Identity Threat Detection and Response

Angreifer versuchen normalerweise, IAM-Systeme mit gestohlenen Anmeldeinformationen mit privilegiertem Zugriff zu umgehen. Von dort aus gelangen sie in die eigentlichen Businessapplikationen um sensible Daten zu stehlen. Oder sie versuchen Systeme zu stören und zum Erliegen zu bringen. Somit zählt eine Verhinderung des Diebstahls von Anmeldeinformationen zu den grössten Herausforderungen, sind doch in über 60% von Datenschutzverletzungen gestohlene Anmeldeinformationen die Ursache (Quelle Verizon).

Die Einführung von Cloud-basierten Systemen durch die Organisationen hat das Problem des Diebstahls noch verschärft, da die traditionellen Schutzkonzepte nicht mehr greifen. Es reicht nicht mehr die «Burg zu schützen und einen unüberwindbaren Burggraben anzulegen» um ein Eindringen zu verhindern. Unternehmen müssen Zero Trust Ansätze realisieren und die Absicht haben, sich um die Sicherung von Identitäten und den Daten, auf die sie Zugriff haben zu konzentrieren, unabhängig von Netzwerk oder Gerät, das zugreifen möchte.

Wie funktionieren IDTR Systeme?

ITDR-Lösungen verwenden ähnliche Techniken, um unbefugten Zugriff zu verhindern, wie z. B. Echtzeit-24/7-Überwachung, regelbasierte automatisierte Antworten und verschiedene Analysetools. Im Gegensatz zu TDR-Lösungen sind sie darauf ausgelegt, Identitäten zu überwachen. Einige ITDR-Lösungen können auch "Honeypots" verwenden, um Gegner mit gefälschten Daten anzulocken, auf die der Administrator (und/oder die Lösung selbst) reagieren kann.

Wo liegen die Schwachstellen beim Schutz von Identitäten?

1. Nicht verwaltete Identitäten: Organisationen laufen Gefahr, nicht alle Identitätstypen sauber zu verwalten. Oft wird der Identity Life Cyle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen etablierte Prozesse. Die unpersönlichen Konten sind keinen Personen zugeteilt oder es fehlen Passwortrichtlinien.
    
2. Falsch konfigurierte Identitäten: Dazu gehören Schattenadministratoren, Dienstkonten, schwache Kennwörter und schlechte Verschlüsselungspraktiken, welche es Angreifern leicht machen, in ein Netzwerk einzudringen.
    
3. Exponierte Identitäten: Dazu gehören im Speicher gespeicherte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene RDP-Sitzungen.

Das grösste Risiko stellen aber nach wie vor die Mitarbeitenden dar, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäss umgehen oder z.B. in eine Phising-Falle laufen. Daher haben ITDR System grosses Gewicht auf der Machine Learning Komponente, welche es ermöglicht, unsachgemässe Nutzungen von Identitäten und Zugriffsrechten zu erkennen.

Was muss eine ITDR Lösung können?

Es gibt bereits einige ITDR Lösungen im Markt. Bei der Evaluation solcher Lösungen sollten folgende Aspekte vertieft betrachtet werden und die genauen Anforderungen bekannt sein.

• Monitor all access to privileged accounts. Diese Möglichkeiten sind heute bereits in den PAM-Lösungen vorhanden, für ein ganzheitliches ITDR-Konzept ist es aber wichtig zu prüfen, in wieweit noch Lücken bestehen, die Abgedeckt werden können. Wichtig ist es, dass die Nutzung der privilegierten Konten jederzeit nachvollziehbar ist. Ebenso muss überwacht werden können, wie sensible Daten abgerufen, modifiziert oder im schlimmsten Fall zerstört oder geteilt werden.
• Establish a baseline of normal user behavior. Abweichungen von normalem Benutzerverhalten erkennen und zeitnah eine Remedation auslösen, ist das Herzstück der ITDR Lösung. In der Regel wird mittels Machine Learning das normale Nutzerverhalten erlernt und die IAM-Hygiene aufgebaut. Das «was ist normal» hängt dabei von verschiedenen Faktoren ab und je umfassender die Datenlage ist, desto differenzierter sind diese Baselines für das normale Benutzerverhalten.
• Detect and respond to events that match a pre-defined threshold condition. In sogenannten Playbooks wird festgehalten, was im Falle von Anomalien geschehen soll. In der Regel gibt es bei mittelschweren oder leichten Threats einen Alert bei den Administratoren, welche eine Abklärung durchführen. In schweren Fällen ist ein automatisiertes Eingreifen des Systems der bessere Ansatz, z.B. wird ein auffälliges Benutzerkonto sofort gesperrt oder eine Berechtigung entzogen bis weitere Abklärungen erfolgt sind. Die Kunst liegt in der Verknüpfung von Anomalien, um mögliche Angriffe bereits im Vorfeld zu verhindern. So kann ein Häufung von «Failed Logon Attemps» in Kombination mit dem Versuch ein Script auszuführen eine mögliche Attacke darstellen. Eine Deaktivierung des Accounts macht in dem Fall umgehend Sinn.

ITDR Lösungen aggregieren und korrelieren Event-Informationen möglichst plattformübergreifend und bieten leicht verständliche Dashboards. Die Lösungen sollten auch direkt mit IGA (Identity Governance Administration) oder SIEM-Lösungen integriert sein.