: Organisationen laufen Gefahr, nicht alle Identitätstypen sauber zu verwalten. Oft wird der Identity Lifecycle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen etablierte Prozesse. Die unpersönlichen Konten sind keinen Personen zugeteilt oder es fehlen Passwortrichtlinien.
Falsch konfigurierte Identitäten: Dazu gehören Schattenadministratoren, Dienstkonten, schwache Kennwörter und schlechte Verschlüsselungspraktiken, welche es Angreifern leicht machen, in ein Netzwerk einzudringen.
Exponierte Identitäten: Dazu gehören im Speicher hinterlegte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene RDP-Sitzungen.

Das größte Risiko geht jedoch nach wie vor von den Mitarbeitenden aus, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäß umgehen oder beispielsweise in eine Phishing-Falle tappen. ITDR-Systeme legen daher großen Wert auf die Komponente des maschinellen Lernens, die es ermöglicht, den Missbrauch von Identitäten und Zugriffsrechten zu erkennen.

Was muss eine ITDR-Lösung können?

Es gibt bereits einige ITDR-Lösungen auf dem Markt. Bei der Evaluation solcher Lösungen sollten folgende Aspekte vertieft betrachtet werden und die genauen Anforderungen bekannt sein.

Monitor all access to privileged accounts: Diese Möglichkeiten sind heute bereits in den PAM-Lösungen vorhanden. Für ein ganzheitliches ITDR-Konzept ist es aber wichtig zu prüfen, inwieweit noch Lücken bestehen, die sich abdecken lassen. Wichtig ist es, dass die Nutzung der privilegierten Konten jederzeit nachvollziehbar ist. Ebenso muss überwacht werden können, wie sensible Daten abgerufen, modifiziert oder im schlimmsten Fall zerstört oder geteilt werden.
Establish a baseline of normal user behavior: Das Erkennen von Abweichungen vom normalen Benutzerverhalten und das rechtzeitige Auslösen von Korrekturmaßnahmen ist das Herzstück der ITDR-Lösung. In der Regel wird mittels Machine Learning das normale Nutzerverhalten erlernt und die IAM-Hygiene aufgebaut. Was „normal“ ist, hängt von verschiedenen Faktoren ab und je mehr Daten zur Verfügung stehen, desto differenzierter werden diese Baselines für das normale Nutzerverhalten sein.
Detect and respond to events that match a pre-defined threshold condition: In sogenannten Playbooks wird festgehalten, was im Falle von Anomalien geschehen soll. In der Regel gibt es bei mittelschweren oder leichten Identitätsbedrohungen einen Alert bei den Administratoren, welche eine Abklärung durchführen. In schweren Fällen ist ein automatisiertes Eingreifen des Systems der bessere Ansatz, beispielsweise wird ein auffälliges Benutzerkonto sofort gesperrt oder eine Berechtigung bis zur weiteren Klärung entzogen. Die Kunst besteht darin, Anomalien miteinander zu verknüpfen, um mögliche Angriffe bereits im Vorfeld zu verhindern. So kann eine Häufung von „Failed Logon Attempts“ in Kombination mit dem Versuch, ein Script auszuführen, einen möglichen Angriff darstellen. Eine Deaktivierung des Accounts ergibt in diesem Fall sofort Sinn.

ITDR-Lösungen aggregieren und korrelieren Event-Informationen möglichst plattformübergreifend und bieten leicht verständliche Dashboards. Die Lösungen sollten auch direkt mit IGA (Identity Governance Administration) oder SIEM-Lösungen integriert sein.

Identity Threat Detection and Response vom Experten

Da Identitätsbedrohungen zunehmend komplexer werden, setzen wir bei IPG auf Innovationen im Bereich Identity Access Management sowie auf hybride Cloud-Lösungen: Wir kennen die notwendigen Anforderungen im Bereich IT-Sicherheit und sind Ihr zuverlässiger Partner für Identity Threat Detection and Response. Kontaktieren Sie uns jetzt!

Treten Sie mit uns in Kontakt!

Ihr Vorname *

Ihr Nachname *

Firma *

Adresse

PLZ

Ort *

Ihre Telefonnummer *

Ihre E-Mail *

* Pflichtfelder

DSGVO
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Wir beraten Sie gerne!

Sie haben Fragen rund um das Thema IAM. Unsere Experten beraten Sie gerne.

Ihr Kontakt zu IPGCH: +41 522450474 / DE: +49 3030807135 / AT: +43 72 0512526

info@ipg-group.com