ITDR-Lösungen (Erkennung von Identitätsbedrohungen und Reaktion) sind proaktive Cybersicherheitstools, die Systeme überwachen, um identitätsbasierte Bedrohungen und Schwachstellen wie die Eskalation von Berechtigungen und Fehlkonfigurationen von Konten zu erkennen und zu beheben.
Benutzeridentitäten sind heute ein wichtiger Teil der Unternehmens-Angriffsfläche, da Cyberkriminelle es zunehmend vorziehen, sich einzuloggen, anstatt zu hacken. Der IBM® X-Force® Threat Intelligence Index meldet, dass identitätsbasierte Angriffe 30 % aller unbefugten Zugriffe ausmachen. Bedrohungsakteure nutzen Phishing-Angriffe und Infosteal-Malware, um Zugangsdaten zu sammeln, mit denen sie dann gültige Konten übernehmen.
ITDR-Systeme können helfen, diese identitätsbasierten Cyberangriffe abzuwehren, indem sie Benutzeraktivitäten und Identitätssysteme in einem Unternehmensnetzwerk überwachen. ITDR-Tools können Brute-Force-Angriffe, Credential-Stuffing, Anmeldeanomalien und andere Cyberbedrohungen erkennen und sie können automatisch reagieren, um zu verhindern, dass Angreifer auf sensible Daten und Systeme zugreifen.
Schließen Sie sich Führungskräften im Bereich Sicherheit an, die von den kuratierten Nachrichten zu KI, Cybersicherheit, Daten und Automatisierung im Think Newsletter profitieren. Lernen Sie schnell von Experten-Tutorials und Erläuterungen, die direkt in Ihren Posteingang geliefert werden. Weitere Informationen finden Sie in der IBM Datenschutzerklärung.
Ein ITDR-System überwacht ein Unternehmensnetzwerk kontinuierlich auf anomale oder verdächtige Aktivitäten im Zusammenhang mit Benutzeridentitäten. Wenn eine ITDR-Lösung potenziell bösartiges Verhalten erkennt, alarmiert sie das Sicherheitsteam und löst eine automatisierte Reaktion aus, beispielsweise die sofortige Sperrung des Kontozugriffs auf sensible Daten.
Ein ITDR-System kombiniert mehrere Funktionen in einer umfassenden Lösung. Zu den Kernfunktionen von ITDR gehören:
Um verdächtige Aktivitäten zu erkennen, muss ein ITDR-System zunächst wissen, wie normale und autorisierte Aktivitäten aussehen.
ITDRs sammeln Informationen aus Quellen wie:
Der ITDR nutzt Verhaltensanalyse und Beziehungszuordnungen, um all diese Daten zu verarbeiten und ein Basismodell des normalen Verhaltens für Benutzer, ihre Konten und die Systeme, auf die sie zugreifen, zu erstellen.
Ein ITDR-System überwacht die Identitätsaktivitäten und die Infrastruktur im gesamten Netzwerk, um Bedrohungen, Gefährdungen und Schwachstellen zu erkennen. ITDRs verfolgen Anmeldungen, Authentifizierungen, Identitätsanbieter (IdPs), Zugriffsanfragen und Verzeichnisse wie Active Directory und vergleichen sie mit dem Basismodell. ITDR-Tools kennzeichnen bedeutende Abweichungen von der Baseline als potenzielle Bedrohungen.
Abweichungen können Aktivitäten wie Anmeldeversuche von ungewöhnlichen Orten aus, laterale Bewegungen eines Benutzers über Datensätze, die nichts miteinander zu tun haben, oder ungewöhnliche Anfragen zur Rechteerweiterung beinhalten.
Einige ITDR-Systeme verwenden maschinelles Lernen (ML), um historische Bedrohungsmuster (aus Unternehmensdaten, Threat Intelligence Feeds und anderen Quellen) zu analysieren und verschiedene Arten von Angriffen zu identifizieren. Auf diese Weise kann der ITDR neue Identitätsrisiken leichter erkennen, auf die er bisher nicht direkt gestoßen ist.
Wenn ein ITDR-System einen potenziellen Einbruch erkennt, meldet es die Aktivität an das Security Operations Center (SOC) und löst eine sofortige Reaktion auf die Anomalie aus. Zu den Funktionen können die Isolierung des angegriffenen Systems, die Deaktivierung kompromittierter Konten, die Anforderung einer zusätzlichen Benutzerauthentifizierung und andere Mittel zum Unterbinden nicht autorisierter oder verdächtiger Aktivitäten gehören.
Identitätsbasierte Angriffe sind Cyberangriffe, die Benutzeridentitäten profitieren, um sich unbefugten Zugriff auf ein Netzwerk zu verschaffen. Identitätsbasierte Angriffe beinhalten oft die Übernahme eines legitimen Kontos und den Missbrauch seiner Rechte, um Daten zu stehlen, Ransomware zu verbreiten oder anderen Schaden anzurichten.
Beispiele für gängige identitätsbasierte Angriffe sind:
Bei einem Brute-Force-Angriff versuchen Hacker, durch Versuch und Irrtum Zugriff auf ein Konto zu erhalten, indem sie mehrere Zugangsdaten verwenden, bis sie die passende finden.
Bei der Rechteausweitung handelt es sich um eine Cyberangriffstechnik, bei der ein Bedrohungsakteur seine Berechtigungen in einem System ändert oder erhöht, beispielsweise indem er von einem Benutzerkonto mit niedrigeren Berechtigungen zu einem Administratorkonto mit höheren Berechtigungen wechselt.
Die Lateralbewegung ist eine Taktik, die Cyberkriminelle anwenden, um tiefer in das Netz eines Unternehmens vorzudringen, nachdem sie sich unbefugten Zugriff verschafft haben. Im Großen und Ganzen bestehen Angriffe mit Lateralbewegung aus zwei Teilen: einem anfänglichen Einbruch, gefolgt von einer internen Bewegung.
Phishing ist eine Art Social Engineering, die gefälschte E-Mails, Textnachrichten, Telefonanrufe oder Websites einsetzt, um Menschen dazu zu verleiten, sensible Daten weiterzugeben oder Malware herunterzuladen.
Hacker können durch Phishing auf verschiedene Weise die Kontrolle über Benutzerkonten übernehmen. Sie können einen Benutzer dazu verleiten, ihre Zugangsdaten preiszugeben, indem sie sich als vertrauenswürdige Marke ausgeben und ihn auf eine gefälschte Website leiten. Oder sie verwenden Phishing-Nachrichten, um Infostealer-Malware zu verbreiten, die das Passwort des Benutzers heimlich aufzeichnet.
Identitätsrisiken und Bedrohungen gehen nicht immer von böswilligen Akteuren aus. Fehlkonfigurationen, einfache Versehen, menschliches Versagen und der Missbrauch von Berechtigungen durch autorisierte Benutzer können die Identitätssicherheit gefährden. Risiken sind:
Da identitätsbasierte Angriffe immer häufiger werden und Identitätssysteme immer komplexer werden, können ITDR-Tools Unternehmen helfen, ihren Sicherheitsstatus zu verbessern und mehr Kontrolle über die Identitätsinfrastruktur zu erlangen.
Für viele Unternehmen sind Software-as-a-Service (SaaS) -Lösungen, hybride Multicloud-Umgebung und Remote-Arbeit die Norm. Ihre Netzwerke enthalten eine Mischung aus Cloud-basierten und lokalen Apps und Assets verschiedener Anbieter, die von verschiedenen Benutzern an verschiedenen Standorten genutzt werden. Diese Apps verfügen oft über eigene Identitätssysteme, die sich möglicherweise nicht einfach untereinander integrieren lassen.
Als Ergebnisse haben viele Unternehmen mit fragmentierten Geschäftswelten zu kämpfen, die Lücken aufweisen, die Bedrohungsakteure für böswillige Zwecke ausnutzen können und dies auch tun.
Durch die Überwachung von Identitäten statt Geräten oder Assets können ITDRs eine verbesserte Transparenz der Benutzeraktivitäten in Cloud-Umgebungen, SaaS-Tools und lokalen Systemen bieten. Während verschiedene Apps und Assets möglicherweise unterschiedliche Identitätssysteme haben, ermöglicht ITDR Unternehmen, sie alle an einem Ort zu überwachen.
ITDRs können nicht nur aktive Angriffe, sondern auch potenziell gefährliche Fehlkonfigurationen und Schwachstellen erkennen. Zum Beispiel können einige ITDR-Tools schwache Authentifizierungsmechanismen, inaktive Konten und sogar die Nutzung bestimmter Schatten-IT-Ressourcen erkennen.
Durch die kontinuierliche Überwachung der Identitätsinfrastruktur können ITDR-Tools Cyberangriffe erkennen, bevor Hacker die Chance hatten, echten Schaden anzurichten.
ITDRs können nicht nur Sicherheitsteams auf diese Angriffe hinweisen, sondern auch automatisch in Echtzeit reagieren und Hacker und böswillige Insider daran hindern, fortzufahren. Dadurch ermöglicht ITDR eine schnellere Eindämmung von Bedrohungen und die Beseitigung von Schwachstellen, bevor diese für Angriffe genutzt werden können.
Unternehmen müssen sich mit einem wahren Wirrwarr von sich überschneidenden Technologien zur Erkennung und Bekämpfung von Bedrohungen auseinandersetzen. Auch wenn diese Tools ähnliche Funktionen haben, bieten sie unterschiedlichen Schutz für verschiedene Bereiche eines Unternehmensnetzwerks. Sie werden häufig als Ergänzung zueinander in einer mehrschichtigen Defense-in-Depth-Strategie der Cybersicherheit verwendet.
Identity und Access Management (IAM) Tools verwalten den Lebenszyklus der Benutzeridentität, von der Kontoerstellung bis zur Entsorgung. Während ITDR darauf abzielt, die böswilligen Aktivitäten nicht autorisierter Benutzer zu erkennen und zu vereiteln, konzentriert sich IAM darauf, sicherzustellen, dass autorisierte Benutzer über die richtigen Berechtigungen verfügen, und diese angemessen zu nutzen.
Zu den wichtigsten IAM-Funktionen gehören das Erstellen von Benutzeridentitäten, das Zuweisen von Rechten, das Durchsetzen von Zugriffsrichtlinien und das Ausmustern alter Identitäten. IAM- und ITDR-Systeme arbeiten oft zusammen. IAM erleichtert autorisierten Benutzern den Zugriff, während ITDR-Tools die Benutzeraktivitäten im Hinblick auf Bedrohungen wie Kontokompromittierung oder Missbrauch von Berechtigungen überwachen.
Privileged Access Management (PAM) Systeme regeln und sichern die Konten und Aktivitäten privilegierter Benutzer, beispielsweise von Systemadministratoren. Während ITDR-Tools alle Identitäten überwachen, decken PAM-Tools privilegierte Identitäten ab.
PAM-Tools stellen privilegierte Konten bereit, verwalten, wie und wann Benutzer erhöhte Privilegien erhalten, und überwachen privilegierte Aktivitäten auf verdächtiges Verhalten und Nichteinhaltung von Vorschriften.
PAM ist älter als ITDR als formell definierte Cybersicherheit, und PAM-Tools werden in der Regel als eine eigene Kategorie betrachtet. In mancher Hinsicht kann PAM jedoch als gezielte Version von ITDR betrachtet werden. ITDR überwacht identitätsbasierte Bedrohungen für alle Benutzer, während PAM speziell privilegierte Konten schützt. Beide können zusammenarbeiten, um erweiterte Sicherheitskontrollen für ein Netzwerk bereitzustellen.
Der Hauptunterschied zwischen Endpoint Detection and Response (EDR) und ITDR besteht darin, dass EDR-Tools Geräte schützen, während ITDR-Tools Identitäten schützen.
EDRs überwachen Endgeräte wie Server und PCs, um bösartige Aktivitäten auf dem Gerät zu erkennen. ITDR konzentriert sich auf identitätsbasierte Bedrohungen und erkennt bösartige Aktivitäten auf der Ebene von Benutzern und Konten.
ITDR- und EDR-Systeme sind komplementäre Aspekte der Sicherheitsabläufe eines Unternehmens. Wenn EDR beispielsweise verdächtige Aktivitäten an einem Endgerät entdeckt, kann ein ITDR-System dabei helfen, diese Aktivität mit einer bestimmten Identität zu verbinden.
Während ITDR einen engeren Fokus auf Benutzeridentitäten hat, integrieren XDR-Lösungen Sicherheitstools und -vorgänge über alle Sicherheitsebenen hinweg – Benutzer, Endpunkte, Anwendungen, Netze, Cloud-Workloads und Daten.
XDR-Tools ermöglichen das Zusammenspiel von Sicherheitslösungen, die nicht unbedingt für eine nahtlose Prävention, Erkennung und Reaktion auf Bedrohungen ausgelegt sind. Neben anderen Tools lassen sich ITDRs mit XDRs integrieren, um Daten über Identitäten und identitätsbasierte Systeme in eine einheitliche Sicherheitsarchitektur einzuspeisen.
Zusammen können ITDRs und XDRs Unternehmen einen umfassenderen Überblick über ihre Netzwerke verschaffen und so effektivere Sicherheitsmaßnahmen und Identity-Governance-Modelle ermöglichen.