Die Bedrohung der Identitätserkennung und -reaktion
Die Identitätserkennung und -reaktion (ITDR) hat sich als entscheidende Komponente zur effektiven Erkennung und Reaktion auf identitätsbasierte Angriffe erwiesen. Bedrohungsakteure haben gezeigt, dass sie in der Lage sind, die Identitätsinfrastruktur zu kompromittieren und seitlich in IaaS-, SaaS-, PaaS- und CI/CD-Umgebungen vorzudringen. Identitätserkennungs- und Reaktionslösungen helfen Organisationen dabei, verdächtige oder bösartige Aktivitäten in ihrer Umgebung besser zu erkennen. ITDR-Lösungen geben Sicherheitsteams die Möglichkeit, die Frage zu beantworten: “Was passiert gerade in meiner Umgebung – was tun meine Identitäten in meinen Umgebungen?”
Menschliche und nicht-menschliche Identitäten
Wie im ITDR-Lösungshandbuch dargelegt, umfassen umfassende ITDR-Lösungen sowohl menschliche als auch nicht-menschliche Identitäten. Menschliche Identitäten umfassen die Belegschaft (Mitarbeiter), Gäste (Auftragnehmer) und Lieferanten. Nicht-menschliche Identitäten umfassen Tokens, Schlüssel, Dienstkonten und Bots. Multi-Umgebungs-ITDR-Lösungen können alle Identitätseinheitenrisiken erkennen und darauf reagieren, beispielsweise vom IdP bis zu den IaaS- und SaaS-Ebenen, anstatt Identitäten auf einer fragmentierten, schichtspezifischen Ebene zu sichern.
Kernfähigkeiten von ITDR
Die wesentlichen Fähigkeiten einer ITDR-Lösung umfassen:
Entwicklung eines universellen Identitätsprofils für alle Entitäten, einschließlich menschlicher und nicht-menschlicher Identität, Aktivität über Cloud-Service-Ebenen und lokale Anwendungen und Dienste.
Paarung von statischer Analyse, Posturmanagement und Konfiguration dieser Identitäten mit der Laufzeitaktivität dieser Identitäten in der Umgebung.
Überwachung und Verfolgung direkter und indirekter Zugriffspfade sowie Überwachung der Aktivität aller Identitäten in der Umgebung.
Orchestrierung von Multi-Umgebungs-Identitätsverfolgung und -erkennung, die Identitätsanbietern, IaaS, PaaS, SaaS und CI/CD-Anwendungen umfasst, um die Identität zu verfolgen, wohin sie auch in der Umgebung gehen.
Multi-Umgebungs-Hochfrequenz-Erkennung und -reaktion, die es Organisationen ermöglicht, auf Identitätsbedrohungen zu reagieren, während sie sich über die gesamte Angriffsfläche manifestieren, anstatt auf hochvolumige, atomare Alarme basierend auf einzelnen Ereignissen zu reagieren.
Eine vollständige Liste der ITDR-Fähigkeiten finden Sie im vollständigen Handbuch zur Identitätserkennung und -reaktion.
Anwendungsfälle für Identitätsbedrohungen
Um sich wirksam gegen Identitätsangriffe zu schützen, müssen Organisationen eine ITDR-Lösung mit erweiterten Fähigkeiten zur Erkennung und Eindämmung von Angriffen wählen. Diese Fähigkeiten sollten eine Reihe von Anwendungsfällen für menschliche und nicht-menschliche Identitäten abdecken, einschließlich, aber nicht beschränkt auf:
Erkennung von Kontoübernahmen: Erkennen Sie eine Vielzahl von Varianten, die darauf hindeuten, dass eine Identität kompromittiert wurde.
Erkennung von Anmeldeinformationenkompromittierung: Identifizierung und Benachrichtigung über die Verwendung gestohlener oder kompromittierter Anmeldeinformationen in der Umgebung.
Erkennung von Privilegienerweiterung: Erkennung nicht autorisierter Versuche, Privilegien in Systemen und Anwendungen zu erweitern.
Erkennung anomaler Verhaltensweisen: Überwachung von Abweichungen vom normalen Benutzerverhalten, die auf bösartige Aktivitäten hinweisen können.
Erkennung von Insider-Bedrohungen: Identifizierung und Reaktion auf bösartige oder nachlässige Handlungen durch interne Benutzer.
Eine vollständige Liste der Anwendungsfälle für Identitätsbedrohungen finden Sie im vollständigen Handbuch zur Identitätserkennung und -reaktion.
Fragen, die eine effektive ITDR-Lösung beantworten sollte
1. INVENTAR DER IDENTITÄTEN UND ZUGRIFFSVERWALTUNG
Welche Entitätsidentitäten sind in unserer Umgebung vorhanden?
Umfassendes Inventar menschlicher und nicht-menschlicher Identitäten in allen Umgebungen.
Welche Rollen und Berechtigungen haben diese Identitäten?
Details zu Rollen, Gruppen und spezifischen Berechtigungen, die jede Identität in verschiedenen Cloud- und lokalen Umgebungen hat.
Welche Rolle/Gruppe hat einem bestimmten Benutzer den Zugriff auf eine Ressource ermöglicht? Was ist der Berechtigungsumfang für diesen Zugriff?
Einzelheiten zu Rollen/Gruppen und Berechtigungen, die den Zugriff auf Ressourcen gewähren.
2. RISIKOBEWERTUNG UND ANOMALIEERKENNUNG
Was sind die 10 riskantesten Identitäten in meiner Cloud-Services-Ebene? Was wäre der Radius der Auswirkungen, wenn eine dieser Identitäten kompromittiert würde?
Identifizierung der gefährdetsten Identitäten und Bewertung der potenziellen Auswirkungen ihrer Kompromittierung.
Gibt es Anomalien im Identitätsverhalten?
Erkennung von Abweichungen von normalen Verhaltensmustern für jede Identität, die auf mögliche bösartige Aktivitäten hinweisen.
Wurden Anmeldeinformationen kompromittiert?
Benachrichtigungen über die Verwendung gestohlener oder kompromittierter Anmeldeinformationen in der Umgebung.
3. AUTHENTIFIZIERUNG UND ZUGRIFFSMUSTER
Wie werden Identitäten authentifiziert und zugegriffen?
Verfolgung von Authentifizierungsmethoden und Zugriffspfaden für alle Identitäten, einschließlich föderierter und nicht föderierter Zugriffspunkte.
Was sind die Quellen und Standorte von Anmeldeversuchen?
Detaillierte Protokolle von Anmeldeversuchen, einschließlich IP-Adressen, geografischen Standorten und Geräteinformationen.
Wie wird meine aktuelle Umgebung von verschiedenen Arten von Entitäten (menschlich und nicht-menschlich) aus zugänglich gemacht?
Überwachung von Zugriffsmustern für verschiedene Arten von Entitäten in der Umgebung.
Wie weit wird die Durchsetzung von Multi-Faktor-Authentifizierung (MFA) in den Anwendungen und Cloud-Services-Ebenen meiner Umgebung durchgesetzt?
Bewertung der Implementierung und Durchsetzung von Multi-Faktor-Authentifizierung (MFA) in der Umgebung.
4. AKTIVITÄTSMONITORING UND ÄNDERUNGSVERFOLGUNG
Welche Änderungen wurden gerade in meiner Umgebung vorgenommen, wer ist für diese Änderungen verantwortlich, und wurden ähnliche Änderungen in anderen Cloud-Services-Ebenen vorgenommen?
Verfolgung und Berichterstattung über kürzlich vorgenommene Änderungen, verantwortliche Benutzer und konsistente plattformübergreifende Änderungen.
Welche Identitäten haben auf sensible Daten oder kritische Systeme zugegriffen?
Überwachung und Berichterstattung über den Identitätszugriff auf sensible Datenbanken, kritische Systeme und hochriskante Anwendungen.
5. INCIDENT-KORRELATION UND REAKTION
Wie korrelieren identitätsbezogene Vorfälle in verschiedenen Umgebungen?
Korrelation von Identitätsaktivitäten und Vorfällen in IdP, IaaS, PaaS, SaaS, CI/CD und lokalen Umgebungen, um eine einheitliche Sicht zu bieten.
Welche Maßnahmen sollten ergriffen werden, um identifizierte Bedrohungen zu mildern?
Handlungsempfehlungen und automatisierte Reaktionsmöglichkeiten zur Minderung erkannter Identitätsbedrohungen und zur Verhinderung zukünftiger Vorfälle.
Eine vollständige Liste von Fragen und Geschäftsanwendungsfällen finden Sie im vollständigen Handbuch zur Identitätserkennung und -reaktion.
Quelle: https://ift.tt/Ug4f0jq