Vad är upptäckt och hantering av identitetshot?
Översikt
Upptäckt av och svar på identitetshot
Vilka cybersäkerhetstrender ledde till utvecklingen och införandet av identitetshot?
När plattformar, system och applikationer fortsätter att täppa till sina sårbarheter blir det ofta lättare för utomstående att utnyttja andra svagheter, t.ex. autentiseringsuppgifter, felkonfigurationer eller exponerade API:er. Olika nätfisketekniker, nyckelloggare och andra automatiserade verktyg används och har visat sig vara lättare att genomföra än att direkt gå upp mot applikationer och säkerhet på systemnivå. Medan sårbarhetsforskning kräver en hel del tid, skicklighet och omfattande tester för att identifiera exploaterbara svagheter, har angripare i allt högre grad valt att istället fokusera mer på att fylla i referenser för snabb åtkomst till dessa tjänster. Tillsammans med sin legitimationsbaserade metod har angripare finslipat sina färdigheter för att identifiera privilegierade konton och sätt att främja andra komprometterade konton. Dessa attacker kan vara ihållande hot som varar i månader eller till och med år. De mest skadliga och eftertraktade identiteterna är naturligtvis informationsägare och andra liknande konton med särskilda åtkomsträttigheter. Den ökande risken för organisationer var därför inte bara inloggningsbaserade konton, utan även attacker mot de mest privilegierade användarna. De var, och är fortfarande, de mest komplexa hoten att skydda sig mot eftersom utomstående har tillgång till den information som en person eller process traditionellt förlitar sig på för att identifiera sig.
Vägen till ITDR
| År | Händelse |
|---|---|
| 2000s | Ökning av referensbaserade attacker (phishing, brute-force). |
| 2010s | Stora identitetsintrång via stulna inloggningsuppgifter fortsätter att öka både i frekvens och i värdeförlust för den drabbade organisationen. Tillväxt av IAM-, MFA- och PAM-lösningar. |
| 2021 | MITRE ATT&CK-ramverket utökas till identitetsbaserade hot. |
| 2022 | Gartner myntade ITDR och betonade behovet av identitetscentrerad hotdetektering. |
| 2023+ | ITDR blir allt viktigare för att bli en central cybersäkerhetsstrategi för företag. |
Hur formaliserades ITDR-rutinerna?
Under 2022 introducerade Gartner ITDR som en cybersäkerhetsmetod. I den introduktionen beskrev Gartner ITDR som ett sätt för organisationer att på ett mer effektivt sätt bemöta de ökande hoten mot identitetssystem, inloggningsuppgifter och privilegierad åtkomst. Betonar behovet av att organisationer förbättrar sin förmåga att upptäcka, undersöka och mildra identitetsbaserade attacker på ett mer effektivt sätt. Till skillnad från traditionella säkerhetsverktyg integrerar ITDR identitets- och åtkomsthantering (IAM), analys av användar- och enhetsbeteende (UEBA) och utökad upptäckt och respons (XDR) för att proaktivt försvara sig mot missbruk av referenser, eskalering av privilegier och förflyttning i sidled. Eftersom nuvarande säkerhetsmetoder inte har kunnat hejda cyberhoten hjälper ITDR organisationer att förbättra synligheten, upptäcka avvikelser och genomdriva starkare autentisering och åtkomstkontroller, vilket minskar risken för identitetsdrivna intrång.
Vad gör ITDR annorlunda?
Gartners erkännande av ITDR 2022 innebar en meningsfull milstolpe för att sammanföra IT-teknologier till en synergistisk ny säkerhetsnivå, som sammanför vad som alltför ofta är oberoende metoder för att driva ett utökat scenario. Tillsammans kan IAM och SIEM (Security Information and Event Management) identifiera och mer exakt tilldela risker till relaterade händelser, samt utföra en respons på applikations-, tjänste- eller annan digital resursnivå för att skydda skyddad information. ITDR har sedan dess blivit en viktig kategori inom cybersäkerhet för att förhindra identitetsbaserade attacker. Några viktiga drivkrafter för ITDR inkluderar:
- Ökning av identitetsbaserade attacker: Legitimationsstöld, lateral förflyttning och privilegieeskalering blev primära angreppsmetoder. Det nuvarande säkerhetsskyddet är ineffektivt. ITDR innehåller information av XDR-typ som identifierar aktiviteter som indikerar förhöjd risk för användare och resurser.
- Luckor i IAM och PAM: Det övergripande syftet med identitets- och åtkomsthantering är att säkerställa att personer och tjänster har rätt åtkomst till skyddade resurser vid rätt tidpunkt. Dagens IAM-verktyg kontrollerade åtkomsten men saknade hotdetektering i realtid, och hanteringen av privilegierad åtkomst (PAM) fokuserade på privilegierade konton men inte på allmänna identitetshot.
- Antagande av nollförtroende: Organisationer övergick till "identity-first security", vilket kräver kontinuerlig övervakning och respons för identitetshot.
Vilka är de viktigaste ITDR-komponenterna?
Även om TDR kan utmärka sig genom realtidsövervakning och automatiserade svar, begränsas dess effektivitet av dess oförmåga att koppla attacker till specifika identiteter över tid. Fler komponenter behövs för att utöka TDR:s förmåga att identifiera misstänkta beteenden.
Utökad detektering och respons
Extended detection and response (XDR) är en avancerad cybersäkerhetslösning som integrerar flera säkerhetsverktyg och datakällor för att ge ett enhetligt tillvägagångssätt för att upptäcka, undersöka och reagera på hot över en organisations hela attackyta.
Till skillnad från traditionella SIEM- eller EDR-lösningar samlar XDR in och korrelerar hotdata över flera säkerhetslager, inklusive upptäckt och korrelation över flera lager. Till skillnad från traditionella SIEM- eller EDR-lösningar samlar XDR in och korrelerar hotdata över flera säkerhetslager, inklusive slutpunkter (EDR), nätverk (NDR), e-post, molnarbetsbelastningar och identitets- och åtkomsthantering (IAM). Detta förbättrar insynen i komplexa attacker som spänner över flera ingångspunkter.
Automatiserad hotutredning och respons - XDRprioriterar automatiskt larm och kopplar samman relaterade säkerhetsincidenter för att minska larmtröttheten. Den använder AI och maskininlärning för att identifiera attackmönster och avvärja hot snabbare.
Proaktiv hotjakt - säkerhetsanalytikerkan söka efter dolda hot med hjälp av historiska data och beteendeanalys. MITRE ATT&CK-ramverket integreras ofta i XDR för att kartlägga motståndarens taktik och teknik.
Integration med säkerhetslösningar-XDRarbetar med SIEM-, SOAR-, ITDR- och EDR-lösningar för att effektivisera säkerhetsverksamheten (SOC). Det ger också varningar i realtid och automatiserade åtgärder för att avhjälpa problem i olika säkerhetsverktyg.
XDR i förhållande till andra säkerhetslösningar
I tabellen nedan listas teknik som idag används av IT-säkerhetsteam för att förbättra deras hotdetektering och automatiserade svar. I sig själva är de inte lika kompletta eller integrerade som XDR är.
| Säkerhetslösning | Fokusområde | Viktig skillnad |
|---|---|---|
| EDR (endpoint detection and response) | Slutpunkter (t.ex. bärbara datorer, servrar) | Upptäcker hot på enskilda enheter men saknar insyn i nätverk/moln |
| NDR (nätverksdetektering och svar) | Nätverkstrafik | Upptäcker hot i nätverksmiljöer men täcker inte endpoints eller moln |
| SIEM (säkerhetsinformation och händelsehantering) | Logghantering & analys | Samlar in säkerhetsloggar men saknar inbyggda funktioner för hotrespons |
| SOAR (orkestrering, automatisering och respons inom säkerhet) | Automatisering av incidenthantering | Automatiserar säkerhetsarbetsflöden men har inte inbyggda detekteringsfunktioner |
| XDR (utökad detektion och respons) | Säkerhetssynlighet över flera områden | Förenar endpoint-, nätverks-, moln- och identitetsbaserade detektioner för bättre korrelation och snabbare svar |
Vilka svarsmekanismer har ITDR?
När misstänkt beteende uppstår - till exempel en ovanlig inloggning, snabba behörighetsändringar eller åtkomst från icke betrodda platser - utlöser XDR automatiska åtgärder, till exempel att komprometterade konton låses, MFA tillämpas eller att obehöriga sessioner avslutas direkt. ITDR, som korrelerar identitetsinformation med XDR-drivrutiner, utnyttjar information som härrör från XDR och automatiserar den respons som krävs för att förhindra att angripare utnyttjar stulna referenser genom att begränsa åtkomsten och genomdriva dynamiska autentiseringskontroller. Privilegierad aktivitet övervakas kontinuerligt och obehöriga upptrappningar blockeras innan de leder till ett intrång. XDR:s orkestreringsfunktioner säkerställer att ITDR integreras sömlöst med SIEM-, SOAR- och IAM-system, vilket effektiviserar automatiserade arbetsflöden för sanering. Detta ITDR-drivna automatiska svar stärker säkerhetsteamen med ett automatiserat proaktivt försvar som stoppar identitetsdrivna attacker innan de eskalerar till fullskaliga intrång.
Hantering av identitetssäkerhet
En central komponent i ITDR:s svarsmotor är förmågan att kontinuerligt hantera (bedöma och svara på) en organisations säkerhetslandskap - identity security posture management (ISPM) på identitetsnivå. I takt med att företagen expanderar sina digitala ekosystem skapar den stora volymen av mänskliga och maskinella identiteter en ständigt växande attackyta. ISPM ger insyn i realtid i identitetsrisker, felkonfigurationer och policyöverträdelser, vilket möjliggör proaktivt försvar mot identitetsbaserade hot. Genom att utnyttja automatisering, riskanalys och policytillämpning säkerställer ISPM att identiteter följer bästa praxis för säkerhet, vilket minskar exponeringen för referensbaserade attacker, privilegieeskalering och obehörig åtkomst.
Kärnan i ISPM är möjligheten att dynamiskt analysera identitetspositioner i olika miljöer, inklusive lokala, moln- och hybridinfrastrukturer. Detta innebär övervakning av åtkomsträttigheter, tillämpning av principen om lägsta privilegium och upptäckt av avvikande beteenden som tyder på kompromettering. ISPM är integrerat med detektering av och svar på identitetshot och förbättrar organisationens förmåga att i förebyggande syfte åtgärda sårbarheter i identiteter innan de utnyttjas. Cyberhot baseras ofta på komprometterade inloggningsuppgifter, så identitetsbaserad ISPM fungerar som ett kritiskt försvarslager som anpassar säkerhetsåtgärderna till den föränderliga riskbilden. Detta görs genom att definiera den risknivå som organisationen är villig att tolerera och sedan kontinuerligt utvärdera miljön för att reagera när denna nivå nås. ISPM är en nyckelkomponent i ITDR eftersom det gör det möjligt för organisationer att upprätthålla motståndskraft mot sofistikerade cybermotståndare.
Identitet som verktyg för att bemöta hot
Lösningar för identitets- och åtkomsthantering gör det möjligt för organisationer att koppla händelser som tyder på intrång eller hot till identiteter och att rikta in åtgärderna på den mest effektiva nivån - den eller de sessioner eller applikationer som berörs. IAM är ITDR:s "I". För att effektivt automatisera svaren måste dessa två tekniker fungera sömlöst tillsammans. När de gör det förbättrar integrationen synligheten och upptäckten av hot och reagerar snabbt på identitetsbaserade attacker.
OpenText™ IAM-lösningar genererar autentiseringsloggar, åtkomstförfrågningar och privilegieändringar. OpenTexts avancerade hotdetektering & lösning för hantering av insiderhot korrelerar dem med data från slutpunkter, nätverk och molnmiljöer. Dessutom OpenText TDR erbjuder ytterligare användar- och enhetsbeteendeanalys (UEBA) utöver vad som vanligtvis är tillgängligt i identitetsbaserade risktjänster. De upptäcker risker genom intrångsindikatorer som härrör från åtkomst och applikationsanvändning när de kombineras. Traditionella identitets- och åtkomstbaserade riskmått är begränsade till föreskrivna kriterier, t.ex. om webbläsarinstansen eller den fysiska enheten är känd eller inte och om inloggningsförsök misslyckas. Samma adaptiva kontroller sätter villkor eller begränsningar för tidsintervall och geografiska platser, samt identifierar omöjliga resescenarier. Medan traditionella adaptiva tillträdeskontroller också kan utnyttja historiken för dessa föreskrivna villkor, kan XDR-mätvärden vara mycket mer sofistikerade.
XDR-teknikerna övervakar ett mycket bredare spektrum av information än vad som är tillgängligt i IAM-infrastrukturen. Från dessa data kan XDR-automatisering korrelera observerade data till beteendemönster som är mer urskiljningsbara än regelbaserade kontroller. De urskiljer vilka sessioner som indikerar riskfaktorer från anomalier eller attackmönster. När XDR:s övervakningsmöjligheter kombineras med identitetsinformation som utgör en ITDR-säkerhetsnivå kan aktiviteter korreleras och beräknas till mönster - mönster som sträcker sig över långa perioder. När det gäller identiteter korreleras aktivitetsdata som samlas in från nätverk, enheter och sessionsinformation till högre nivåer av interaktion som identiteter (människor eller processer) har med digitala tjänster under en längre period. Denna persistenta identitetsbaserade aktivitetsdata gör det möjligt för riskmotorer att beräkna risken för intrångsrelaterade aktiviteter som används för att penetrera typiska säkerhetsrutiner. Dessa mönster blir starkare med tiden på ett sätt som gör ITDR mer effektivt när det gäller att identifiera avvikelser hos användare eller potentiella intrång i takt med att modellen för varje aktiv användare växer. Utöver att stärka hotmodellerna kan ITDR svara genom sina SOAR-plattformar (Security Orchestration, Automation and Response) - mycket mer än vad som är tillgängligt i en IAM-miljö. Dessutom kan IT-avdelningen använda denna utökade säkerhetsplattform för att initiera fördefinierade arbetsflöden, t.ex. blockering av skadliga IP-adresser, varning till säkerhetsanalytiker eller isolering av drabbade enheter.
Vilken roll bör ITDR spela i din organisation?
Eftersom varje miljö är unik är också vägen till en ITDR-säkerhetsnivå unik. Detta innebär att behovet av ITDR kan finnas eller inte finnas i en viss miljö, och att nivån på ITDR-utvecklingen varierar. Hur din nuvarande miljö ser ut kommer att påverka vad du implementerar.
Några av de dynamiska faktorer som kan hjälpa till att avgöra hur mycket man ska investera i en ITDR-säkerhetsform är följande:
- Risk - hela riskspektrat bör vara en dominerande faktor. Vilka är de totala kostnaderna för ett intrång? Vilka är de affärsmässiga konsekvenserna av att misslyckas med en compliance-revision eller att inte uppfylla ett cyberförsäkringskrav?
- Kostnad och expertis - de befintliga ITDR-komponenterna i dagens miljö är några av de mest underskattade hindren för ITDR, nämligen kostnad och domänexpertis. Organisationer med robusta IAM-, PAM- och SIEM-lösningar kommer att få det lättare att uppgradera till ett ITDR-säkerhetslager. IAM kan dock vara ett mer omedelbart behov om identitetssäkerheten är ofullständig eller svag.
- En annan avgörande faktor är organisationens förmåga att integrera ITDR med sin befintliga säkerhetsstack. Sömlös integration med IAM-, SIEM-, SOAR- och EDR/XDR-lösningar säkerställer att ITDR kan tillhandahålla realtidsövervakning och incidenthantering utan att skapa operativa silos.
- Skalbarhet - eftersom organisationer i allt högre grad använder hybrid- och multi-cloud-miljöer måste ITDR omfatta molnidentiteter, privilegierad åtkomst och federerad autentisering. Det blir särskilt värdefullt för företag som hanterar stora fjärrstyrda arbetsstyrkor och omfattande åtkomst från tredje part, vilket garanterar säker identitetsverifiering över spridda miljöer.
- Prioritet och budget för nollförtroende - placera ITDR i framkant av moderna cybersäkerhetsstrategier. ITDR möjliggör kontinuerlig identitetsverifiering, beteendeanalys och riskbaserade svar - kärnprinciperna i en nollförtroendemodell. I takt med att organisationer rör sig bort från traditionell perimeterbaserad säkerhet spelar ITDR en avgörande roll när det gäller att skydda identiteter som den nya perimetern.
Är ITDR det nya säkerhetslagret för åtkomst?
ITDR har utvecklats från traditionell identitetssäkerhet till en särskild säkerhetsdisciplin som hanterar moderna identitetsdrivna cyberhot. Eftersom cyberbrottslingar i allt högre grad riktar in sig på inloggningsuppgifter, privilegierade konton och identitetssystem kan ITDR komma att bli ett standardiserat säkerhetslager i en organisations säkerhetsstrategi.
