Identity Threat Detection and Response (ITDR) ist ein Sicherheitsverfahren zur Identifizierung, Reduzierung und Reaktion auf potenzielle identitätsbasierte Bedrohungen. Dazu gehören unter anderem kompromittierte Benutzerkonten, durchgesickerte Kennwörter, Datenschutzverletzungen und betrügerische Aktivitäten. Diese identitätsbasierten Angriffe stellen eine ernsthafte Bedrohung für die Unternehmenssicherheit dar.
In diesem Artikel nehmen wir ITDR unter die Lupe, die damit adressierten Sicherheitsherausforderungen und wie dieses Verfahren im Vergleich zur endpunktbasierten Detektion und Reaktion (EDR), einer gerätebasierten Sicherheitslösung, abschneidet.
Für welche Sicherheitsherausforderungen bietet ITDR eine Lösung?
Moderne identitätsbasierte Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar und führen oft zu Rechtsstreitigkeiten sowie finanziellen und Reputationsverlusten. Diese Art von Angriffe abzuwehren, ist eine enorme Herausforderung.
Die Angriffe von heute sind ausgefeilter und erfolgen schneller
Böswillige Akteure erweitern ihr Angriffsrepertoire, um mit der fortschreitenden Technologie Schritt zu halten. Die durchschnittliche Geschwindigkeit, Häufigkeit und Anzahl der Angriffsvektoren für identitätsbasierte Angriffe nehmen zu, was viele Unternehmen unvorbereitet und angreifbar macht. Im CrowdStrike 2024 Global Threat Report heißt es:
- Bei etwa acht von zehn Angriffen geht es schätzungsweise um gestohlene oder manipulierte Zugangsdaten. Gestohlene Zugangsdaten ermöglichen es Angreifern, sich lateral durch ein System zu bewegen und länger unentdeckt zu bleiben.
- 25 Prozent der Angriffe umgehen Standardsicherheitsmaßnahmen über nicht verwaltete Hosts – Laptops von Auftragnehmern, defekte Systeme, veraltete Anwendungen/Protokolle oder andere Teile der Lieferkette, die außerhalb der Kontrolle des Unternehmens liegen.
- Die durchschnittliche sogenannte „Breakout“-Zeit von Cyberkriminellen beträgt nur 84 Minuten. Dabei handelt es sich um die Zeit, die ein Angreifer im Durchschnitt benötigt, um von der Erstkompromittierung zu anderen Hosts in der angegriffenen Umgebung überzugehen.Allerdings kann es bis zu 250 Tage dauern, bis Unternehmen, die nicht über die richtigen Erkennungstools verfügen, eine identitätsbasierte Kompromittierung erkennen.
- Insider-Angriffe betreffen etwa 34 Prozent aller Unternehmen weltweit. Diese Angriffe sind schwer zu erkennen, da Sicherheitsrichtlinien und -maßnahmen nicht unbedingt auf den Datenverkehr ausgelegt sind, der innerhalb der Unternehmensstrukturen ausgetauscht wird.
Die Umgebungs- und Identitätslandschaft sind komplexer geworden
Darüber hinaus haben Cloud-Technologien in Kombination mit Remote-Arbeit die Komplexität des Angriffsflächenmanagements erheblich erhöht:
- Die hohe Komplexität, die mit einer Multi-Cloud-Architektur und mehreren Identitätsspeichern einhergeht, erschwert die Erkennung und Abwehr von Cyberangriffen und verringert die End-to-End-Transparenz.
- 90 Prozent der Unternehmen nutzen für die Verwaltung ihrer Identitätsinfrastruktur noch immer Active Directory (AD) – eine veraltete Technologie mit großer Angriffsfläche. Angreifer können lateral von der lokalen auf die Cloud-Infrastruktur übergreifen, was AD zu einem vielversprechenden Angriffsziel macht.
- Komplexe Umgebungen erhöhen die Schwierigkeit, regelmäßige Benutzerprüfungen durchzuführen und potenzielle Lücken in Identitätsspeichern zu identifizieren.
Das macht Unternehmen mit schlechter Transparenz innerhalb ihrer Cloud-Umgebung äußerst anfällig.
ITDR-Lösungen erkennen und reagieren auf Angriffe, indem sie die Benutzeraktivitäten fortlaufend überwachen, ungewöhnliches Verhalten erkennen und Sicherheitsteams alarmieren. ITDR-Lösungen bieten zentralisierte Transparenz und Kontrolle über alle zugewiesenen Benutzeridentitäten und Berechtigungen. Sie können auch in vorhandene Tools für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) integriert werden, um die Benutzerverwaltung in einer sich ständig weiterentwickelnden Umgebung zu vereinheitlichen und ihre Komplexität zu verringern.
ITDR und EDR im Vergleich
ITDR und EDR sind zwei Lösungen, die beide einen Mehrwert bei der Erkennung und Verhinderung von Cyberangriffen bieten. Allerdings haben sie dabei unterschiedliche Schwerpunkte:
ITDR überwacht und analysiert Benutzeraktivitäten sowie Zugriffsverwaltungsprotokolle und markiert alle böswilligen Aktivitäten. Die Lösung sammelt Daten aus mehreren IAM-Quellen, einschließlich vor Ort und in der Cloud. EDR hingegen überwacht und analysiert Endpunktgeräte wie Workstations und Laptops. Das Verfahren sammelt daher Systemprotokolle und Netzwerkverkehr, um böswillige Aktivitäten innerhalb des Unternehmensnetzwerks zu erkennen.
ITDR und EDR ergänzen sich und liefern wertvolle Erkenntnisse bei der Incident-Analyse. Folgendes Szenario: Ein Angreifer erlangt über ein Endpunktgerät Zugriff auf Ihr Netzwerk. Eine EDR-Lösung würde erkennen, dass auf diesem Gerät verdächtige Aktivitäten durchgeführt werden. Daher ist es essentiell zu verstehen, wie der Angreifer Zugriff erlangt hat und ob dies auf offengelegte Zugangsdaten zurückzuführen ist.
Währenddessen bieten ITDR-Lösungen detaillierte Einblicke in alle potenziellen identitätsbezogenen Bedrohungen. Sie können schnell jegliche Übereinstimmungen zwischen den beim Angriff verwendeten Anmeldeinformationen sowie den Anmeldeinformationen von autorisierten Benutzern feststellen. Dieses hohe Maß an Transparenz hilft dabei, die Grundursache des Angriffs zu identifizieren und bietet die Möglichkeit, Ihre Sicherheitsmaßnahmen zu verstärken, damit in Zukunft ähnliche Vorfälle verhindert werden.
Durch die Kombination der Fähigkeiten von ITDR und EDR erhält ein Unternehmen einen erheblichen Vorsprung bei der Erkennung und Reaktion auf komplexe Kompromittierungen und laterale Angriffsversuche.
Must-haves für eine ITDR-Lösung
Der Bericht Gartner® Report: Top Trends in CyberSecurity 2022 bezeichnet ITDR als Top-Trend für Sicherheits- und Risikomanagement und hebt die wachsende Besorgnis über identitätsbasierte Angriffe hervor, die immer komplexer werden. Daher benötigen Unternehmen, die dazu in der Lage sein möchten, solche Angriffe zu erkennen, eine Lösung, die ihren Anforderungen gerecht wird.
Vor diesem Hintergrund werfen wir einen Blick auf drei wesentliche Schwerpunkte von ITDR-Lösungen:
1. Kontinuierliche Transparenz
Transparenz und Visualisierung sind für die Erkennung identitätsbasierter Bedrohungen von entscheidender Bedeutung. Daher muss eine ITDR-Lösung fortlaufend Daten aus mehreren Quellen aggregieren und Bedrohungsanalysen durchführen.
Um auf potenzielle Sicherheitsbedrohungen hinweisen zu können, muss für dieses Verfahren eine Kombination folgender Elemente genutzt werden:
- Identitätsanalyse
- Machine Learning
- Verhaltensanalyse-Techniken
- Anomalieerkennung
Bei der Identifizierung potenzieller Bedrohungen spielt auch die Schnellanalyse mithilfe von Dashboards eine wichtige Rolle.
2. Proaktive Kontrolle
Identitätsbasierte Bedrohungen können schnell eskalieren. Ihr ITDR-System sollte in der Lage sein, eine automatisierte Reaktion auszulösen, um so den Zugriff auf das betroffene Benutzerkonto zu blockieren, das Sicherheitspersonal zu alarmieren und eine Untersuchung einzuleiten.
3. Risikobasierte Kontrolle
Nicht alle von einer Sicherheitslösung generierten Warnungen sind nützlich. Eine Informationsüberlastung zieht große Auswirkungen nach sich, die zu Verzögerungen oder Bedrohungen führen können, die aufgrund des hohen Aufkommens ähnlicher Warnungen untergehen.
Ihre ITDR-Lösung sollte dazu in der Lage sein, Fehlalarme zu erkennen und auf Grundlage des mit dem jeweiligen Angriff einhergehenden Risikos entsprechende Prioritäten zu setzen. Sie muss außerdem intelligent genug sein, um zu identifizieren, um welche Art von Angriffen es sich bei regelmäßigen Infrastrukturkompromittierungen handelt, und dann eine entsprechende Bedrohungsstufe ausrufen.
Der CrowdStrike-Ansatz
Die CrowdStrike Falcon®-Plattform fungiert als zentrale Bedrohungsschnittstelle und bietet einen umfassenden Überblick über Bedrohungen von Endpunkten und Identitäten. Dieser einheitliche Ansatz löst Echtzeit-, automatisierte und richtlinienbasierte Reaktionen über Endpunkte und Identitäten hinweg aus, die in sich geschlossene Tools normalerweise nicht bieten. Durch die Vereinheitlichung von Endpunkt- und Identitätstelemetrie ermöglicht die Plattform eine Echtzeitkorrelation von Bedrohungen mit einer Kombination aus Bedrohungsanalyse und Abwehrmechanismen.
CrowdStrike macht die Angriffspfade vollständig sichtbar und schützt so vor jeglichen Angriffsversuchen, einschließlich der Verbreitung von Malware, dateilosen Angriffen, gestohlenen Zugangsdaten und kompromittierter Identität.
CrowdStrike hat eine cloudnative Lösung mit einem einzigen Sensor entwickelt, der in der gesamten Kundenumgebung eingesetzt werden kann und die Erfassung von Telemetriedaten für alle Endgeräte und Identitäten deutlich vereinfacht. CrowdStrike kann ITDR auch mit Cloud Infrastructure Entitlement Management (CIEM) kombinieren, um die Identitätsstruktur mit zentralisierter Sichtbarkeit und Kontrolle über Cloud-Umgebungen hinweg zu sichern.