Bedrohungen im Zusammenhang mit der Benutzeridentität sind auf dem Vormarsch und zwingen Unternehmen dazu, ihre Budgets für Cybersicherheit zu erhöhen und sich auf Lösungen zur Erkennung und Abwehr von Identitätsbedrohungen (ITDR) zu konzentrieren. Da identitätsbezogene Bedrohungen ein so aktuelles Thema sind, wollte das Semperis-Team einen Beitrag dazu leisten, wie Ihr Sicherheitsteam Identitätsangriffe verhindern kann.
Wenn Sie nach Lösungen für die Identitätssicherheit suchen, um Ihr Active Directory (das gängigste Identitätssystem) zu schützen, ist dieser Leitfaden genau das Richtige für Sie. Hier erfahren Sie, was ITDR ist und wie Sie die beste ITDR-Lösung finden, um Ihr Unternehmen vor Cyber-Bedrohungen zu schützen.
Verwandte Lektüre
Was ist ITDR?
Gartner hat die Kategorie Identity Threat Detection and Response (ITDR) geschaffen, um Lösungen zu beschreiben, die Identitätssysteme wie Active Directory (AD) und Entra ID (früher Azure AD) schützen, die die Authentifizierung und den Zugriff auf Anwendungen und Dienste ermöglichen.
Als Reaktion auf die zunehmende Zahl von Akteuren, die digitale Identitäten bedrohen, wurde ITDR in Gartners Hype Cycle für Endpoint Security als eine aufkommende Technologie aufgenommen, die die Identitätsinfrastruktur vor potenziellen Bedrohungen schützt. Gartner stellte außerdem fest, dass Identitäts-Bedrohungsakteure jetzt vor allem den Missbrauch von Anmeldeinformationen nutzen, um sich privilegierten Zugang zu den Informationssystemen eines Unternehmens zu verschaffen und dessen Identitäts- und Zugriffsverwaltungssysteme (IAM) zu manipulieren.
Was ist eine ITDR-Lösung?
ITDR-Lösungen verbessern Ihre Sicherheitsabläufe, indem sie sich auf die Identitätsinfrastruktur selbst und nicht auf die von dieser Infrastruktur verwalteten Benutzer konzentrieren. Laut Gartner sollten ITDR-Lösungen sowohl schützen als auch verteidigen, und zwar mit speziellen Funktionen für den Identitätsschutz. Dazu gehören die Bewertung der Sicherheitslage in der AD-Umgebung, die Verwaltung von Angriffspfaden, die Risikobewertung und -priorisierung, die Echtzeitüberwachung von Kompromittierungsindikatoren (IOCs), maschinelles Lernen (ML) oder Analysen zur Erkennung abnormaler Verhaltensweisen oder Ereignisse sowie die automatisierte Behebung und Reaktion auf Vorfälle.
Da viele identitätsbezogene Angriffe erfolgreich AD kompromittieren, sollte eine getestete, AD-spezifische Lösung zur Wiederherstellung von Ransomware als Teil der Planung für die Reaktion auf Vorfälle einbezogen werden.
Was ist der Unterschied zwischen EDR und ITDR?
Endpoint Detection and Response (EDR)-Lösungen sammeln, analysieren und reagieren auf bedrohungsbezogene Informationen über Endpunkte - physische Geräte (Desktop-Computer, virtuelle Maschinen, mobile Geräte), die eine Verbindung zu einem Computernetzwerk herstellen und Informationen mit diesem austauschen. Erweiterte Endpunkt-Erkennungs- und Reaktionslösungen (XDR) integrieren den Schutz von Endpunkten, Servern, Cloud-Anwendungen, E-Mail und anderen Technologien. XDR-Lösungen kombinieren Prävention, Erkennung, Untersuchung und Reaktion in einem ganzheitlichen Ansatz zur Bekämpfung von Cyberangriffen.
Während sich EDR- und XDR-Lösungen auf die äußere Schicht des Informationssystems eines Unternehmens konzentrieren, konzentrieren sich ITDR-Lösungen auf das Identitätssystem selbst, das Benutzer authentifiziert und Berechtigungen für Dienste und Anwendungen erteilt.
Da Cyberkriminelle ständig neue Angriffsmethoden entwickeln, ist eine Cybersicherheitsstrategie, die sowohl Endpunkte als auch Ihre zentrale Identitätsbasis schützt und gleichzeitig einzelne Schwachstellen vermeidet, die beste Verteidigung gegen aktuelle Bedrohungen.
Warum ist ITDR wichtig?
ITDR-Lösungen schützen die Identitätsinfrastruktur, die heute bei den meisten Cyberangriffen ein primärer Angriffsvektor ist. Da Active Directory (AD) bei 90 % der Unternehmen weltweit der zentrale Identitätsspeicher ist, ist AD für Cyberkriminelle ein Hauptziel. Da AD schwer abzusichern und typischerweise mit veralteten Fehlkonfigurationen behaftet ist, wird es regelmäßig bei Cyberangriffen kompromittiert, wie z. B. bei SolarWinds und Colonial Pipeline. Mandiant berichtete, dass AD bei 9 von 10 aller von ihnen untersuchten Angriffe betroffen ist.
Was ist die beste ITDR-Lösung?
Unternehmen, die auf der Suche nach einer leistungsfähigen ITDR-Lösung sind, stehen vor einer wachsenden Zahl von Entscheidungen. Aus unseren Umfrageergebnissen und Gesprächen mit Kunden wissen wir, dass Unternehmen über die Herausforderungen beim Schutz hybrider Identitätsumgebungen während des gesamten Angriffslebenszyklus besorgt sind: vor, während und nach einem Cybersecurity-Vorfall.
Wir haben IT- und Sicherheitsverantwortliche in über 50 Unternehmen und Organisationen befragt, um zu erfahren, wie sie ITDR-Expertenlösungen bewerten. Die wichtigsten Fähigkeiten für ITDR-Lösungen sind:
- Bewertung der Sicherheitslage und Überwachung in Echtzeit. AD ist anfällig, weil sich im Laufe der Zeit alte Fehlkonfigurationen ansammeln und weil ständig neue Bedrohungen durch Ransomware-as-a-Service (RaaS) Gruppen wie LockBit und Vice auftreten. Das Scannen der hybriden AD-Umgebung auf Anzeichen für eine Gefährdung (IOEs) und Kompromittierung (IOCs) und das Schließen von Sicherheitslücken ist der erste Schritt in einer mehrschichtigen Verteidigungsstrategie für Identitätssysteme. Die Überwachung in Echtzeit hilft Unternehmen, Konfigurationsabweichungen zu vermeiden, indem Sicherheitsindikatoren sofort nach ihrem Auftreten erkannt werden.
- Schnelle, malwarefreie Backups und Wiederherstellung der AD-Gesamtstruktur. Im Idealfalls sollten Angriffe verhindert werden. Die Fähigkeit der Wiederherstellung nach einer AD-bezogenen Cyberkatastrophe ist jedoch der Schlüssel zum Risikomanagement. Laut einer Studie von Enterprise Management Associates (EMA) waren 50 % der Unternehmen in den letzten 1 bis 2 Jahren von einem Angriff auf AD betroffen. Mehr als 40 % dieser Angriffe waren erfolgreich. Ohne einen getesteten Plan für die schnelle Wiederherstellung von AD, der auch die Wiedereinführung von Malware vermeidet, riskieren Unternehmen, Lösegeld zu zahlen oder bei der Wiederherstellung des Identitätssystems wochenlange Ausfallzeiten zu erleiden.
- Automatische Beseitigung von erkannten Bedrohungen. Malware breitet sich oft schneller in Systemen aus, als der Mensch eingreifen kann. Die automatische Behebung bösartiger Änderungen ist entscheidend, um Angriffe zu stoppen und den Schaden zu begrenzen. Eine umfassende Lösung zur Erkennung von und Reaktion auf AD-Bedrohungen sollte mehrere Datenquellen nutzen, um fortschrittliche Angriffe wie DCShadow zu erkennen, die sich herkömmlichen protokoll- und ereignisbasierten Tools entziehen, einschließlich SIEM-Lösungen (Security Information and Event Management).
ITDR-Lösungen zum Schutz von AD vor, während und nach einem Angriff
Weitere Informationen darüber, wie Sie ITDR-Lösungen zum Schutz Ihres AD- und Azure AD-Identitätssystems bewerten können, finden Sie im Bericht "Evaluating Identity Threat Detection & Response Solutions", der diese Fragen beantwortet:
- Wie viele Unternehmen müssen eine hybride AD-Umgebung schützen?
- Was sind die größten Sorgen der Unternehmen in Bezug auf Identitätsbedrohungen?
- Wie zuversichtlich sind Unternehmen in Bezug auf ihre Fähigkeit, Cyberangriffe, die AD oder Azure AD betreffen, zu verhindern oder sich davon zu erholen?
- Welche Auswirkungen hätte ein Cyberangriff, der AD lahmlegt, auf Unternehmen?
- Welche ITDR-Funktionen sind für die IT- und Sicherheitsverantwortlichen von heute am wichtigsten?
Wichtigste Erkenntnis: Unternehmen suchen nach Lösungen, die Bedrohungen über den gesamten Lebenszyklus eines AD-Angriffs hinweg angehen - vor, während und nach einem Angriff. Zu den wichtigsten ITDR-Funktionen, die Führungskräfte suchen, gehören Funktionen zur Verhinderung, Erkennung, Behebung und Wiederherstellung nach einem Angriff auf hybride Identitätssysteme.
Laden Sie den ITDR-Umfragebericht herunter
Möchten Sie erfahren, wie andere Organisationen auf diese Fragen antworten? Laden Sie unser Evaluierung von Lösungen zur Erkennung und Abwehr von Identitätsbedrohungen (ITDR) herunter, um mehr über die aufkommende Kategorie ITDR zu erfahren und darüber, wie Sie damit beginnen können, darüber nachzudenken, wie erfahrene ITDR-Lösungen Ihnen helfen können, Ihre Identitätsinfrastruktur zu schützen.