Echte bescherming of valse belofte? De ultieme ITDR-shortlistinggids

Het is het tijdperk van identiteitsbeveiliging. De explosie van gedreven ransomware-aanvallen heeft CISO’s en beveiligingsteams doen beseffen dat identiteitsbeveiliging 20 jaar achterloopt op hun eindpunten en netwerken. Dit besef is voornamelijk te danken aan de transformatie van laterale beweging van beeldende kunst, alleen te vinden in APT en top cybercrime-groepen, naar een commodity skill die in bijna elke ransomware-aanval wordt gebruikt. De laterale beweging gebruikt gecompromitteerde inloggegevens voor kwaadaardige toegang – een kritieke blinde vlek die bestaande XDR-, netwerk- en SIEM-oplossingen niet kunnen blokkeren.

Identity Threat Detection and Response (ITDR) is de afgelopen jaren ontstaan ​​om deze kloof te dichten. Dit artikel analyseert de top vijf ITDR-mogelijkheden en biedt de belangrijkste vragen die u aan uw ITDR-leverancier kunt stellen. Alleen een definitief ‘JA’ op deze vragen kan garanderen dat de oplossing die u evalueert inderdaad zijn belofte op het gebied van identiteitsbeveiliging kan waarmaken.

Dekking voor alle gebruikers, bronnen en toegangsmethoden

Waarom is het belangrijk?

Gedeeltelijke bescherming is net zo goed als helemaal geen bescherming. Als identiteit de naam van het spel is, dan zou de ITDR-bescherming zich moeten uitstrekken over alle gebruikersaccounts, on-prem en cloudbronnen, en niet minder belangrijk – alle toegangsmethoden.

Welke vragen moet u stellen:

  1. Is de ITDR ook van toepassing op niet-menselijke identiteiten, zoals Active Directory (AD)-serviceaccounts?
  1. Kan de ITDR het volledige authenticatietraject van gebruikers analyseren, via on-premises resources, cloudworkloads en SaaS-apps?
  1. Zou de ITDR kwaadaardige toegang via opdrachtregeltools zoals PsExec of PowerShell detecteren?

Real-Time (of zo dichtbij als je kunt komen)

Waarom is het belangrijk?

De snelheid van detectie van bedreigingen is belangrijk. In veel gevallen kan het het verschil maken tussen het spotten en beperken van een bedreiging in een vroeg stadium of het onderzoeken van een actieve inbreuk op volledige schaal. Om dat te realiseren, moet de ITDR zijn analyse toepassen op authenticaties en toegangspogingen zo dicht mogelijk bij het moment waarop ze zich voordoen.

Welke vragen moet u stellen:

  1. Integreert de ITDR-oplossing rechtstreeks met on-premises en cloud-identiteitsproviders om authenticaties te analyseren terwijl ze plaatsvinden?
  1. Vraagt ​​de ITDR de IDP om wijzigingen in de accountconfiguratie (bijvoorbeeld OU, machtigingen, bijbehorende SPN, enz.)?

Multidimensionale anomaliedetectie

Waarom is het belangrijk?

Geen enkele detectiemethode is immuun voor valse positieven. De beste manier om de nauwkeurigheid te vergroten, is door te zoeken naar meerdere verschillende soorten anomalieën. Hoewel elk op zichzelf kan voorkomen tijdens legitieme gebruikersactiviteit, zou het gezamenlijk voorkomen van meerdere de waarschijnlijkheid vergroten dat een daadwerkelijke aanval werd gedetecteerd.

Welke vragen moet u stellen:

  1. Kan de ITDR-oplossing afwijkingen in het authenticatieprotocol detecteren (bijvoorbeeld hashgebruik, ticketplaatsing, zwakkere encryptie, enz.)?
  1. Maakt de ITDR-oplossing een profiel van het standaardgedrag van gebruikers om toegang tot bronnen te detecteren die voorheen nooit zijn gebruikt?
  1. Analyseert de ITDR-oplossing toegangspatronen die verband houden met laterale verplaatsing (bijvoorbeeld toegang tot meerdere bestemmingen in een korte periode, van machine A naar machine B en vervolgens van B naar C, enz.)?

Heeft u een ITDR-oplossing nodig om het aanvalsoppervlak van uw on-premises en cloudomgevingen te beveiligen? Ontdek hoe Silverfort ITDR werkt En Vraag een demo aan om te zien hoe wij uw specifieke behoeften kunnen aanpakken.

Ketendetectie met MFA en toegangsblokkering

Waarom is het belangrijk?

Nauwkeurige detectie van bedreigingen is het beginpunt, niet het eindpunt van de race. Zoals we hierboven hebben vermeld, zijn tijd en nauwkeurigheid de sleutel tot efficiënte bescherming. Net als een EDR die een kwaadaardig proces beëindigt, of een SSE die kwaadaardig verkeer blokkeert, is het vermogen om geautomatiseerde blokkering van kwaadaardige toegangspogingen te activeren van cruciaal belang. Hoewel de ITDR dat zelf niet kan, zou het moeten kunnen communiceren met andere identiteitsbeveiligingscontroles om dit doel te bereiken.

Welke vragen moet u stellen:

  1. Kan de ITDR de detectie van verdachte toegang opvolgen door een stapsgewijze verificatie te activeren vanuit een MFA-oplossing?
  1. Kan de ITDR bij detectie van verdachte toegang actie ondernemen door de identiteitsprovider opdracht te geven de toegang volledig te blokkeren?

Integratie met XDR, SIEM en SOAR

Waarom is het belangrijk?

Bescherming tegen bedreigingen wordt bereikt door de gezamenlijke werking van meerdere producten. Deze producten kunnen zich specialiseren in een bepaald facet van kwaadaardige activiteit, signalen samenvoegen tot een samenhangend contextueel overzicht of een responsplaybook orkestreren. Naast de mogelijkheden die we hierboven hebben opgesomd, moet ITDR ook naadloos integreren met de reeds aanwezige beveiligingsstack, bij voorkeur op een zo geautomatiseerd mogelijke manier.

Welke vragen moet u stellen:

  1. Kan de ITDR-oplossing XDR-gebruikersrisicosignalen verzenden en risicosignalen importeren op processen en machines?
  1. Deelt de ITDR zijn beveiligingsbevindingen met het aanwezige SIEM?
  1. Kan de detectie van kwaadwillende gebruikerstoegang door de ITDR het SOAR-playbook activeren voor de gebruiker en de bronnen waarop deze is ingelogd?

Zilverfort ITDR

Silverfort’s ITDR is onderdeel van een geconsolideerd identiteitsbeveiligingsplatform dat onder andere MFA, privileged access security, service account protection en authenticatiefirewalls omvat. Silverfort ITDR is gebaseerd op native integratie met AD, Entra ID, Okta, ADFS en Ping Federate en analyseert elke authenticatie- en toegangspoging in de hybride omgeving. Het past meerdere, elkaar kruisende risicoanalysemethoden toe om kwaadaardige gebruikersactiviteit te detecteren en realtime identiteitsbeveiligingscontroles te activeren.

Lees hier meer over Silverfort ITDR of plan een demo met een van onze experts.

Thijs Van der Does