Was ist Identitätsbedrohungserkennung und -reaktion (ITDR)?

Mit dem Wachstum von Cloud-Computing, KI und Remote-Arbeit lösen sich traditionelle Grenzen schnell auf. Die Identitätsbedrohungserkennung und -reaktion (IDTR) befasst sich mit diesen Problemen, indem sie häufige identitätsbezogene Bedrohungen identifiziert, wie z. B. gestohlene Anmeldeinformationen und Angriffe auf Konten (ATO).

Obwohl viele Organisationen über Lösungen zur Identitätssicherheit verfügen, sind traditionelle Lösungen für Identitäts- und Zugriffsmanagement (IAM) sowie Mehrfaktorauthentifizierung (MFA) nicht mehr ausreichend für die Sicherheit. Mit dem Anstieg von ATO-Angriffen und nicht-menschlichen Identitäten (NHI) benötigen Unternehmen die Fähigkeit, identitätsbezogene Verstöße schnell zu erkennen und darauf zu reagieren.

Warum Identitätsbedrohungen wichtig sind

Identitätsbezogene Verstöße sind eine der größten Bedrohungen für die Sicherheit von Unternehmen, wobei fast ein Viertel der Angriffe (22%) mit gestohlenen Anmeldeinformationen beginnt, was sie zur Hauptursache für Verstöße macht. Anmeldeinformationen können auf verschiedene Weise gestohlen werden (Phishing, Malware usw.) und gewähren einem Angreifer Zugriff auf ein legitimes Mitarbeiterkonto im Unternehmensnetzwerk. Einmal im System können sie sensible Daten stehlen, Malware platzieren oder andere Maßnahmen ergreifen, um dem Unternehmen zu schaden.

Häufige Techniken bei Identitätsangriffen

Identitätsbezogene Angriffe können eine Vielzahl unterschiedlicher Mechanismen nutzen. Einige der häufigsten Schwachstellen, die Angreifer ausnutzen, sind:

• Schwache Passwörter: Credential Stuffing, Brute-Force-Passworterraten und Passwort-Spraying-Angriffe nutzen alle schwache und wiederverwendete Passwörter aus, um Zugriff auf Konten zu gewähren.
• Soziale Manipulation: Phishing und andere Angriffe durch soziale Manipulation täuschen Benutzer, um ihnen Passwörter zu entlocken oder Malware zu installieren, die diese stiehlt.
• Unsichere IAM-Richtlinien: Schwache oder falsch konfigurierte IAM-Richtlinien können es einem unbefugten Benutzer ermöglichen, auf privilegierte Funktionen und sensible Daten zuzugreifen.
• Sitzungsübernahme: Angreifer können Sitzungstoken oder andere Identifikatoren stehlen, die es ihnen ermöglichen, eine aktive, authentifizierte Benutzersitzung zu übernehmen.
• Insider-Bedrohungen: Vertraute Insider innerhalb eines Unternehmens können gezwungen, bestochen oder getäuscht werden, um Handlungen vorzunehmen, die einen Cyberangriff vorantreiben.

Folgen der Identitätskompromittierung

Die Kompromittierung von Identitäten ermöglicht es einem Angreifer, die Zugriffsrechte und Privilegien eines legitimen Benutzers missbräuchlich zu nutzen. Einige der potenziellen Folgen für das Unternehmen sind:

• Gefälschte Datenlecks: Angreifer können ein kompromittiertes Konto nutzen, um die legitimen Zugriffsrechte eines Benutzers auf sensible Daten auszunutzen.

• Malware-Infektionen: Ransomware und andere Malware können von Angreifern verbreitet werden, die kompromittierte Konten nutzen, um über VPNs, RDP und andere Remote-Access-Tools auf Zielsysteme zuzugreifen.
• Regulatorische Strafen: Datenschutzvorschriften wie die DSGVO, PCI DSS und HIPAA verlangen die Kontrolle des Zugriffs auf geschützte Daten, sodass unbefugter Zugriff zu Geldstrafen oder anderen regulatorischen Strafen führen kann.
• Unterbrechung des Geschäftsbetriebs: Angreifer können unbefugten Zugriff nutzen, um Denial-of-Service (DoS)-Angriffe durchzuführen, und die Reaktion auf Vorfälle kann die normalen Geschäftsabläufe beeinträchtigen.
• Rufschädigung: Datenverletzungen und andere Vorfälle, die durch kompromittierte Identitäten verursacht werden, können den Ruf einer Organisation bei Kunden, Partnern, Regulierungsbehörden und anderen Interessengruppen schädigen.
• Erhöhte Kosten: Die Behebung von Vorfällen, die Unterbrechung des Geschäftsbetriebs und Geldstrafen können alle Kosten für das Unternehmen verursachen.

Die Kernfunktionen von SASE:

ITDR erweitert das traditionelle Identitätsmanagement um Funktionen, die sich auf Überwachung, Erkennung und Reaktion konzentrieren. Durch die proaktive Identifizierung und Behebung bevorstehender Angriffe, anstatt nachträglich zu reagieren, kann eine Organisation die Kosten und Auswirkungen eines Vorfalls reduzieren. ITDR ermöglicht es einer Organisation auch, ihre Zero-Trust-Sicherheitsstrategie zu stärken, indem Vorfälle behoben und die Prinzipien des minimalen Zugriffs über Identitätssysteme wie Windows AD, Entra ID und Okta durchgesetzt werden.

Kernfunktionen von ITDR

Funktion	Beschreibung	Beispielanwendungsfall	Geschäftswert
Monitoring	Protokolle sammeln und das Verhalten von Benutzern/Sitzungen verfolgen	Anomalien bei Anmeldungen im Active Directory erkennen	Frühe Sichtbarkeit von Missbrauch vor der Eskalation
Erkennung	Verdächtige oder abnormale Zugriffsverhalten identifizieren	Versuche zur Privilegieneskalation erkennen	Stoppt den Missbrauch durch Insider oder externe Akteure während der Aktion
Reaktion	Automatisierung der Behebung kompromittierter Konten	Konto sperren und MFA-Neuauthentifizierung durchsetzen	Reduziert die Verweildauer und die Kosten für die Wiederherstellung nach einem Sicherheitsvorfall
Integration	Verbindung mit IAM-, PAM-, SIEM- und SOAR-Tools	Benachrichtigungen in SOC-Workflows einpflegen	Stärkt den bestehenden Identitätssicherheitsstapel
Analytics	Verhaltensbaselines und ML-Modelle anwenden	Ungewöhnliche SaaS-Anmeldungen zu ungewöhnlichen Zeiten erkennen	Erhöht die Genauigkeit, reduziert Fehlalarme

Überwachung von Identitätssystemen

IDTR sammelt und aggregiert Identitätsdaten aus verschiedenen Quellen, wie Verzeichnisdiensten, IAM und SSO-Anbietern. Diese Informationen ermöglichen es dem System, eine kontinuierliche Überwachung der Benutzer- und Geräteaktivitäten durchzuführen. Nach der Festlegung von Basislinien für normale Aktivitäten können anomale und abnormale Zugriffsverhalten verwendet werden, um potenzielle Angriffe zu identifizieren.

Diese Überwachung ermöglicht es einer Organisation auch, ihre Identitätsüberwachung mit internen und externen Anforderungen in Einklang zu bringen. Vorschriften wie HIPAA, PCI DSS und GDPR verlangen eine Überwachung des Zugriffs auf geschützte Daten.

Erkennung verdächtiger Identitätsverhalten

Die fortlaufende Überwachung der Benutzeraktivitäten innerhalb des Unternehmens ermöglicht die Erkennung verdächtiger oder anomaler Verhaltensweisen, die auf einen Angriff hindeuten könnten. Einige Verhaltensweisen, die IDTR möglicherweise erkennen kann, sind:

• Unmögliche Reisen und ungewöhnliche Anmeldezeiten.
• Häufige Muster der Privilegieneskalation.
• Versuchte laterale Bewegung mit gestohlenen Anmeldeinformationen.
• Übermäßige fehlgeschlagene Anmeldeversuche.

Automatisierte Reaktion und Behebung

ITDR wird durch die Fähigkeit definiert, schnell auf einen vermuteten Angriff zu reagieren, den Angreifer einzudämmen und potenzielle Schäden zu mindern. Einige der Maßnahmen, die eine ITDR-Lösung ergreifen kann, sind:

• Sperren oder Aussetzen kompromittierter Konten.
• Auslösen einer MFA-Neuauthentifizierung.
• Isolieren von Geräten oder Sitzungen im Netzwerk.
• Versenden von Warnungen an SOC/SIEM-Teams.
• Integration mit SOAR für eine orchestrierte Reaktion.

ITDR vs. IAM, PAM und MFA

ITDR ist ein Bestandteil einer umfassenden Identitätsmanagement- und Sicherheitslösung, die Bedrohungserkennung und Reaktionsfähigkeiten hinzufügt, neben präventiven Maßnahmen wie IAM, PAM und MFA. Diese Lösungen sind komplementär und haben unterschiedliche Schwerpunkte, darunter:

• IAM: Identitätsmanagement
• PAM: Verwaltung privilegierter Zugriffe
• MFA: Schutz vor ATO-Angriffen
• ITDR: Identifizierung und Behebung identitätsbezogener Vorfälle

Vergleich von Ansätzen zur Identitätssicherheit

Approach	Hauptzweck	Stärken:	Einschränkungen	Wo es in Zero Trust passt
IAM	Verwalten von Benutzeridentitäten und Zugriffsrechten	Zentralisierte Kontrolle, Nachvollziehbarkeit	Erkennt Missbrauch nicht in Echtzeit	Stellt eine Identitätsbasislinie auf
PAM	Reguliert den Zugriff auf privilegierte Konten	Begrenzt den Missbrauch von Hochrisikokonten	Komplexe Bereitstellung, engerer Umfang	Schützt „Kronjuwel“-Konten
MFA	Stärkt den Authentifizierungsprozess	Blockiert viele Angriffe auf Anmeldeinformationen	Kann mit gestohlenen Tokens umgangen werden	Erzwingt eine starke Anmeldeverifizierung
ITDR	Erkennt und reagiert auf Identitätsmissbrauch	Proaktive Erkennung, schnelle Behebung	Erfordert die Integration mit IAM/PAM	Kontinuierliche Verifizierung + adaptive Reaktion
ZTNA	Identität im Netzwerkzugang durchsetzen	Kontextbewusste, sitzungsweise Kontrolle	Benötigt die Integration mit der Identitätsquelle	Setzt Zero Trust-Richtlinien in Echtzeit um

Wie Cato Networks die Erkennung von Identitätsbedrohungen unterstützt

Die Cato SASE Cloud Plattform unterstützt ITDR als Teil ihrer integrierten Zero Trust Network Access (ZTNA) Funktionen. ZTNA überwacht kontinuierlich den Netzwerkverkehr, setzt Unternehmensrichtlinien, Authentifizierung, Zugriffskontrollen mit minimalen Rechten und Sitzungsvalidierung durch. Mit ZTNA und ITDR, die in die Cato SASE Cloud Plattform integriert sind, profitieren diese Funktionen auch von Catos globalem privatem Backbone und den konvergierten Sicherheitsdienstleistungsfunktionen (SSE).

Zero Trust Network Access (ZTNA)

Cato implementiert ITDR über ZTNA und bietet Zero Trust-Identitätssicherheit über das Unternehmens-WAN. ZTNA integriert sich mit Identitätsanbietern wie Okta, AD und Ping und setzt kontextbewusste Zugriffsrichtlinien basierend auf Benutzer, Gerät und Standort durch. Die Durchsetzung erfolgt sitzungsweise, und erforderliche Kontrollen werden dynamisch basierend auf dem Risikoniveau aktualisiert.

Kontinuierliche Sitzungsüberwachung

Die kontinuierliche Sitzungsüberwachung bietet Einblicke in Sitzungsübernahmen und den missbräuchlichen Gebrauch einer authentifizierten Sitzung. Wesentliche Funktionen umfassen:

• Erkennung anomalöser Sitzungsverhalten.
• Blockierung von lateralem Bewegungsversuchen.
• Durchsetzung der erneuten Authentifizierung, wenn das Risiko steigt.
• Reduzierung der Verweildauer für kompromittierte Konten.

Vereinheitlichte Sicherheit

Die Cato SASE Cloud-Plattform implementiert einen konvergierten SSE-Stack, der ITDR mit FWaaS, SWG, CASB und DLP kombiniert. Diese Kombination ermöglicht es der Plattform, die potenziellen Auswirkungen kompromittierter Identitäten zu verwalten und die Durchsetzung von cloud-nativer Sicherheit über eine verteilte Belegschaft zu implementieren. Darüber hinaus reduziert die zentrale Richtlinien-Engine die operationale Komplexität, indem sie eine zentrale Verwaltung über mehrere Sicherheitsfunktionen bietet.

Identität Bedrohungserkennung in der Praxis

Angreifer schätzen kompromittierte Anmeldeinformationen, da sie legitimen Zugang zu Unternehmenssystemen gewähren. Einige häufige Szenarien sind:

• Die Anmeldeinformationen eines Mitarbeiters werden vom Angreifer über einen Phishing-Angriff kompromittiert. ITDR identifiziert ungewöhnliche Zugriffsverhalten und sperrt das Konto zur Überprüfung.
• Eine SaaS-Anwendung verzeichnet eine hohe Anzahl fehlgeschlagener Anmeldeversuche für Mitarbeiterkonten. ITDR identifiziert einen versuchten Credential Stuffing-Angriff und blockiert zukünftige Anfragen von bekannten bösartigen Adressen.
• Ein Insider nutzt ein privilegiertes Konto, um sensible Daten aus dem Unternehmen zu sammeln und zu exfiltrieren. ITDR kennzeichnet den versuchten Missbrauch von Privilegien, sperrt das Konto und verhindert, dass die sensiblen Daten das Netzwerk verlassen.

FAQ

Wie unterscheidet sich ITDR von IAM und PAM?

IAM und PAM sind präventive Lösungen, die darauf ausgelegt sind, Angriffe zu blockieren, indem sie den Zugang zu Unternehmensressourcen kontrollieren. ITDR konzentriert sich auf Erkennung und Reaktion, indem es nach Anzeichen eines laufenden Angriffs sucht und diesen behebt. Die Lösungen sind komplementär, da ITDR Angriffe stoppen kann, die IAM und PAM nicht verhindern können.

Warum ist ITDR für Zero Trust unerlässlich?

Zero Trust verhindert unbefugten Zugriff auf Unternehmensressourcen, tut jedoch nichts gegen Angriffe mit legitimen Berechtigungen. ITDR ergänzt Zero Trust, indem es nach Anzeichen von identitätsbezogenen Angriffen sucht. Ein Angreifer könnte beispielsweise kompromittierte Anmeldeinformationen verwenden, um legitim auf eine Unternehmensanwendung zuzugreifen. Zero Trust könnte dies zulassen, aber ITDR kann die Anzeichen eines Angriffs identifizieren und ihn blockieren.

Kann ITDR Insider-Bedrohungen mindern?

Insider-Bedrohungen gehören zu den Hauptbedrohungen, die ITDR adressieren soll. Durch Verhaltensanalysen kann ITDR Anzeichen von anomalen oder potenziell bösartigen Aktivitäten eines vertrauenswürdigen Benutzers identifizieren. Indem es diese anomalen Verhaltensweisen identifiziert und laterale Bewegungen behindert, erkennt ITDR Insider-Bedrohungen schneller und verhindert, dass sie sich im Netzwerk einer Organisation ausbreiten.

Welche Rolle spielt ZTNA in ITDR?

ITDR identifiziert Anzeichen von identitätsbezogenen Angriffen, während ZTNA seine Entscheidungen über Zugriffskontrollen oder andere Einschränkungen durchsetzt. Wenn ITDR beispielsweise glaubt, dass ein Konto kompromittiert wurde, könnte ZTNA eine erneute Authentifizierung verlangen. Wenn es als Teil einer SASE-Plattform wie Cato SASE Cloud implementiert wird, sorgt dies für eine konsistente Durchsetzung der Identität über Cloud-, Rechenzentrums- und Filialzugriffe.

Ersetzt ITDR MFA?

ITDR ist eine ergänzende Technologie zu MFA. MFA verringert das Risiko eines kompromittierten Kontos, indem es die Authentifizierung stärkt, während ITDR darauf abzielt, Angriffe mit kompromittierten Konten zu identifizieren.

Identitätsbedrohungserkennung und -reaktion mit Cato Networks

Da Identität zum „neuen Perimeter“ wird, ist ITDR zunehmend entscheidend für die Sicherheit von Unternehmen. Die Cato SASE Cloud Plattform implementiert ITDR mit ZTNA als Teil einer integrierten SASE-Plattform und bietet eine vereinfachte, konsistentere Identitätssicherheit im gesamten Unternehmen.

Sehen Sie, wie Cato Networks die Identitätssicherheit mit ZTNA und SASE stärkt. Fordern Sie eine Demo an, um zu erkunden, wie wir identitätsbedingte Risiken reduzieren.