Identity Threat Detection and Response (ITDR)

Was ist Identity Threat Detection and Response (ITDR)?

Identity Threat Detection and Response (ITDR) ist eine Sammlung von Tools und Best Practices zur Abwehr von Cyberangriffen, die speziell auf Benutzeridentitäten oder die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) abzielen.

ITDR ergänzt andere gängige Sicherheitsprodukte, die sich mit der Erkennung von und der Reaktion auf Bedrohungen befassen, insbesondere die folgenden:

• Endpoint Detection and Response (EDR)
• Extended Detection and Response (XDR)
• Network Detection and Response (NDR)
• Cloud Detection and Response (CDR)
• Privileged access management (PAM)

Der von Gartner ab 2022 vorgestellte Bereich ITDR umfasst Mechanismen zur Erkennung und Abwehr von Bedrohungen sowie Untersuchungs- und Reaktionsmöglichkeiten.

Wie im Bereich der Cybersicherheit üblich, ist ITDR nicht für den Einsatz im Alleingang gedacht. Vielmehr ist sie Bestandteil einer mehrschichtigen Sicherheitsstrategie oder einer „Defense in Depth“-Strategie. Dieser Ansatz umfasst mehrere sicherheitsrelevante Unternehmensrichtlinien, Benutzerpraktiken und Software sowie sicherheitsorientierte IT-Infrastrukturdesign-, Beschaffungs- und Implementierungsentscheidungen. Dies, um die Abwehrkräfte des Unternehmens zu stärken und seine Fähigkeit zur schnellen Reaktion und Wiederherstellung im Falle eines erfolgreichen Angriffs zu verbessern.

Darüber hinaus unterstützt ITDR einen Zero-Trust-Ansatz für die Sicherheit.

Eine wachsende Zahl von Softwareanbietern entwickelt ITDR-Produkte. Diese Produkte nutzen Technologien zur Verhaltensanalyse, Informationen über Cyberbedrohungen, Mechanismen zur Erkennung von Bedrohungen, Identitätsverwaltung und -administration und vieles mehr, um eine Sicherheitsabwehr rund um Identitäten und die IAM-Infrastruktur aufzubauen.

Warum sind ITDR-Systeme wichtig?

Die Verlagerung von der IT vor Ort zum Cloud Computing und anschließend zum ortsunabhängigen Arbeiten machte die Verwaltung von Benutzeridentitäten zu einer wichtigen Sicherheitsaufgabe.

Cloud-basierte Systeme ermöglichen es Mitarbeitern, Geschäftspartnern, Kunden und anderen Entitäten, von überall auf die Systeme eines Unternehmens zuzugreifen - sobald sie ihre Identität bestätigt haben. Aus diesem Grund wird die Identität manchmal als die neue Grenze in der IT- und Cybersicherheitswelt bezeichnet. Die Identität hat den alten Perimeter ersetzt, der die IT-Infrastruktur eines Unternehmens von der vernetzten Außenwelt abgrenzte.

Es überrascht nicht, dass die zunehmende Bedeutung der Identität sie zu einem Ziel für bösartige Akteure macht, die versuchen, in Unternehmenssysteme einzudringen und identitätsbezogene Schwachstellen auszunutzen.

Das Whitepaper „2024 Trends in Securing Digital Identities“ der Non-Profit-Organisation Identity Defined Security Alliance zeigt, dass 90 Prozent der Unternehmen im vergangenen Jahr mindestens einen identitätsbezogenen Vorfall erlebt haben. Außerdem wurde festgestellt, dass 84 Prozent der Identitäts-Stakeholder, die einen solchen Vorfall erlebten, direkte Auswirkungen auf das Geschäft hatten, während dies in der Umfrage von 2023 nur 68 Prozent angaben.

Was den Identitätsschutz zusätzlich erschwert, ist die zunehmende Komplexität der modernen IT-Umgebung. Ein typisches Unternehmen nutzt mehrere Cloud-Anbieter, die seine Software hosten, mehrere Cloud-basierte Software-as-a-Service-Anbieter, einige lokale Anwendungen und möglicherweise ältere Legacy-Technologien. Außerdem verwenden die meisten großen Unternehmen immer noch ältere Active-Directory-Systeme zur zentralen Verwaltung von Identitäten.

Diese Unübersichtlichkeit stellt Sicherheitsexperten vor große Herausforderungen, denn sie müssen Identitäten überwachen, Risiken erkennen, auf identitätsbezogene Bedrohungen achten und identitätsbezogene Vorfälle untersuchen. ITDR-Produkte sind darauf ausgelegt, diese Aufgaben zu vereinfachen.

Wie Identity Threat Detection and Response (ITDR) funktioniert?

ITDR stützt sich auf Prozesse, Verfahren und Technologiewerkzeuge, die Analytik, künstliche Intelligenz, maschinelles Lernen und Automatisierung nutzen.

Mit ITDR soll Folgendes erreicht werden:

• Zentralisierte Transparenz und Kontrolle über alle zugewiesenen Benutzeridentitäten und -privilegien innerhalb des Unternehmens durch die Fähigkeit, die Berechtigungen, Konfigurationen und Verbindungen zwischen Benutzerkonten zu verstehen.
• Die Prozesse eines Unternehmens analysieren, um festzustellen, ob die Schutzmaßnahmen mit dem akzeptablen Risikoniveau übereinstimmen, das das Unternehmen für sich selbst festgelegt hat.
• Generierung von Einblicken in mögliche Angriffsszenarien, beispielsweise wie ein Angreifer einen kompromittierten Berechtigungsnachweis nutzen könnte, um sich zwischen Systemen innerhalb des Unternehmens zu bewegen.
• Implementierung von Sicherheitskontrollen und -richtlinien nach dem Prinzip der geringsten Privilegien (POLP).
• Identifizierung und Untersuchung verdächtiger Aktivitäten im Authentifizierungsprozess durch den Einsatz von Bedrohungsdaten und fortschrittlichen Erkennungstechniken.
• Kontinuierliche Überwachung auf Bedrohungen.
• Einleitung von Verteidigungsmaßnahmen, wenn eine Bedrohung festgestellt wird.
• Untersuchung von Vorfällen.

Arten von identitätsbasierten Schwachstellen und Bedrohungen

Unternehmen sind mit zahlreichen Arten von Angriffen konfrontiert, die Schwachstellen im Unternehmen ausnutzen und/oder spezielle Strategien anwenden, um sich unerlaubten Zugang zu verschaffen.

Identitätsbasierte Schwachstellen betreffen manchmal nicht verwaltete Identitäten, die von anderen Sicherheits-Tools übersehen werden. Dies kann beispielsweise der Fall sein, wenn eine Identität, die mit einer älteren Anwendung verbunden ist, nicht mit einem modernen PAM-System kompatibel ist. Andere Schwachstellen resultieren aus falsch konfigurierten Identitäten, wie zum Beispiel verschachtelte Identitätsgruppierungen, solche, die unzulässigerweise interaktive Anmeldungen erlauben und solche mit fehlender Verschlüsselung. Ungeschützte Identitäten sind solche, die sich der Kontrolle des Benutzers und des Unternehmens entziehen, beispielsweise solche, die von Angreifern durch eine Phishing-Kampagne gestohlen oder kompromittiert wurden.

Wenn Angreifer solche Schwachstellen ausnutzen oder auf andere Weise einen identitätsbasierten Angriff durchführen, kann es zu einer Ausweitung der Berechtigungen kommen. In diesem Fall streben die Angreifer nach immer mehr Zugriffs- und Verwaltungsrechten.

Beim Credential Stuffing verwenden Angreifer gestohlene oder kompromittierte Anmeldedaten für ein System, um über automatisierte, groß angelegte Anmeldeversuche Zugang zu anderen Systemen zu erhalten.

Mit Social-Engineering-Taktiken bringen Angreifer andere dazu, Benutzerinformationen und/oder andere sensible Daten weiterzugeben.

Funktionen und Eigenschaften von ITDR-Tools

Die ITDR ist zwar eine Disziplin der Cybersicherheit, aber ein ITDR-Ansatz wird durch Software ermöglicht - genauer gesagt, durch eine Kategorie von Produkten. Diese Softwareprodukte umfassen in der Regel die folgenden Funktionen und Möglichkeiten:

Identifizierung und Analyse von Richtlinien und Konfigurationen.

• Erkennung von Identitäten.
• Überwachung der Angriffswege und Analyse der Auswirkungen.
• Risikobewertung und Prioritätensetzung.
• Identifizierung und Priorisierung von Abhilfemaßnahmen.
• Echtzeitüberwachung und Warnmeldungen bei Anzeichen einer identitätsbezogenen Kompromittierung.
• Analyse des Nutzer- und Entitätsverhaltens zur Erkennung von Anomalien.
• Dashboards, die einen konsolidierten Überblick über Warnungen, Berichte und Vorfälle bieten.
• Integration mit anderen Sicherheitsanwendungen, einschließlich Systemen für die Verwaltung von Sicherheitsinformationen und Ereignissen sowie Systemen für die Orchestrierung, Automatisierung und Reaktion im Sicherheitsbereich.
• Automatisierte Untersuchung von und Reaktion auf Vorfälle.

IAM vs. ITDR

Trotz des ähnlichen Schwerpunkts auf Identitäten haben ITDR und IAM unterschiedliche Funktionen.

Identitäts- und Zugriffsmanagement (IAM) bezieht sich auf die Prozesse und Technologien zur Verwaltung von Identitäten. IAM trägt dazu bei, dass eine Organisation Identitäten angemessen kontrolliert und nur die für die jeweilige Identität geeignete Zugriffsebene auf Systeme gewährt.

ITDR hingegen bietet einen Überblick über die IAM-Funktion sowie über andere identitätsbezogene Funktionen und Möglichkeiten. Es ersetzt nicht das IAM, das für jede Organisation, die sicherstellen will, dass nur autorisierte Benutzer auf ihre IT-Umgebung zugreifen, eine absolute Voraussetzung bleibt.

Tipps für die Auswahl und Einführung eines ITDR-Systems

Sicherheitsteams können aus einer wachsenden Zahl von ITDR-Produkten wählen. Wie bei jeder Softwareauswahl sollten Sicherheitsverantwortliche ITDR-Anbieter und -Produkte bewerten, um festzustellen, welche die benötigten Funktionen, Fähigkeiten und Service-Levels zu einem Preis bieten, der mit dem Budget der Organisation vereinbar ist. Entscheider sollten ihre bestehende IT-Umgebung, anstehende IT-Projekte und die Bedrohungslage berücksichtigen, um sicherzustellen, dass sie ein Produkt auswählen, das sowohl mit den vorhandenen als auch mit den zukünftigen IT-Systemen kompatibel ist.

Um das gewählte Tool zu optimieren, sollten die Sicherheitsteams bedenken, dass ITDR ein Rahmenwerk ist, nicht nur eine Software. Daher müssen sie sowohl ITDR-Verfahren als auch ITDR-Software in ihr gesamtes Sicherheitsprogramm integrieren.

Wichtig ist auch die Beachtung des Änderungsmanagements. Die Sicherheitsteams müssen sowohl für die neue ITDR-Software als auch für die neuen ITDR-gestützten Arbeitsabläufe geschult werden.