Identity Threat Detection and Response (ITDR)

Gartner hat diesen Trend bereits aufgegriffen und mit dem Begriff „Identity Threat Detection and Response (ITDR)“ ein neues Aktionsfeld definiert. Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. Somit konzentriert sich ITDR auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen und Berechtigungskonten sowie anderer identitätsbezogener Bedrohungen. Im Umfeld von Unternehmen lässt sich auch von „Cyber Resilience “ sprechen, welches die Fähigkeit von beschreibt, angemessen auf Cyberangriffe zu reagieren.

Angreifer versuchen normalerweise, IAM-Systeme mit gestohlenen Anmeldeinformationen mit privilegiertem Zugriff zu umgehen. Von dort aus gelangen sie in die eigentlichen Businessapplikationen, um sensible Daten zu stehlen – oder sie versuchen Systeme zu stören und zum Erliegen zu bringen. Somit zählt eine Verhinderung des Diebstahls von Anmeldeinformationen zu den größten Herausforderungen, sind doch in über 60 Prozent von Datenschutzverletzungen gestohlene Anmeldeinformationen die Ursache (Quelle Verizon).
Die Einführung von cloudbasierten Systemen durch die Organisationen hat das Problem des Diebstahls noch verschärft, da die traditionellen Schutzkonzepte nicht mehr greifen. Es reicht nicht mehr, „die Burg zu schützen und einen unüberwindbaren Burggraben anzulegen“, um ein Eindringen zu verhindern. Es ist daher erforderlich, dass Unternehmen Zero-Trust-Ansätze realisieren. Sie müssen sich auf die Sicherung der Identitäten und Daten konzentrieren, auf die sie Zugriff haben – unabhängig davon, über welches Netzwerk oder Gerät der Zugriff erfolgt.

1. Nicht verwaltete Identitäten: Organisationen laufen Gefahr, nicht alle Identitätstypen sauber zu verwalten. Oft wird der Identity Lifecycle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen etablierte Prozesse. Die unpersönlichen Konten sind keinen Personen zugeteilt oder es fehlen Passwortrichtlinien.
    
2. Falsch konfigurierte Identitäten: Dazu gehören Schattenadministratoren, Dienstkonten, schwache Kennwörter und schlechte Verschlüsselungspraktiken, welche es Angreifern leicht machen, in ein Netzwerk einzudringen.
    
3. Exponierte Identitäten: Dazu gehören im Speicher hinterlegte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene RDP-Sitzungen.

Das größte Risiko geht jedoch nach wie vor von den Mitarbeitenden aus, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäß umgehen oder beispielsweise in eine Phishing-Falle tappen. ITDR-Systeme legen daher großen Wert auf die Komponente des maschinellen Lernens, die es ermöglicht, den Missbrauch von Identitäten und Zugriffsrechten zu erkennen.

• Monitor all access to privileged accounts: Diese Möglichkeiten sind heute bereits in den PAM-Lösungen vorhanden. Für ein ganzheitliches ITDR-Konzept ist es aber wichtig zu prüfen, inwieweit noch Lücken bestehen, die sich abdecken lassen. Wichtig ist es, dass die Nutzung der privilegierten Konten jederzeit nachvollziehbar ist. Ebenso muss überwacht werden können, wie sensible Daten abgerufen, modifiziert oder im schlimmsten Fall zerstört oder geteilt werden.
• Establish a baseline of normal user behavior: Das Erkennen von Abweichungen vom normalen Benutzerverhalten und das rechtzeitige Auslösen von Korrekturmaßnahmen ist das Herzstück der ITDR-Lösung. In der Regel wird mittels Machine Learning das normale Nutzerverhalten erlernt und die IAM-Hygiene aufgebaut. Was „normal“ ist, hängt von verschiedenen Faktoren ab und je mehr Daten zur Verfügung stehen, desto differenzierter werden diese Baselines für das normale Nutzerverhalten sein.
• Detect and respond to events that match a pre-defined threshold condition: In sogenannten Playbooks wird festgehalten, was im Falle von Anomalien geschehen soll. In der Regel gibt es bei mittelschweren oder leichten Identitätsbedrohungen einen Alert bei den Administratoren, welche eine Abklärung durchführen. In schweren Fällen ist ein automatisiertes Eingreifen des Systems der bessere Ansatz, beispielsweise wird ein auffälliges Benutzerkonto sofort gesperrt oder eine Berechtigung bis zur weiteren Klärung entzogen. Die Kunst besteht darin, Anomalien miteinander zu verknüpfen, um mögliche Angriffe bereits im Vorfeld zu verhindern. So kann eine Häufung von „Failed Logon Attempts“ in Kombination mit dem Versuch, ein Script auszuführen, einen möglichen Angriff darstellen. Eine Deaktivierung des Accounts ergibt in diesem Fall sofort Sinn.

Da Identitätsbedrohungen zunehmend komplexer werden, setzen wir bei IPG auf Innovationen im Bereich Identity Access Management sowie auf hybride Cloud-Lösungen: Wir kennen die notwendigen Anforderungen im Bereich IT-Sicherheit und sind Ihr zuverlässiger Partner für Identity Threat Detection and Response. Kontaktieren Sie uns jetzt!