Ovo je doba sigurnosti identiteta. Eksplozija vođenih ransomware napada navela je CISO-e i timove za sigurnost da shvate da zaštita identiteta zaostaje 20 godina za njihovim krajnjim tačkama i mrežama. Ova spoznaja je uglavnom posljedica transformacije lateralnog kretanja od likovne umjetnosti, koja se nalazi samo u APT-u i vrhunskim grupama cyber kriminala, do robne vještine koja se koristi u gotovo svakom napadu ransomware-a. Bočno kretanje koristi kompromitovane vjerodajnice za zlonamjerni pristup – kritična slijepa točka koju postojeća rješenja XDR, mreže i SIEM ne uspijevaju blokirati.
Otkrivanje prijetnje identitetu i odgovor (ITDR) pojavio se u posljednjih nekoliko godina kako bi se premostio ovaj jaz. Ovaj članak raščlanjuje pet najboljih ITDR mogućnosti i pruža ključna pitanja koja možete postaviti svom dobavljaču ITDR-a. Samo definitivno ‘DA’ na ova pitanja može osigurati da rješenje koje procjenjujete može zaista ispuniti obećanje o sigurnosti identiteta.
Pokrivenost za sve korisnike, resurse i pristupne metode
Zašto je to važno?
Djelomična zaštita jednako je dobra kao i nikakva zaštita. Ako je identitet naziv igre, onda ITDR zaštita treba da se proteže na svim korisničkim nalozima, on-prem i cloud resursima, i ne manje važno – svim metodama pristupa.
Koja pitanja postaviti:
1. Pokriva li ITDR i neljudske identitete, kao što su nalozi usluge Active Directory (AD)?
2. Može li ITDR analizirati potpuni trag autentifikacije korisnika, preko lokalnih resursa, radnih opterećenja u oblaku i SaaS aplikacija?
3. Da li bi ITDR otkrio zlonamjerni pristup putem alata za pristup komandnoj liniji kao što su PsExec ili PowerShell?
U realnom vremenu (ili što je moguće bliže)
Zašto je to važno?
Brzina otkrivanja prijetnji je važna. U mnogim slučajevima, to bi mogla biti razlika između uočavanja i ublažavanja prijetnje u ranoj fazi ili istraživanja aktivnog kršenja u punoj veličini. Da bi to postigao, ITDR bi trebao primijeniti svoju analizu na autentifikaciju i pokušaje pristupa što je bliže njihovoj pojavi.
Koja pitanja postaviti:
1. Da li se ITDR rješenje integrira direktno s on-prem i cloud dobavljačima identiteta kako bi analizirali autentifikaciju kako se dešavaju?
2. Da li ITDR postavlja upit IDP-u kako bi otkrio promjene u konfiguraciji računa (na primjer OU, dozvole, pridruženi SPN, itd.)?
Detekcija višedimenzionalnih anomalija
Zašto je to važno?
Nijedna metoda detekcije nije imuna na lažne rezultate. Najbolji način da se poveća preciznost je traženje više različitih vrsta anomalija. Iako se svaki od njih sam po sebi može pojaviti tokom legitimne korisničke aktivnosti, uzajamno pojavljivanje nekoliko bi povećalo vjerovatnoću da je stvarni napad otkriven.
Koja pitanja postaviti:
1. Može li ITDR rješenje otkriti anomalije u autentifikacijskom protokolu (na primjer, korištenje hash-a, postavljanje ulaznica, slabija enkripcija, itd.)?
2. Da li ITDR rješenje profilira standardno ponašanje korisnika kako bi otkrio pristup resursima kojima se nikada prije nije pristupalo?
3. Da li ITDR rješenje analizira obrasce pristupa koji su povezani sa bočnim pomicanjem (na primjer, pristup višestrukim odredištima u kratkom vremenskom periodu, prelazak sa mašine A na mašinu B, a zatim od B do C, itd.)?
Detekcija lanca sa MFA i pristupnim blokom
Zašto je to važno?
Precizno otkrivanje pretnji je početna tačka, a ne kraj trke. Kao što smo već spomenuli, vrijeme i preciznost su ključ efikasne zaštite. Baš poput EDR-a koji prekida zlonamjerni proces ili SSE-a koji blokira zlonamjerni promet, imperativ je mogućnost pokretanja automatskog blokiranja pokušaja zlonamjernog pristupa. Iako sam ITDR to ne može učiniti, trebao bi biti u stanju komunicirati s drugim sigurnosnim kontrolama identiteta kako bi postigao ovaj cilj.
Koja pitanja postaviti:
1. Može li ITDR pratiti otkrivanje sumnjivog pristupa pokretanjem pojačane verifikacije iz MFA rješenja?
2. Može li ITDR pratiti otkrivanje sumnjivog pristupa dajući instrukcije dobavljaču identiteta da potpuno blokira pristup?
Integrirajte sa XDR, SIEM i SOAR
Zašto je to važno?
Zaštita od prijetnji postiže se zajedničkim radom više proizvoda. Ovi proizvodi mogu se specijalizirati za određeni aspekt zlonamjerne aktivnosti, agregirati signale u kohezivni kontekstualni pogled ili orkestrirati knjigu odgovora. Pored mogućnosti koje smo naveli iznad, ITDR bi se takođe trebao neprimjetno integrirati sa sigurnosnim stekom koji je već postavljen, po mogućnosti na automatizirani način.
Koja pitanja postaviti:
1. Može li ITDR rješenje slati XDR signale rizika korisnika i uvoziti signale rizika na procese i mašine?
2. Da li ITDR dijeli svoje sigurnosne nalaze sa postojećim SIEM-om?
3. Može li ITDR-ova detekcija zlonamjernog pristupa korisnika pokrenuti SOAR playbook za korisnika i resurse na koje je prijavljen?
Silverfort ITDR
Silverfortov ITDR je dio konsolidirane platforme za sigurnost identiteta koja uključuje, između ostalih mogućnosti, MFA, sigurnost privilegovanog pristupa, zaštitu naloga usluge i zaštitne zidove za autentifikaciju. Izgrađen na prirodnoj integraciji sa AD, Entra ID, Okta, ADFS i Ping Federate, Silverfort ITDR analizira svaki pokušaj autentifikacije i pristupa u hibridnom okruženju i primjenjuje višestruke metode analize rizika koje se međusobno ukrštaju kako bi otkrio zlonamjernu aktivnost korisnika i pokrenuo sigurnost identiteta u stvarnom vremenu. kontrole.
Izvor:The Hacker News
