Was genau ist Identity Threat Detection and Response (ITDR)?

Was ist Identity Threat Detection and Response (ITDR)?

Identity Threat Detection and Response (ITDR) ist ein Cybersicherheits-Framework, das entwickelt wurde, um identitätsbasierte Angriffe in Echtzeit zu erkennen, zu untersuchen und abzuwehren. ITDR überwacht kontinuierlich die Benutzeraktivitäten, analysiert Zugriffsmuster und reagiert auf Identitätsbedrohungen wie kompromittierte Anmeldedaten, Erweiterung der Zugriffsrechte und laterale Bewegungen. Im Gegensatz zu herkömmlichen Sicherheitslösungen bietet ITDR identitätsspezifische Transparenz und Durchsetzung in Echtzeit, um zu verhindern, dass Angreifer kompromittierte Anmeldedaten ausnutzen und sich seitwärts bewegen.

In diesem Artikel nehmen wir ITDR unter die Lupe, die damit adressierten Sicherheitsherausforderungen und wie dieses Verfahren im Vergleich zur Endgeräte-Erkennung und Reaktion (EDR), einer gerätebasierten Sicherheitslösung, abschneidet.

Warum ITDR so wichtig ist: die wachsende Bedrohung durch identitätsbasierte Angriffe

Moderne identitätsbasierte Angriffe stellen eine erhebliche Bedrohung für Unternehmen dar und führen oft zu Rechtsstreitigkeiten sowie finanziellen und Reputationsverlusten. Diese Art von Angriffe abzuwehren, ist eine enorme Herausforderung.

Die Angriffe von heute sind ausgefeilter und erfolgen schneller

Böswillige Akteure erweitern ihr Angriffsrepertoire, um mit der fortschreitenden Technologie Schritt zu halten. Geschwindigkeit und Raffinesse identitätsbasierter Angriffe haben herkömmliche Sicherheitstools überholt. Angreifer verwenden jetzt MFA-Bypass-Techniken, gestohlene Sitzungscookies und Credential Stuffing, um Unternehmen innerhalb weniger Minuten zu infiltrieren.

Der CrowdStrike Global Threat Report 2025 stellt fest:

• Die Access-Broker-Aktivität ist um 50 % angestiegen.
• Voice-Phishing (Vishing) ist im Jahr 2024 um 442 % angestiegen.
• Die durchschnittliche Zeit, die Cyberkriminelle benötigen, um sich Zugang zu verschaffen, beträgt 48 Minuten – wobei die schnellste gemessene Zeit bei 51 Sekunden lag.
• 52 % der Schwachstellen betrafen den Erstzugang.

Umgebungs- und Identitätslandschaften sind komplexer geworden

Darüber hinaus haben Cloud-Technologien in Kombination mit Remote-Arbeit die Komplexität des Angriffsflächenmanagements erheblich erhöht:

• Die hohe Komplexität, die mit einer Multi-Cloud-Architektur und mehreren Identitätsspeichern einhergeht, erschwert die Erkennung und Abwehr von Cyberangriffen und verringert die End-to-End-Transparenz.
• 90 % der Fortune-1000-Unternehmen nutzen für die Verwaltung ihrer Identitätsinfrastruktur noch immer Active Directory (AD) – eine veraltete Technologie mit großer Angriffsfläche. Angreifer können lateral von der lokalen auf die Cloud-Infrastruktur übergreifen, was AD zu einem vielversprechenden Angriffsziel macht. Komplexe Umgebungen erhöhen die Schwierigkeit, regelmäßige Benutzerprüfungen durchzuführen und potenzielle Lücken in Identitätsspeichern zu identifizieren.

Das macht Unternehmen mit schlechter Transparenz innerhalb ihrer Cloud-Umgebung äußerst anfällig.

ITDR-Lösungen erkennen und reagieren auf Angriffe, indem sie die Benutzeraktivitäten fortlaufend überwachen, ungewöhnliches Verhalten erkennen und Sicherheitsteams alarmieren. ITDR-Lösungen bieten zentralisierte Transparenz und Kontrolle über alle zugewiesenen Benutzeridentitäten und Berechtigungen. Sie können auch in vorhandene Tools für die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) integriert werden, um die Benutzerverwaltung in einer sich ständig weiterentwickelnden Umgebung zu vereinheitlichen und ihre Komplexität zu verringern.

ITDR und EDR im Vergleich

ITDR (Identity Threat Detection and Response, Identitätsbedrohungserkennung und Reaktion) und EDR (Endpoint Detection and Response, Endgeräte-Erkennung und Reaktion) ergänzen sich gegenseitig, konzentrieren sich aber auf verschiedene Sicherheitsaspekte. EDR überwacht Endgeräte (Laptops, Workstations, Server), um Malware, Exploits und Angriffe auf Systemebene zu erkennen. Im Gegensatz dazu überwacht ITDR identitätsbezogene Aktivitäten, um den Missbrauch von Anmeldedaten, die Erweiterung der Zugriffsrechte und unbefugte Zugriffsversuche zu erkennen.

ITDR überwacht und analysiert Benutzeraktivitäten sowie Zugriffsverwaltungsprotokolle und markiert alle böswilligen Aktivitäten. Dabei werden Daten aus mehreren IAM-Quellen gesammelt, einschließlich vor Ort und in der Cloud. EDR hingegen überwacht und analysiert Endgeräte wie Workstations und Laptops. Das Verfahren sammelt daher Systemprotokolle und Netzwerkverkehr, um böswillige Aktivitäten innerhalb des Unternehmensnetzwerks zu erkennen.

Die Kombination von ITDR mit EDR schafft einen einheitlichen Sicherheitsansatz. Wenn ein EDR-System verdächtige Aktivitäten an einem Endgerät erkennt, hilft ITDR dabei, festzustellen, ob die Bedrohung von kompromittierten Anmeldedaten, lateraler Bewegung oder Missbrauch von Rechten herrührt, sodass die Sicherheitsteams die Angriffskette vollständig verstehen. Folgendes Szenario: Ein Angreifer erlangt über ein Endpunktgerät Zugriff auf Ihr Netzwerk. Eine EDR-Lösung würde erkennen, dass auf diesem Gerät verdächtige Aktivitäten durchgeführt werden. Daher ist es essenziell zu verstehen, wie der Angreifer Zugriff erlangt hat und ob dies auf offengelegte Zugangsdaten zurückzuführen ist.

Währenddessen bieten ITDR-Lösungen detaillierte Einblicke in alle potenziellen identitätsbezogenen Bedrohungen. Sie können schnell jegliche Übereinstimmungen zwischen den beim Angriff verwendeten Anmeldeinformationen sowie den Anmeldeinformationen von autorisierten Benutzern feststellen. Dieses hohe Maß an Transparenz hilft dabei, die Grundursache des Angriffs zu identifizieren und bietet die Möglichkeit, Ihre Sicherheitsmaßnahmen zu verstärken, damit in Zukunft ähnliche Vorfälle verhindert werden.

Durch die Kombination der Fähigkeiten von ITDR und EDR erhält ein Unternehmen einen erheblichen Vorsprung bei der Erkennung von und der Reaktion auf komplexe Kompromittierungen und laterale Bewegungen.

Must-haves für eine ITDR-Lösung

ITDR ist heute ein wichtiger Bestandteil moderner Sicherheitsarchitekturen, angetrieben durch den rasanten Anstieg von identitätsbasierten Eindringlingen, Missbrauch von Rechten und Cloud-Sicherheitsbedrohungen. Daher benötigen Unternehmen, die dazu in der Lage sein möchten, solche Angriffe zu erkennen, eine Lösung, die ihren Anforderungen gerecht wird.

Vor diesem Hintergrund werfen wir einen Blick auf drei wesentliche Schwerpunkte von ITDR-Lösungen:

1. Kontinuierliche Transparenz

Identitätstransparenz in Echtzeit ist unerlässlich, um Identitätsbedrohungen abzuwehren, bevor Angreifer ihre Persistenz aufbauen. ITDR-Lösungen müssen Authentifizierungsaktivitäten, Benutzerverhalten und Versuche zur Erweiterung der Zugriffsrechte in Hybrid-, Cloud- und lokalen Umgebungen korrelieren. Daher muss eine ITDR-Lösung fortlaufend Daten aus mehreren Quellen aggregieren und Bedrohungsanalysen durchführen.

Um auf potenzielle Sicherheitsbedrohungen hinweisen zu können, muss für dieses Verfahren eine Kombination folgender Elemente genutzt werden:

• Identitätsanalyse
• Machine Learning
• Verhaltensanalyse-Techniken
• Anomalieerkennung

Bei der Identifizierung potenzieller Bedrohungen spielt auch die Schnellanalyse mithilfe von Dashboards eine wichtige Rolle.

2. Proaktive Kontrolle

Identitätsbasierte Bedrohungen entwickeln sich rasant, weshalb ITDR-Lösungen eine automatisierte Durchsetzung in Echtzeit erfordern. Wenn ITDR verdächtige Aktivitäten erkennt, sollte es unverzüglich den Zugriff widerrufen, riskante Sitzungen beenden, die seitliche Bewegung blockieren oder je nach Schwere des Risikos eine zusätzliche Authentifizierung verlangen.

3. Risikobasierte Kontrolle

Nicht alle von einer Sicherheitslösung generierten Warnungen sind nützlich. Eine Informationsüberlastung zieht große Auswirkungen nach sich, die zu Verzögerungen oder Bedrohungen führen können, die aufgrund des hohen Aufkommens ähnlicher Warnungen untergehen.

Ihre ITDR-Lösung sollte dazu in der Lage sein, Fehlalarme zu erkennen und auf Grundlage des mit dem jeweiligen Angriff einhergehenden Risikos entsprechende Prioritäten zu setzen. Sie muss außerdem intelligent genug sein, um zu identifizieren, um welche Art von Angriffen es sich bei regelmäßigen Infrastrukturkompromittierungen handelt, und dann eine entsprechende Bedrohungsstufe ausrufen.

Der Ansatz von CrowdStrike

Die CrowdStrike Falcon®-Plattform ist die einzige einheitliche Lösung der Branche, die Identitätsbedrohungen in Echtzeit erkennt und verhindert. Durch die Kombination von ITDR mit EDR schließt Falcon Sicherheitslücken, die es Angreifern ermöglichen, Anmeldedaten auszunutzen, sich lateral zu bewegen und sich der Entdeckung zu entziehen. Im Gegensatz zu eigenständigen IAM- oder EDR-Lösungen verwendet Falcon ITDR Angreiferinformationen, um Techniken zum Missbrauch von Anmeldedaten zu erkennen – einschließlich Golden-Ticket-Angriffen, Pass-the-Hash und MFA-Umgehungsversuchen. Dadurch können Unternehmen die identitätsbasierte Eindämmung von Bedrohungen automatisieren, bevor Angreifer ihre Berechtigungen ausweiten oder eine dauerhafte Präsenz aufbauen können. Durch die Vereinheitlichung von Endpunkt- und Identitätstelemetrie ermöglicht die Plattform eine Echtzeitkorrelation von Bedrohungen mit einer Kombination aus Threat Intelligence und Abwehrmechanismen.

CrowdStrike macht die Angriffspfade vollständig sichtbar und schützt so vor jeglichen Angriffsversuchen, einschließlich der Verbreitung von Malware, dateilosen Angriffen, gestohlenen Zugangsdaten und kompromittierter Identität.

CrowdStrike hat eine cloudnative Lösung mit einem einzigen Sensor entwickelt, die in der gesamten Kundenumgebung eingesetzt werden kann und die Erfassung von Telemetriedaten für alle Endgeräte und Identitäten deutlich vereinfacht. CrowdStrike Falcon® Next-Gen Identity Security erweitert die Sicherheit über herkömmliches IAM hinaus, indem es Cloud Infrastructure Entitlement Management (CIEM) integriert, um falsch konfigurierte Cloud-Berechtigungen, unbefugten API-Zugriff und übermäßige Rechte zu erkennen und so einen umfassenden Identitätsschutz zu gewährleisten.