OpenText-Startseite.
Technische Themen

Was bedeutet Erkennung von und Reaktion auf Identitätsbedrohungen?

Erfahren Sie mehr über den aktuellen Stand der ITDREntdecken Sie unsere Produkte
Illustration von IT-Elementen mit Schwerpunkt auf einem Fragezeichen

Übersicht

Person, die auf einem Laptop tippt

Identity Threat Detection and Response (ITDR) ist ein Cybersicherheitskonzept, mit dem Bedrohungen, die im Laufe der Zeit immer raffinierter werden, erkannt und eingedämmt werden können und mit dem darauf reagiert werden kann. Die zunehmende Bedeutung dieser Technologie ist auf das wachsende Risiko und die Kosten identitätsbasierter Angriffe zurückzuführen. Diese Angriffe werden durch das erfolgreiche Abfangen von Benutzerdaten und privilegierten Konten ermöglicht. ITDR hilft Unternehmen, ihre Sicherheitslage zu verbessern, indem es Insider-Bedrohungen, kompromittierte Konten und den Missbrauch von Berechtigungen eindämmt.

Erkennung von und Reaktion auf Identitätsbedrohungen

Welche Trends im Bereich der Cybersicherheit führten zur Entwicklung und Einführung von Identitätsbedrohungen?

Da Plattformen, Systeme und Anwendungen weiterhin ihre Schwachstellen schließen, ist es für Außenstehende oft einfacher, andere Schwachstellen wie Anmeldedaten, Fehlkonfigurationen oder offene APIs auszunutzen. Es werden verschiedene Phishing-Techniken, Key-Logger und andere automatisierte Tools eingesetzt, die sich als einfacher zu handhaben erwiesen haben als direkte Angriffe auf die Anwendungen und die Sicherheit auf Systemebene. Während die Erforschung von Schwachstellen viel Zeit, Fachwissen und umfangreiche Tests erfordert, um ausnutzbare Schwachstellen zu identifizieren, konzentrieren sich Angreifer zunehmend auf das Ausfüllen von Anmeldeinformationen, um schnellen Zugang zu diesen Diensten zu erhalten. Neben ihrem auf Anmeldeinformationen basierenden Ansatz haben die Angreifer ihre Fähigkeiten verfeinert, um privilegierte Konten zu identifizieren und Wege zu finden, andere kompromittierte Konten zu fördern. Diese Angriffe können sich über Monate oder sogar Jahre hinziehen. Die schädlichsten und begehrtesten Identitäten sind natürlich die Inhaber von Informationen und anderen ähnlichen Konten mit besonderen Zugriffsrechten. Das zunehmende Risiko für Unternehmen bestand also nicht nur in der Nutzung von Konten mit Zugangsdaten, sondern auch in Angriffen auf die privilegiertesten Benutzer. Sie waren und sind immer noch die komplexesten Bedrohungen, gegen die es sich zu schützen gilt, da ein Außenstehender über die Informationen verfügt, auf die sich eine Person oder ein Prozess traditionell stützt, um sich zu identifizieren.

Der Weg zur ITDR

Jahr Event
2000s Zunahme der auf Anmeldeinformationen basierenden Angriffe (Phishing, Brute-Force).
2010s Größere Identitätsverletzungen durch gestohlene Zugangsdaten setzen ihren Wachstumstrend fort, sowohl in Bezug auf die Häufigkeit als auch auf den Wertverlust für die Opferorganisation. Wachstum von IAM-, MFA- und PAM-Lösungen.
2021 MITRE ATT&CK-Framework wird auf identitätsbasierte Bedrohungen ausgeweitet.
2022 Gartner prägt ITDR und betont die Notwendigkeit einer identitätszentrierten Bedrohungserkennung.
2023+ ITDR entwickelt sich immer mehr zu einer zentralen Cybersicherheitsstrategie für Unternehmen.

Wie wurden die ITDR-Verfahren formalisiert?

Im Jahr 2022 führte Gartner ITDR als Cybersicherheitsverfahren ein. In dieser Einführung beschrieb Gartner ITDR als eine Möglichkeit für Unternehmen, effektiver auf die zunehmenden Bedrohungen zu reagieren, die auf Identitätssysteme, Anmeldeinformationen und privilegierten Zugriff abzielen. Es wird betont, dass Unternehmen ihre Fähigkeit verbessern müssen, identitätsbasierte Angriffe effektiver zu erkennen, zu untersuchen und zu entschärfen. Im Gegensatz zu herkömmlichen Sicherheitstools integriert ITDR Identitäts- und Zugriffsmanagement (IAM), User and Entity Behaviour Analytics (UEBA) und Extended Detection and Response (XDR), um proaktiv gegen Missbrauch von Anmeldedaten, Privilegieneskalation und laterale Bewegungen vorzugehen. Da die derzeitigen Sicherheitsmethoden nicht in der Lage sind, die Flut der Cyber-Bedrohungen einzudämmen, hilft ITDR Unternehmen dabei, die Transparenz zu verbessern, Anomalien zu erkennen und stärkere Authentifizierungs- und Zugriffskontrollen durchzusetzen, wodurch das Risiko identitätsbedingter Verstöße verringert wird.

Was macht die ITDR anders?

Die Anerkennung von ITDR durch Gartner im Jahr 2022 ist ein bedeutender Meilenstein für die Verschmelzung von IT-Technologien zu einer synergetischen neuen Sicherheitsebene, die allzu oft unabhängige Praktiken zusammenführt, um ein erweitertes Szenario zu ermöglichen. Gemeinsam können IAM und Security Information and Event Management (SIEM) Risiken identifizieren und den entsprechenden Ereignissen genauer zuordnen sowie eine Reaktion auf Anwendungs-, Service- oder anderer digitaler Ressourcenebene durchführen, um geschützte Informationen zu sichern. Daher hat sich ITDR seither zu einer wichtigen Kategorie der Cybersicherheit entwickelt, um identitätsbasierte Angriffe zu verhindern. Zu den wichtigsten ITDR-Treibern gehören:

  • Zunahme von identitätsbasierten Angriffen: Diebstahl von Zugangsdaten, Lateral Movement und Privilegienerweiterung wurden zu den wichtigsten Angriffsmethoden. Der derzeitige Sicherheitsschutz ist unwirksam. ITDR enthält Informationen vom Typ XDR, die Aktivitäten identifizieren, die auf ein erhöhtes Risiko für Benutzer und Ressourcen hinweisen.
  • IAM- und PAM-Lücken: Das übergeordnete Ziel der Identitäts- und Zugriffsverwaltung ist es, sicherzustellen, dass Personen und Dienste zum richtigen Zeitpunkt den richtigen Zugriff auf geschützte Ressourcen erhalten. Die heutigen IAM-Tools kontrollierten den Zugriff, aber es fehlte eine Echtzeit-Bedrohungserkennung, und das Privileged Access Management (PAM) konzentrierte sich auf privilegierte Accounts, aber nicht auf allgemeine Identitätsbedrohungen.
  • Einführung von Zero Trust: Unternehmen gehen zu einer identitätsorientierten Sicherheit über, die eine kontinuierliche Überwachung und Reaktion auf Identitätsbedrohungen erfordert.

Was sind die wichtigsten ITDR-Komponenten?

TDR ist zwar hervorragend für die Echtzeitüberwachung und automatische Reaktionen geeignet, doch die Unfähigkeit, Angriffe im Laufe der Zeit mit bestimmten Identitäten zu verknüpfen, schränkt seine Wirksamkeit ein. Es werden weitere Komponenten benötigt, um die Fähigkeit von TDR, verdächtige Verhaltensweisen zu erkennen, zu erweitern.

Erweiterte Erkennung und Reaktion auf Vorfälle
Extended Detection and Response (XDR) ist eine fortschrittliche Cybersicherheitslösung, die mehrere Sicherheitstools und Datenquellen integriert, um einen einheitlichen Ansatz für die Erkennung, Untersuchung und Reaktion auf Bedrohungen in der gesamten Angriffsfläche eines Unternehmens zu bieten.

Im Gegensatz zu herkömmlichen SIEM- oder EDR-Lösungen sammelt und korreliert XDR Bedrohungsdaten über mehrere Sicherheitsebenen hinweg, einschließlich schichtenübergreifender Erkennung und Korrelation. Im Gegensatz zu herkömmlichen SIEM- oder EDR-Lösungen sammelt und korreliert XDR Bedrohungsdaten über mehrere Sicherheitsebenen hinweg, einschließlich Endpunkten (EDR), Netzwerken (NDR), E-Mails, Cloud-Workloads sowie Identitäts- und Zugriffsmanagement (IAM). Dies verbessert den Einblick in komplexe Angriffe, die sich über mehrere Eintrittspunkte erstrecken.

Automatisierte Untersuchung von Bedrohungen und Reaktion - XDRpriorisiert automatisch Alarme und verbindet damit zusammenhängende Sicherheitsvorfälle, um die Alarmmüdigkeit zu verringern. Es nutzt KI und maschinelles Lernen, um Angriffsmuster zu erkennen und Bedrohungen schneller zu entschärfen.

Proaktive Bedrohungssuche: Sicherheitsanalystenkönnen anhand von historischen Daten und Verhaltensanalysen nach versteckten Bedrohungen suchen. Das MITRE ATT&CK-Framework wird häufig in XDR integriert, um Taktiken und Techniken des Gegners abzubilden.

Integration in den Sicherheits-Stack-XDRarbeitet mit SIEM-, SOAR-, ITDR- und EDR-Lösungen zusammen, um die Sicherheitsabläufe (SOC) zu optimieren. Außerdem bietet es Echtzeitwarnungen und automatisierte Abhilfemaßnahmen über verschiedene Sicherheitstools hinweg.

XDR in Verbindung mit anderen Sicherheitslösungen
In der folgenden Tabelle sind die Technologien aufgeführt, die IT-Sicherheitsteams heute einsetzen, um die Erkennung von Bedrohungen und automatische Reaktionen zu verbessern. Für sich genommen sind sie nicht so vollständig oder integriert wie XDR.

Sicherheitslösung Schwerpunktbereich Wesentlicher Unterschied
EDR (Endpunkt-Erkennung und -Reaktion) Endgeräte (z. B. Laptops, Server) Erkennt Bedrohungen auf einzelnen Geräten, bietet aber keine Netzwerk-/Cloud-Transparenz
NDR (Netzwerkerkennung und -reaktion) Netzverkehr Erkennt Bedrohungen in Netzwerkumgebungen, deckt aber keine Endpunkte oder die Cloud ab
SIEM (Sicherheitsinformations- und Ereignisverwaltung) Protokollverwaltung & Analyse Sammelt Sicherheitsprotokolle, verfügt aber nicht über integrierte Funktionen zur Reaktion auf Bedrohungen
SOAR (Sicherheitsorchestrierung, -automatisierung und -reaktion) Automatisierung der Reaktion auf Vorfälle Automatisiert Sicherheitsabläufe, verfügt aber nicht über native Erkennungsfunktionen
XDR (erweiterte Erkennung und Reaktion) Domänenübergreifende Sicherheitstransparenz Vereint Endpunkt-, Netzwerk-, Cloud- und identitätsbasierte Erkennungen für eine bessere Korrelation und schnellere Reaktion

Welche Reaktionsmechanismen hat die ITDR?

Wenn ein verdächtiges Verhalten auftritt, wie z. B. eine ungewöhnliche Anmeldung, schnelle Änderungen der Berechtigungen oder Zugriff von nicht vertrauenswürdigen Standorten, löst XDR automatische Aktionen aus, wie z. B. das Sperren kompromittierter Konten, die Durchsetzung von MFA oder das sofortige Beenden nicht autorisierter Sitzungen. ITDR, das Identitätsinformationen mit XDR-Treibern korreliert, nutzt die von XDR abgeleiteten Informationen und automatisiert die erforderlichen Maßnahmen, um Angreifer daran zu hindern, gestohlene Anmeldedaten auszunutzen, indem der Zugriff eingeschränkt und dynamische Authentifizierungskontrollen durchgesetzt werden. Privilegierte Aktivitäten werden kontinuierlich überwacht, und unautorisierte Eskalationen werden blockiert, bevor sie zu einem Verstoß führen. Die Orchestrierungsfunktionen von XDR stellen sicher, dass ITDR nahtlos mit SIEM-, SOAR- und IAM-Systemen integriert werden kann, wodurch automatisierte Abhilfeworkflows optimiert werden können. Diese ITDR-gestützte, automatisierte Reaktion stärkt Sicherheitsteams mit einer automatisierten, proaktiven Verteidigung, die identitätsgesteuerte Angriffe stoppt, bevor sie sich zu umfassenden Verstößen ausweiten.

Verwaltung der Identitätssicherheitslage
Eine Kernkomponente der ITDR-Response-Engine ist die Fähigkeit, die Sicherheitslandschaft eines Unternehmens kontinuierlich zu verwalten (zu bewerten und zu reagieren) - Identity Security Posture Management (ISPM) auf der Identitätsebene. Da Unternehmen ihre digitalen Ökosysteme immer weiter ausbauen, schafft die schiere Menge an menschlichen und maschinellen Identitäten eine immer größer werdende Angriffsfläche. ISPM bietet Echtzeiteinblicke in Identitätsrisiken, Fehlkonfigurationen und Richtlinienverstöße und ermöglicht so eine proaktive Verteidigung gegen identitätsbasierte Bedrohungen. Durch den Einsatz von Automatisierung, Risikoanalyse und Richtliniendurchsetzung stellt ISPM sicher, dass Identitäten die besten Sicherheitspraktiken einhalten, wodurch die Anfälligkeit für auf Anmeldeinformationen basierende Angriffe, die Ausweitung von Privilegien und unbefugten Zugriff verringert wird.

Das Herzstück von ISPM ist die Fähigkeit zur dynamischen Analyse des Identitätsstatus in verschiedenen Umgebungen, einschließlich lokaler, Cloud- und hybrider Infrastrukturen. Dazu gehört die Überwachung der Zugriffsberechtigungen, die Durchsetzung der Grundsätze der geringsten Privilegien und die Erkennung anomaler Verhaltensweisen, die auf eine Gefährdung hinweisen. Integriert in die Erkennung von Identitätsbedrohungen und die Reaktion darauf, verbessert ISPM die Fähigkeit einer Organisation, Identitätsschwachstellen präventiv zu beheben, bevor sie ausgenutzt werden. Cyber-Bedrohungen basieren oft auf kompromittierten Anmeldeinformationen, so dass identitätsbasiertes ISPM als wichtige Verteidigungsschicht dient, um die Sicherheitslage an die sich entwickelnde Risikolandschaft anzupassen. Dies geschieht durch die Festlegung des Risikoniveaus, das die Organisation zu tolerieren bereit ist, und durch die kontinuierliche Bewertung des Umfelds, um zu reagieren, wenn dieses Niveau erreicht ist. ISPM ist eine Schlüsselkomponente von ITDR, da es Organisationen ermöglicht, sich gegen hochentwickelte Cyberangriffe zu wehren.

Stärkung der Bedrohungsabwehr durch Identität
Mit Lösungen für das Identitäts- und Zugriffsmanagement können Unternehmen Ereignisse, die auf eine Sicherheitsverletzung oder Bedrohung hindeuten, mit Identitäten in Verbindung bringen und gezielt auf die effektivste Ebene reagieren - die jeweilige(n) Sitzung(en) oder Anwendung(en). IAM ist das "Ich" der ITDR. Um Antworten effektiv zu automatisieren, müssen diese beiden Technologien nahtlos zusammenarbeiten. Wenn dies der Fall ist, verbessert die Integration die Transparenz und die Erkennung von Bedrohungen und reagiert schnell auf identitätsbasierte Angriffe.

OpenText™ IAM-Lösungen erzeugen Authentifizierungsprotokolle, Zugriffsanfragen und Berechtigungsänderungen. Die fortschrittliche Lösung von OpenText zur Erkennung von Bedrohungen & korreliert diese mit Daten von Endpunkten, Netzwerken und Cloud-Umgebungen. Darüber hinaus bietet OpenText TDR zusätzliche Analysen des Benutzer- und Entitätsverhaltens (UEBA), die über das hinausgehen, was typischerweise in identitätsbasierten Risikodiensten verfügbar ist. Sie erkennen Risiken anhand von Indikatoren für Sicherheitsverletzungen, die aus dem Zugang und der Anwendungsnutzung abgeleitet werden. Herkömmliche identitäts- und zugangsbasierte Risikomessungen beschränken sich auf vorgegebene Kriterien, z. B. ob die Browserinstanz oder das physische Gerät bekannt ist oder nicht und ob Anmeldeversuche fehlgeschlagen sind. Dieselben adaptiven Kontrollen setzen Bedingungen oder Grenzen für Zeitspannen und Geostandorte und identifizieren unmögliche Reiseszenarien. Während herkömmliche adaptive Zugangskontrollen auch die Historie dieser vorgeschriebenen Bedingungen nutzen können, können die XDR-Metriken weitaus ausgefeilter sein.

XDR-Technologien überwachen ein viel breiteres Spektrum an Informationen als die IAM-Infrastruktur. Anhand dieser Daten kann die XDR-Automatisierung beobachtete Daten zu Verhaltensmustern korrelieren, die aussagekräftiger sind als regelbasierte Kontrollen. Sie erkennen anhand von Anomalien oder Angriffsmustern, welche Sitzungen auf Risikofaktoren hinweisen. Wenn XDR-Überwachungsfunktionen mit Identitätsinformationen, die eine ITDR-Sicherheitsstufe bilden, zusammengeführt werden, können Aktivitäten korreliert und in Mustern berechnet werden - Mustern, die sich über lange Zeiträume erstrecken. Bei der Identität werden die von Netzwerken, Geräten und Sitzungsinformationen gesammelten Aktivitätsdaten mit höheren Interaktionsniveaus korreliert, die Identitäten (Menschen oder Prozesse) mit digitalen Diensten über einen längeren Zeitraum haben. Anhand dieser dauerhaften identitätsbasierten Aktivitätsdaten können Risiko-Engines das Risiko von Aktivitäten im Zusammenhang mit Sicherheitsverletzungen berechnen, mit denen typische Sicherheitspraktiken durchbrochen werden. Diese Muster werden im Laufe der Zeit immer stärker, so dass ITDR bei der Identifizierung von Benutzeranomalien oder potenziellen Verstößen effektiver wird, wenn das Modell jedes aktiven Benutzers wächst. Über die Stärkung von Bedrohungsmodellen hinaus kann ITDR durch seine SOAR-Plattformen (Security Orchestration, Automation and Response) reagieren - weit mehr als in einer IAM-Umgebung möglich ist. Darüber hinaus kann die IT-Abteilung diese erweiterte Sicherheitsplattform nutzen, um vordefinierte Workflows zu initiieren, z. B. um bösartige IPs zu blockieren, Sicherheitsanalysten zu alarmieren oder betroffene Geräte zu isolieren.

Welche Rolle sollte ITDR in Ihrem Unternehmen spielen?

Da jede Umgebung einzigartig ist, ist auch der Weg zu einem ITDR-Sicherheitsniveau einzigartig. Das bedeutet, dass der Bedarf an ITDR in einer bestimmten Umgebung vorhanden sein kann oder auch nicht, und der Grad der ITDR-Ausgereiftheit ist unterschiedlich. Die Beschaffenheit Ihres derzeitigen Umfelds wird beeinflussen, was Sie umsetzen.

Einige der Faktoren, die bei der Entscheidung über die Höhe der Investitionen in eine ITDR-Sicherheitsform helfen können, sind die folgenden:

  • Risiko - das gesamte Risikospektrum sollte ein dominierender Faktor sein. Wie hoch sind die Gesamtkosten einer Sicherheitsverletzung? Welche Folgen hat es für das Unternehmen, wenn ein Compliance-Audit nicht bestanden wird oder die Anforderungen an eine Cyberversicherung nicht erfüllt werden?
  • Kosten und Fachwissen - bei den bestehenden ITDR-Komponenten in der heutigen Umgebung sind die Kosten und das Fachwissen einige der am meisten unterschätzten Hindernisse für ITDR. Für Unternehmen mit robusten IAM-, PAM- und SIEM-Lösungen ist es einfacher, auf eine ITDR-Sicherheitsebene aufzurüsten. IAM kann jedoch ein dringenderes Bedürfnis sein, wenn die Identitätssicherheit unvollständig oder schwach ist.
  • Ein weiterer entscheidender Faktor ist die Fähigkeit eines Unternehmens, ITDR in sein bestehendes Sicherheitssystem zu integrieren. Durch die nahtlose Integration mit IAM-, SIEM-, SOAR- und EDR/XDR-Lösungen wird sichergestellt, dass ITDR Echtzeitüberwachung und Vorfallsreaktion bieten kann, ohne dass betriebliche Silos entstehen.
  • Skalierbarkeit: Da Unternehmen zunehmend hybride und Multi-Cloud-Umgebungen einführen, muss ITDR Cloud-Identitäten, privilegierten Zugriff und föderierte Authentifizierung abdecken. Besonders wertvoll ist die Lösung für Unternehmen, die eine große Anzahl von Außendienstmitarbeitern und einen umfangreichen Zugriff durch Dritte verwalten und eine sichere Identitätsüberprüfung in verteilten Umgebungen gewährleisten.
  • Zero-Trust-Priorität und -Haushalt - stellen ITDR an die Spitze moderner Cybersicherheitsstrategien. ITDR ermöglicht eine kontinuierliche Identitätsüberprüfung, Verhaltensanalysen und risikobasierte Reaktionen - Kernprinzipien eines Null-Vertrauensmodells. Da sich Unternehmen von der traditionellen, auf dem Perimeter basierenden Sicherheit entfernen, spielt ITDR eine entscheidende Rolle beim Schutz von Identitäten als dem neuen Perimeter.

Ist ITDR die neue Zugangssicherheitsschicht?

ITDR hat sich von der traditionellen Identitätssicherheit zu einer eigenen Sicherheitsdisziplin entwickelt, die sich mit modernen identitätsgesteuerten Cyber-Bedrohungen befasst. Da Cyberkriminelle es immer häufiger auf Anmeldeinformationen, privilegierte Konten und Identitätssysteme abgesehen haben, kann ITDR zu einer Standardsicherheitsebene der Sicherheitsstrategie eines Unternehmens werden.

Verwandte Produkte

OpenText™ Access Manager

Ermöglichen Sie Single Sign-On und Zugriffskontrolle über Plattformen hinweg

OpenText™ Identity Governance

Schützen Sie Daten durch vereinfachte Prozesse für die Compliance- und Zugriffs-Überprüfung

OpenText™ Advanced Authentication

Aktivieren Sie die kennwortlose und mehrstufige Authentifizierung

OpenText™ Data Access Governance

Schützen Sie unstrukturierte Daten, und verhindern Sie unbefugten Zugriff

Alle verwandten Produkte anzeigen

Wie können wir behilflich sein?

Fußnoten