Jakub Jirsák - stock.adobe.com
Identity Threat Detection and Response: Identitäten schützen
Firmen sehen sich vermehrt identitätsbasierten Angriffen ausgesetzt. Kriminelle haben es auf Nutzerkonten abgesehen, um sich Zugang zu verschaffen. ITDR soll da Schutz bieten.
IT-Umgebungen haben sich signifikant verändert. Das liegt zum einen an geänderten Arbeitsweisen, bei denen Mitarbeitende häufig mobil oder aus dem Home-Office aus agieren. Zudem werden immer öfter Anwendungen und Workloads in die Cloud ausgelagert. Dies führt dazu, dass in Sachen Sicherheit in identitätsbasierter Ansatz Einzug halten muss. Die Identität ist der neue Perimeter, und dessen Schutz gilt es zu verstärken.
Gestohlene Zugangsdaten, kompromittierte Konten und betrügerische Aktivitäten führen zu Datenschutzverletzungen, da immer mehr geschäftskritische Daten außerhalb der traditionellen Netzwerkgrenzen zugänglich sind. Der „2023 ForgeRock Identity Breach Report“ ergab, dass 49 Prozent aller Datenschutzverletzungen auf unbefugten Zugriff zurückzuführen sind. Angreifer haben sich längst auf die Situation eingestellt, so nehmen identitätsbasierte Angriffe deutlich zu, wie der „Threat Hunting Report 2023“ von CrowdStrike zeigt.
Um einen identitätsbasierten Perimeter zu schützen, können Unternehmen die Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR, Identity Threat Detection and Response) in Betracht ziehen. Es reiht sich ein in die immer länger werdende Liste von Erkennungs- und Reaktionsprodukten und -diensten, als da wären:
- Managed Detection and Response (MDR)
- Network Detection and Response (NDR)
- Endpoint Detection and Response (EDR)
- Extended Detection and Response (XDR)
- Cloud Detection and Response (CDR)
Was versteht man unter ITDR (Identity Threat Detection and Response)? Und wie kann es zur Absicherung identitätsbasierter Systeme beitragen und von Unternehmen eingeführt werden? Diese Aspekte betrachten wir nachfolgend näher. Denn auch im Hinblick auf den Datenschutz ist der Schutz von Identitäten ein wichtiges Thema (siehe auch Mit Datenschutz dem Identitätsdiebstahl vorbeugen).
Wofür steht Identity Threat Detection and Response?
Identity Threat Detection and Response (ITDR) zielt darauf ab, die Sicherheit im Bereich identitätsorientierter Infrastrukturen zu verbessern. ITDR-Produkte und -Strategien identifizieren, analysieren und isolieren verdächtige Aktivitäten, die auf Identitätssysteme abzielen, und eliminieren sie. Sie identifizieren auch Schwachstellen auf der Angriffsfläche, bevor Angriffe stattfinden.
ITDR bezieht sich auf ein tatsächliches, einsatzfähiges Werkzeug oder eine übergreifende Cybersicherheitsstrategie, die bewährte Verfahren und Prozesse umfasst, die Unternehmen zum Schutz identitätsbasierter Infrastrukturen einsetzen können. Identity Threat Detection and Response wurde im Jahr 2022 zu einem formalisierten Segment der IT-Sicherheit, das von Gartner geprägt wurde.
Wie eine Organisation Identity Threat Detection and Response einführt, hängt von der Leistungsfähigkeit und Größe ihres Sicherheitsteams ab. ITDR sollte die folgenden Maßnahmen umfassen:
- Das Analysieren und gegebenenfalls notwendige Korrigieren der aktuellen Berechtigungen und Konfigurationen.
- Das Implementieren einer Multifaktor-Authentifizierung (MFA).
- Den Einsatz oder die Einführung von Privileged Access Management (PAM).
- Das Überwachen des Active Directory oder ähnlichen Diensten.
- Erkennung von potenziellen Identitätsbedrohungen, sowohl von außen als auch von innen, in Echtzeit.
- Sicherheitslücken und Fehlkonfigurationen beheben.
Warum Unternehmen Identity Threat Detection and Response einsetzen sollten
Viele Unternehmen verfügen über IAM-Lösungen (Identity and Access Management), die den Benutzerzugriff auf Anwendungen und Daten steuern. IAM-Richtlinien und -Verfahren sind jedoch keine vollständige Lösung für Identitätsprobleme. Durch die Einführung von ITDR fügen Unternehmen ihrer IAM-Gesamtstrategie Funktionen zur Erkennung von Bedrohungen und zur Reaktion auf Vorfälle hinzu.
IAM- und PAM-Systeme bieten Autorisierungs- und Authentifizierungsfunktionen, damit Benutzer nur auf die Ressourcen zugreifen können, die sie für ihre Arbeit benötigen. Identity Threat Detection and Response erweitert IAM und PAM, indem sie einen Einblick in den möglichen Missbrauch von Anmeldeinformationen, wie zum Beispiel die Übernahme von Konten und die Ausweitung von Berechtigungsaktivitäten, bietet. Darüber hinaus können IAM- und PAM-Implementierungen zu Sicherheitslücken führen, die ITDR identifizieren und verhindern oder beheben kann. ITDR-Produkte und -Dienste sollten rigorose identitätsbasierte Untersuchungen und Analysen durchführen. Sie erleichtern bei Bedarf Abhilfemaßnahmen, optimieren den Zugriff mit geringsten Rechten (POLP, Prinzip der minimalen Rechtevergabe) und können gegebenenfalls RDP-Sitzungen (Remote Desktop Protocol) beenden.
Die Herausforderungen bei der Einführung von ITDR
ITDR-Tools und -Strategien können das Budget einer IT-Abteilung belasten. Dies hat Auswirkungen auf die Art und Weise, wie Unternehmen ITDR einsetzen. Ob sie beispielsweise auf ein Tool eines Anbieters setzen oder ITDR als strategische Umsetzung betrachten. Einige Unternehmen sind der Meinung, dass ihr derzeitiges Tool-Set die Angriffsaktivitäten überwachen kann, während sie nach und nach ITDR-Funktionen einführen, die die bestehenden Verfahren ergänzen.
Die Hinzufügung eines ITDR-Tools erfordert einen umfassenden Prozess der Anbieterbewertung und -auswahl. Die Anbieter gehen oft unterschiedlich mit Schulung, Installation, Wartung, Dokumentation und Kundenservice um. Die Implementierung erfordert auch Test- und Abnahmeschritte, bevor sich ein Unternehmen auf ein ITDR-Tool in der produktiven Umgebung verlassen kann. Überprüfen Sie regelmäßig Systemprotokolle und andere leistungsbezogene Aufzeichnungen, um sicherzustellen, dass das System funktioniert.
IT-Teams sollten sich seitens der Geschäftsleitung um Unterstützung für Vorschläge zur Erweiterung der ITDR-Funktionen und zur Einführung formeller Programme bemühen. Die Mitglieder des Security-Teams sollten die Anforderungen und die Einführung sowie die laufende Optimierung vorantreiben.
Wie man eine ITDR-Strategie und ein ITDR-Programm entwickelt
Die Einführung von ITDR hängt vom aktuellen Reifegrad des IT-Sicherheitsprogramms des Unternehmens ab. IAM-Richtlinien und -Verfahren sind ein guter Ausgangspunkt für die Erkennung von Identitätsbedrohungen und die Reaktion darauf, indem sie beispielsweise MFA, PAM und rollenbasierte Zugriffskontrollen (RBAC) erfordern.
Zum einen können Unternehmen mit bestehenden IAM-Protokollen und -Prozessen Tools und Strategien für ITDR einsetzen. So kann ein Tool beispielsweise Fehlkonfigurationen oder zu weit gefasste Berechtigungen in AD-Konten aufdecken und so die IAM-Durchsetzung effektiver gestalten. Außerdem können sie Unternehmen dabei helfen, Firewalls, IDS/IPS-Systeme (Intrusion Detection und Intrusion Prevention) und andere Geräte zu überprüfen und zu aktualisieren. ITDR kann auch Antiphishing-, Antivirus-, Antimalware- und andere Sicherheitsanwendungen anpassen. Es gilt mit den bestehenden Tool-Anbietern zusammenzuarbeiten, um identitätsorientierte Funktionen zu implementieren und neue Tools zu evaluieren.
Der nächste Schritt ist die kontinuierliche Überwachung auf verdächtige Kontoaktivitäten. Dazu könnte die Integration von ITDR in eine bestehende SIEM-Bereitstellung gehören. Wenn ein ITDR-Tool oder ein Host-System eine Bedrohung erkennt, kann ein SIEM-System Sicherheitsteams alarmieren oder eine automatische Reaktion auslösen, um die Bedrohung zu entschärfen. ITDR könnte beispielsweise einen Prozess auslösen, um Anmeldedaten vorübergehend zu sperren, bis ein Mitarbeiter die Warnung überprüft hat, oder automatisch verstärkte Authentifizierungsmaßnahmen für den Benutzer einführen.
Danach sollte ein Notfallplan erstellt werden, der speziell auf identitätsbasierte Bedrohungen eingeht. Der Notfallplan sollte erklären, wie mit gestohlenen Anmeldeinformationen, der Übernahme von Konten und der Ausweitung von Berechtigungen umzugehen ist.
Schlussendlich sollte eine ITDR-Strategie eine Wissensdatenbank, sowie Schulungen und Sensibilisierung der Mitarbeiter umfassen, damit die Benutzer wissen, wie sie verdächtige identitätsbezogene Aktivitäten erkennen und darauf reagieren können.