Gids voor oplossingen voor identiteitsbedreigingsdetectie en -respons

Cyberbeveiliging
Gids voor oplossingen voor identiteitsbedreigingsdetectie en -respons

De opkomst van identiteitsbedreigingsdetectie en -respons

Identity Threat Detection and Response (ITDR) is een cruciaal onderdeel geworden om identiteitsgebaseerde aanvallen effectief te detecteren en erop te reageren. Dreigingsactoren hebben laten zien dat ze de identiteitsinfrastructuur kunnen compromitteren en lateraal kunnen bewegen in IaaS-, Saas-, PaaS- en CI/CD-omgevingen. Identity Threat Detection and Response-oplossingen helpen organisaties om verdachte of kwaadaardige activiteiten in hun omgeving beter te detecteren. ITDR-oplossingen geven beveiligingsteams de mogelijkheid om teams te helpen de vraag te beantwoorden: “Wat gebeurt er nu in mijn omgeving – wat doen mijn identiteiten in mijn omgevingen.”

Menselijke en niet-menselijke identiteiten

Zoals uiteengezet in de ITDR Solution Guide, omvatten uitgebreide ITDR-oplossingen zowel menselijke als niet-menselijke identiteiten. Menselijke identiteiten omvatten de beroepsbevolking (werknemers), gasten (contractanten) en leveranciers. Niet-menselijke identiteiten omvatten tokens, sleutels, serviceaccounts en bots. ITDR-oplossingen voor meerdere omgevingen kunnen alle identiteitsentiteitsrisico’s detecteren en erop reageren, bijvoorbeeld van de IdP tot de IaaS- en SaaS-lagen, in tegenstelling tot het beveiligen van identiteiten op een gefragmenteerd laagspecifiek niveau.

Kern ITDR-mogelijkheden

De essentiële mogelijkheden van een ITDR-oplossing omvatten:

  1. Het ontwikkelen van een universeel identiteitsprofiel voor alle entiteiten, inclusief menselijke en niet-menselijke identiteit, activiteit in verschillende cloudservicelagen en on-premises applicaties en services.
  2. Het koppelen van statische analyse, houdingbeheer en configuratie van die identiteiten aan de runtime-activiteit van die identiteiten in de omgeving.
  3. Het bewaken en volgen van directe en indirecte toegangspaden en het bewaken van de activiteit van alle identiteiten in de omgeving.
  4. Orkestreren van identiteitstracking en detecties in meerdere omgevingen die identiteitsproviders, IaaS-, PaaS-, SaaS- en CI/CD-toepassingen omvatten, zodat de identiteit overal in de omgeving kan worden gevolgd.
  5. Detectie en reactie met hoge betrouwbaarheid in meerdere omgevingen, waarmee organisaties actie kunnen ondernemen tegen identiteitsbedreigingen zodra deze zich over het gehele aanvalsoppervlak manifesteren, in plaats van te reageren op grote aantallen atomaire waarschuwingen op basis van afzonderlijke gebeurtenissen.

Voor een volledig overzicht van ITDR-mogelijkheden kunt u de volledige Identity Threat Detection and Response Solution Guide raadplegen.

Identiteitsbedreigingsgebruiksscenario’s

Om effectief te beschermen tegen identiteitsaanvallen, moeten organisaties kiezen voor een ITDR-oplossing met geavanceerde mogelijkheden om aanvallen te detecteren en te beperken. Deze mogelijkheden moeten een reeks use cases voor zowel menselijke als niet-menselijke identiteiten aanpakken, waaronder maar niet beperkt tot:

  1. Detectie van accountovername: Detecteer een van de vele varianten die erop duiden dat een identiteit is gecompromitteerd.
  2. Detectie van inbreuk op inloggegevens: Identificeer en waarschuw mensen voor het gebruik van gestolen of gecompromitteerde inloggegevens binnen de omgeving.
  3. Detectie van privilege-escalatie: Detecteer ongeautoriseerde pogingen om privileges binnen systemen en applicaties te verhogen.
  4. Detectie van afwijkend gedrag: Controleer op afwijkingen van normaal gebruikersgedrag die kunnen duiden op kwaadaardige activiteiten.
  5. Detectie van insiderbedreigingen: Identificeer en reageer op kwaadaardige of nalatende acties van interne gebruikers.

Voor een volledig overzicht van use cases voor identiteitsbedreigingen kunt u de volledige Identity Threat Detection and Response Solution Guide raadplegen.

Vragen die een effectieve ITDR-oplossing moet beantwoorden

1. IDENTITEITSINVENTARIS EN TOEGANGSBEHEER

Welke entiteitsidentiteiten zijn aanwezig in onze omgeving?

  • Uitgebreide inventarisatie van menselijke en niet-menselijke identiteiten in alle omgevingen.

Welke rollen en rechten hebben deze identiteiten?

  • Details over rollen, groepen en specifieke machtigingen die elke identiteit heeft in verschillende cloud- en on-premises omgevingen.

Welke rol/groep heeft een bepaalde gebruiker toegang gegeven tot een resource? Wat is de permissie scope voor die toegang?

  • Specifieke informatie over rollen/groepen en machtigingen die toegang verlenen tot bronnen.

2. RISICOBEOORDELING EN DETECTIE VAN ANOMALEN

Wat zijn de top 10 meest risicovolle identiteiten in mijn cloud services-laag? Wat zou de explosieradius zijn als een van die identiteiten in gevaar zou komen?

  • Identificatie van de identiteiten die het grootste risico lopen en beoordeling van de mogelijke impact van hun inbreuk.

Zijn er afwijkingen in identiteitsgedrag?

  • Detectie van afwijkingen van normale gedragspatronen voor elke identiteit, waardoor potentiële kwaadaardige activiteiten worden gemarkeerd.

Zijn er inloggegevens gecompromitteerd?

  • Waarschuwingen over het gebruik van gestolen of gecompromitteerde inloggegevens binnen de omgeving.

3. AUTHENTICATIE- EN TOEGANGSPATRONEN

Hoe worden identiteiten geverifieerd en verkregen?

  • Het bijhouden van authenticatiemethoden en toegangspaden voor alle identiteiten, inclusief gefedereerde en niet-gefedereerde toegangspunten.

Wat zijn de bronnen en locaties van inlogpogingen?

  • Gedetailleerde logboeken van inlogpogingen, inclusief IP-adressen, geografische locaties en apparaatgegevens.

Hoe hebben verschillende soorten entiteiten (menselijk en niet-menselijk) toegang tot mijn huidige omgeving?

  • Toegangspatronen voor verschillende typen entiteiten in de omgeving bewaken.

Hoe breed wordt MFA afgedwongen in de applicatie- en cloudservicelagen in mijn omgeving?

  • Beoordeling van de implementatie en handhaving van Multi-Factor Authentication (MFA) in de gehele omgeving.

4. ACTIVITEITENMONITORING EN VERANDERINGENTRACKING

Welke wijzigingen zijn er zojuist in mijn omgeving doorgevoerd, wie is verantwoordelijk voor die wijzigingen en zijn er vergelijkbare wijzigingen doorgevoerd in andere lagen van cloudservices?

  • Bijhouden en rapporteren van recente wijzigingen, verantwoordelijke gebruikers en consistentie tussen lagen.

Welke identiteiten hebben toegang gekregen tot gevoelige gegevens of kritieke systemen?

  • Monitoring en rapportage over identiteitstoegang tot gevoelige gegevensopslagplaatsen, kritieke systemen en risicovolle applicaties.

5. INCIDENTCORRELATIE EN REACTIE

Hoe verhouden identiteitsgerelateerde incidenten zich tot verschillende omgevingen?

  • Correlatie van identiteitsactiviteiten en incidenten in IdP-, IaaS-, PaaS-, SaaS-, CI/CD- en on-prem-omgevingen voor een uniform beeld.

Welke maatregelen moeten worden genomen om de geïdentificeerde bedreigingen te beperken?

  • Bruikbare aanbevelingen en geautomatiseerde responsopties om gedetecteerde identiteitsbedreigingen te beperken en toekomstige incidenten te voorkomen.

Voor een volledige lijst met vragen en zakelijke use cases kunt u de volledige Identity Threat Detection and Response Solution Guide raadplegen.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Rick Osterloh van Google legt uit hoe moeilijk het is om een ​​smartphone te bouwen

Pixel Weather-app komt binnenkort naar Pixel Tablet

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]