DE / EN

Identity Threat Detection and Response

Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) 

   

ITDR - Die neue «Paradedisziplin» im IAM-Markt?

Auch IAM-Lösungen sind Ziele von Cyberangriffen, ein Trend, der sich verstärkt fortsetzen dürfte. Wenn ein Angreifer in der Lage ist, eine IAM-Lösung zu kompromittieren, hat er privilegierten Zugriff auf das Zielnetzwerk und kann viel Schaden anrichten. Das Erkennen von Anomalien bei Verwendung von Benutzerkonten und Zugriffsrechten gehört somit künftig zu den zentralen «Abwehrmechanismen» in der Cyber Security und wird zum Herzstück des Identity & Access Management werden.

Gartner hat diesen Trend bereits aufgegriffen und mit dem Begriff «Identity Threat Detection and Response (ITDR)» ein neues Aktionsfeld definiert. Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. Somit konzentriert sich IDTR auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen und Berechtigungskonten sowie anderer identitätsbezogener Bedrohungen.

Grafik für IAM Innovationen ITDR von Gartner

Angreifer versuchen normalerweise, IAM-Systeme mit gestohlenen Anmeldeinformationen mit privilegiertem Zugriff zu umgehen. Von dort aus gelangen sie in die eigentlichen Businessapplikationen um sensible Daten zu stehlen. Oder sie versuchen Systeme zu stören und zum Erliegen zu bringen. Somit zählt eine Verhinderung des Diebstahls von Anmeldeinformationen zu den grössten Herausforderungen, sind doch in über 60% von Datenschutzverletzungen gestohlene Anmeldeinformationen die Ursache (Quelle Verizon).

Die Einführung von Cloud-basierten Systemen durch die Organisationen hat das Problem des Diebstahls noch verschärft, da die traditionellen Schutzkonzepte nicht mehr greifen. Es reicht nicht mehr die «Burg zu schützen und einen unüberwindbaren Burggraben anzulegen» um ein Eindringen zu verhindern. Unternehmen müssen Zero Trust Ansätze realisieren und die Absicht haben, sich um die Sicherung von Identitäten und den Daten, auf die sie Zugriff haben zu konzentrieren, unabhängig von Netzwerk oder Gerät, das zugreifen möchte.

Wie funktionieren IDTR Systeme?

ITDR-Lösungen verwenden ähnliche Techniken, um unbefugten Zugriff zu verhindern, wie z. B. Echtzeit-24/7-Überwachung, regelbasierte automatisierte Antworten und verschiedene Analysetools. Im Gegensatz zu TDR-Lösungen sind sie darauf ausgelegt, Identitäten zu überwachen. Einige ITDR-Lösungen können auch "Honeypots" verwenden, um Gegner mit gefälschten Daten anzulocken, auf die der Administrator (und/oder die Lösung selbst) reagieren kann.

Grafik für ITDR Referenz Modell von Sharelock.ai

Wo liegen die Schwachstellen beim Schutz von Identitäten?

  1. Nicht verwaltete Identitäten: Organisationen laufen Gefahr, nicht alle Identitätstypen sauber zu verwalten. Oft wird der Identity Life Cyle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen etablierte Prozesse. Die unpersönlichen Konten sind keinen Personen zugeteilt oder es fehlen Passwortrichtlinien.
     
  2. Falsch konfigurierte Identitäten: Dazu gehören Schattenadministratoren, Dienstkonten, schwache Kennwörter und schlechte Verschlüsselungspraktiken, welche es Angreifern leicht machen, in ein Netzwerk einzudringen.
     
  3. Exponierte Identitäten: Dazu gehören im Speicher gespeicherte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene RDP-Sitzungen.

Das grösste Risiko stellen aber nach wie vor die Mitarbeitenden dar, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäss umgehen oder z.B. in eine Phising-Falle laufen. Daher haben ITDR System grosses Gewicht auf der Machine Learning Komponente, welche es ermöglicht, unsachgemässe Nutzungen von Identitäten und Zugriffsrechten zu erkennen.

Was muss eine ITDR Lösung können?

Es gibt bereits einige ITDR Lösungen im Markt. Bei der Evaluation solcher Lösungen sollten folgende Aspekte vertieft betrachtet werden und die genauen Anforderungen bekannt sein.

  • Monitor all access to privileged accounts. Diese Möglichkeiten sind heute bereits in den PAM-Lösungen vorhanden, für ein ganzheitliches ITDR-Konzept ist es aber wichtig zu prüfen, in wieweit noch Lücken bestehen, die Abgedeckt werden können. Wichtig ist es, dass die Nutzung der privilegierten Konten jederzeit nachvollziehbar ist. Ebenso muss überwacht werden können, wie sensible Daten abgerufen, modifiziert oder im schlimmsten Fall zerstört oder geteilt werden.
  • Establish a baseline of normal user behavior. Abweichungen von normalem Benutzerverhalten erkennen und zeitnah eine Remedation auslösen, ist das Herzstück der ITDR Lösung. In der Regel wird mittels Machine Learning das normale Nutzerverhalten erlernt und die IAM-Hygiene aufgebaut. Das «was ist normal» hängt dabei von verschiedenen Faktoren ab und je umfassender die Datenlage ist, desto differenzierter sind diese Baselines für das normale Benutzerverhalten.
  • Detect and respond to events that match a pre-defined threshold condition. In sogenannten Playbooks wird festgehalten, was im Falle von Anomalien geschehen soll. In der Regel gibt es bei mittelschweren oder leichten Threats einen Alert bei den Administratoren, welche eine Abklärung durchführen. In schweren Fällen ist ein automatisiertes Eingreifen des Systems der bessere Ansatz, z.B. wird ein auffälliges Benutzerkonto sofort gesperrt oder eine Berechtigung entzogen bis weitere Abklärungen erfolgt sind. Die Kunst liegt in der Verknüpfung von Anomalien, um mögliche Angriffe bereits im Vorfeld zu verhindern. So kann ein Häufung von «Failed Logon Attemps» in Kombination mit dem Versuch ein Script auszuführen eine mögliche Attacke darstellen. Eine Deaktivierung des Accounts macht in dem Fall umgehend Sinn.

ITDR Lösungen aggregieren und korrelieren Event-Informationen möglichst plattformübergreifend und bieten leicht verständliche Dashboards. Die Lösungen sollten auch direkt mit IGA (Identity Governance Administration) oder SIEM-Lösungen integriert sein.

Treten Sie mit uns in Kontakt!

Treten Sie mit uns in Kontakt!

* Pflichtfelder
DSGVO
Wenn Sie die im Kontaktformular eingegebenen Daten durch Klick auf den nachfolgenden Button übersenden, erklären Sie sich damit einverstanden, dass wir Ihre Angaben für die Beantwortung Ihrer Anfrage bzw. Kontaktaufnahme verwenden. Eine Weitergabe an Dritte findet grundsätzlich nicht statt, es sei denn geltende Datenschutzvorschriften rechtfertigen eine Übertragung oder wir dazu gesetzlich verpflichtet sind. Sie können Ihre erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Im Falle des Widerrufs werden Ihre Daten umgehend gelöscht. Ihre Daten werden ansonsten gelöscht, wenn wir Ihre Anfrage bearbeitet haben oder der Zweck der Speicherung entfallen ist. Sie können sich jederzeit über die zu Ihrer Person gespeicherten Daten informieren. Weitere Informationen zum Datenschutz finden Sie auch in der Datenschutzerklärung dieser Webseite.

Wir beraten Sie gerne!

Sie haben Fragen rund um das Thema IAM. Unsere Experten beraten Sie gerne. 
 

Logo von IPG mit weißem Hintergrund - Experts in IAM

Ihr Kontakt zu IPGCH: +41 522450474 / DE: +49 3030807135 / AT: +43 72 0512526

info@ipg-group.com