Benutzersperrung aufgrund von Sicherheitsrisiken

Online bearbeiten

Beugen Sie laufenden Angriffen proaktiv vor, indem Sie bedrohungsbasierte Zugriffsrichtlinien einsetzen, um verdächtige Benutzer automatisch zu blockieren, und den IP-basierten Schutz während des SSO-Ablaufs auf die Benutzerebene ausweiten.

Vorbereitende Schritte

  • Zur Ausführung dieser Task müssen Sie über Verwaltungsberechtigung verfügen.
  • Melden Sie sich als Administrator bei der IBM® Verify Verwaltungskonsole an. Weitere Informationen finden Sie unter „Zugriff auf IBM Verify “.

Informationen zu dieser Task

Die Angreifer registrieren derzeit in zahlreichen Regionen eine große Anzahl von MFA-Geräten (Voice/SMS-OTP) für Nutzer, was dazu führt, dass Kunden die über den Threat Detection Service identifizierten kompromittierten Konten manuell deaktivieren müssen. Zwar ist eine IP-basierte Sperrung möglich, doch gibt es keine automatisierte Möglichkeit, verdächtige Nutzer zu blockieren. Um diese Lücke zu schließen, ist ein Sperrmechanismus auf Benutzerebene während des SSO-Ablaufs erforderlich.

Der Threat-Intelligence-Dienst (TI) wurde um die Daten userId aus der aktuellen SSO-Sitzung erweitert, sodass festgestellt werden kann, ob der authentifizierte Benutzer verdächtig ist.

Für den SSO-Ablauf wird ein neues benutzerdefiniertes Attribut erstellt: ibm:threat_is_suspicious_user. Es ähnelt den bestehenden benutzerdefinierten Attributen zu Sicherheitsbedrohungen und ist während des SSO-Ablaufs verfügbar.

Vorgehensweise

  1. IBM VerifyMelden Sie sich als Administrator unter an. Gehen Sie zum Profilsymbol und klicken Sie auf „Zum Admin wechseln “.
  2. Wählen Sie „Sicherheit “ > „Zugriffsrichtlinien “. Eine Zugriffsrichtlinie erstellen oder eine bestehende aktualisieren.
    • ibm:threat_is_suspicious_userDefinieren Sie die Richtlinienregeln (SSO) mithilfe des benutzerdefinierten Attributs. Beispiel:

      Bedingung : ibm:threat_is_suspicious_user ist auf „true“ gesetzt

      Aktion : Blockieren oder MFA erzwingen oder Zulassen

  3. Speichern und veröffentlichen Sie die Zugriffsrichtlinie.
  4. Wählen Sie „Anwendungen“ > „Anwendungseinstellungen“ > „Anmeldung“ und fügen Sie dann die erstellte Richtlinie zur ausgewählten Anwendung hinzu.

Nächste Schritte

  • Wenn sich ein Benutzer bei IBM Verify anmeldet und versucht, auf die Anwendung zuzugreifen, prüft der Threat-Intelligence-Dienst (TI), ob der Benutzer verdächtig ist.
  • Wird der Benutzer als verdächtig eingestuft, wird er je nach der in der Zugriffsrichtlinienregel festgelegten Maßnahme gesperrt oder zur MFA aufgefordert.
  • Sofern der Benutzer nicht verdächtig ist, erhält er Zugriff auf die Anwendung.