Was ist Identity Threat Detection Response (ITDR)?

ITDR steht für Identity Threat Detection Response, eine neue Klasse von Cybersicherheitslösungen, die Nutzeridentitäten und identitätsbasierte Systemen vor Cyberbedrohungen schützen sollen. ITDR umfasst eine Kombination aus Sicherheitstools, -prozessen und Best Practices, die das Ziel haben, sich auf identitätsbezogene Bedrohungen vorzubereiten, sie zu erkennen und effektiv darauf zu reagieren.

Identität gilt mittlerweile als der neue Sicherheitsperimeter, denn selbst wenn ein Netzwerk, Endpunkte und alle anderen Geräte gut gesichert sind, benötigt ein Cyberangreifer nur Zugriff auf ein einziges privilegiertes Konto, um dennoch Unternehmensressourcen gefährden zu können. Aus diesem Grund benannte Gartner ITDR als einen der Top-Trends für Sicherheit und Risikomanagement des Jahres 2022.

ITDR ist eine Sicherheitskategorie, die an andere Sicherheitslösungen wie Endpoint Detection & Response (EDR), Extended Detection & Response (XDR), Network Detection & Response (NDR) und Privileged Access Management (PAM) angrenzt, sich aber in einigen wichtigen Punkten davon abhebt.

Um zu verstehen, warum ITDR-Systeme notwendig sind, braucht es ein differenziertes Verständnis dafür, warum Identität eine eigene Kategorie von Sicherheitslösungen verdient. Zu einem vollständigen ITDR-System gehören umfassende Funktionen zur Erkennung von Schwachstellen und Bedrohungen sowie zur Reaktion darauf, und das alles speziell für den Schutz von Identitäten und Identitätssystemen.

Genauer gesagt sollte ein ITDR-System die folgenden identitätszentrierten Sicherheitskontrollen unterstützen:

• Konfigurations-, Richtlinien- und Identitätsdatenanalyse, um den Sicherheitsstatus der Active-Directory-Umgebung einer Organisation zu bewerten.
• Angriffspfadmanagement und Auswirkungsanalyse.
• Risikobewertung und Priorisierung von Maßnahmen zur Risikominimierung.
• Echtzeitüberwachung des Laufzeitverhaltens für identitätszentrierte Kompromittierungsindikatoren.
• Maschinelles Lernen oder andere Analysesysteme zur Erkennung auffälliger Verhaltensweisen oder Ereignisse.
• Automatisierte Behebung und Reaktion auf Vorfälle.
• Dashboards, Warnungen, Berichte, Suchmöglichkeiten und Vorfallmanagement.
• Integration mit Security Information & Event Management (SIEM), Extended Detection & Response (XDR) und Tools für Security Orchestration Automation & Response (SOAR).
• Integration mit Multifaktor-Authentifizierungslösungen (MFA), um nach Risikoereignissen die vorhandenen Authentifizierungsmethoden zu verstärken.
• Integration mit Privileged Access Management (PAM), um Abdeckungslücken bei hochprivilegierten Konten zu finden.
• Weitergabe von Risikosignalen an zusätzliche Produkte (für Suite-Anbieter) und Tools von Drittanbietern, um Sicherheitsexperten dabei zu helfen, risikobewusstere Entscheidungen zu treffen.

Das Aufkommen von ITDR als Sicherheitslösung macht deutlich, dass Identitäten das gleiche Maß an Verwaltung und Kontrolle verdienen, das Unternehmen traditionell auf ihre Endpunkte, Netzwerke, Systeme und Anwendungen aufgewendet haben – wenn nicht sogar noch mehr. Dies ist heute wichtiger denn je, da Identitäten zum vorherrschenden Angriffsvektor für Cyberangriffe geworden sind.

Identity & Access Management (IAM) ist ein bekannterer Vorläufer von IDTR in der Cybersicherheitslandschaft. IAM bezieht sich dabei auf die Prozesse und Technologien, die den Nutzerzugriffs auf Informationssysteme und Anwendungen kontrollieren und verwalten. IAM-Lösungen stellen sicher, dass Nutzer die richtigen Berechtigungen und Zugriffsebenen für ihre Rollen und Verantwortlichkeiten besitzen. IAM minimiert das Risiko eines unbefugten Zugriffs auf sensible Daten und Systeme und verringert so das Risiko von Datenverletzungen und anderen Cyberangriffen.

ITDR verfolgt demgegenüber einen tiefergehenden Ansatz, um Sicherheitsbedrohungen und Schwachstellen im Zusammenhang mit Nutzeridentitäten und -zugriffen zu erkennen, darauf zu reagieren und im Vorfeld die richtigen Vorbereitungen zu treffen. ITDR ist eine wichtige Ergänzung zu IAM-Systemen, da es das IAM-Framework zur Steuerung und Überwachung des Zugriffs auf vertrauliche Informationen und Systeme erweitert.

Zu den effektivsten Cybersicherheitsstrategien gehört eine Kombination der folgenden identitätsorientierten Sicherheitskontrollen:

• Multifaktor-Authentifizierung: MFA erfordert, dass Nutzer mehr als nur eine Form der Identitätsüberprüfung bereitstellen, um auf ein System oder eine Anwendung zuzugreifen. Beispielsweise muss ein Nutzer möglicherweise zusätzlich zu einem Passwort auch noch eine sechsstellige PIN angeben, die an sein persönliches Mobilgerät gesendet wird, und kann dann erst auf vertrauliche Informationen zugreifen.
• Rollenbasierte Zugriffskontrolle: Als grundlegende Komponente von IAM umfasst die rollenbasierte Zugriffskontrolle die Zuweisung von Zugriffsebenen basierend auf den Rollen und Verantwortlichkeiten eines Nutzers in der jeweiligen Organisation. Demnach hat ein untergeordneter Mitarbeiter beispielsweise nur eingeschränkten Zugriff auf sensible Daten, während einem leitenden Angestellten umfassendere Berechtigungen für den Zugriff auf eine größere Anzahl an Daten und zugehörige Systeme gewährt werden.
• Privileged Access Management (PAM): Ähnlich wie bei der rollenbasierten Zugriffskontrolle werden Nutzern bei PAM basierend auf ihren organisatorischen Rollen und Pflichten bestimmte Privilegien zugewiesen. Obwohl es sich um eine besondere Untergruppe von IAM handelt, weist PAM Mängel bei der Abwehr laufender Insider-Bedrohungen auf.
• Kontinuierliches Monitoring: Diese Sicherheitsdisziplin konzentriert sich auf die Überwachung der Nutzeraktivität in Echtzeit, um anomales Verhalten zu erkennen. Wenn ein Nutzer beispielsweise versucht, zu einem ungewöhnlichen Zeitpunkt oder an einem ungewöhnlichen Ort auf ein System zuzugreifen, kann dies auf eine Sicherheitsbedrohung hinweisen.
• Incident-Response-Planung: Diese proaktive Maßnahme umfasst die Erstellung eines Aktionsplans, um schnell und effektiv auf Sicherheitsbedrohungen zu reagieren. Dies kann dazu beitragen, die Auswirkungen einer Sicherheitsverletzung zu minimieren und das Risiko weiterer Schäden zu verringern.

Zusätzlich zu den oben genannten Maßnahmen können IAM-Prinzipien auch genutzt werden, um ITDR durch die Bereitstellung von Audit-Trails und Nutzeraktivitätsprotokollen zu verbessern. Nutzeraktivitätsprotokolle können anomales Verhalten, das auf eine Sicherheitsbedrohung hinweisen könnte, erkennen. Wenn ein Nutzer beispielsweise versucht, auf eine Ressource zuzugreifen, für die er keine Zugriffsberechtigung hat, kann IAM diese Aktivität protokollieren und das Team, das für die Untersuchung von Vorfällen zuständig ist, benachrichtigen.

Angesichts der zunehmenden Häufigkeit und Komplexität von Cyberangriffen ist ITDR wichtiger denn je. Heutige Cyberkriminelle nutzen zunehmend identitätsbasierte Taktiken, um Accounts zu kompromittieren und sich unbefugten Zugriff auf sensible Informationen zu verschaffen. Unternehmen sehen sich deshalb mit einer Vielzahl von Bedrohungstechniken und zusätzlichen externen Faktoren in der digitalen Landschaft konfrontiert.

• Open-Source-Angriffstools. Cyberangreifer kompromittieren Identitäten häufig mithilfe von Open-Source-Angriffstools (für Pentests), weil diese es ihnen erlauben, ihre Aktivitäten zu verbergen und die Vorbereitungsphasen ihres Angriffs schneller zu durchlaufen, sodass sie schneller an ihr eigentliches Ziel kommen.
• Phishing-Betrug. Cyberangreifer nutzen häufig Phishing-E-Mails, um Nutzer dazu zu verleiten, ihre Anmeldedaten oder andere sensible Daten preiszugeben.
• Credential-Stuffing. Dabei handelt es sich um eine Art von Cyberangriff, bei dem Angreifer versuchen, sich mit gestohlenen oder anderweitig öffentlich gewordenen Nutzernamen und Passwörtern, die in der Regel aus einer früheren Datenverletzung stammen, unbefugten Zugriff auf geschützte Konten zu verschaffen.
• Social-Engineering-Taktiken. Cyberkriminelle können auch Social-Engineering-Taktiken nutzen, um sich als autorisierte Nutzer auszugeben und Opfer dazu zu bringen, Informationen und Zugriffsrechte weiterzugeben.
• Homeoffice. Die Zunahme der Fernarbeit hat das Risiko identitätsbasierter Angriffe weiter erhöht. Da immer mehr Mitarbeiter von zu Hause arbeiten und persönliche Geräte für den Zugriff auf Unternehmenssysteme verwenden, kann es für Unternehmen schwierig werden, die vollständige Übersicht und Kontrolle über den Nutzerzugriff zu behalten.
• Einhaltung gesetzlicher Vorschriften. ITDR gewinnt auch aufgrund der steigenden regulatorischen Anforderungen rund um Datenschutz und Sicherheit immer mehr an Bedeutung. Viele Branchen, wie beispielsweise das Gesundheitswesen und das Finanzwesen, unterliegen strengen Vorschriften zum Datenschutz. Unternehmen, die sich nicht daran halten, müssen mit erheblichen Geldstrafen und Image-Schäden rechnen.

Um diese Herausforderungen zu bewältigen, greifen Unternehmen auf ITDR-Lösungen zurück, um ihre Systeme zu schützen und bestimmte Schwachstellen zu beheben.

Mit der Veröffentlichung des Gartner-Berichts „Enhance your Cyberattack Preparedness with Identity Threat Detection and Response“ aus dem Jahr 2022 haben Sicherheits- und Risikomanagementexperten nun Zugang zu Forschungsergebnissen, Erkenntnissen und Empfehlungen zur Bewältigung von Identitätssicherheitsproblemen. Diese Fakten und Trends verdeutlichen das wachsende Interesse und die Nachfrage nach ITDR.

Identität ist der Top-Vektor für Cyberangriffe

Die COVID-19-Pandemie war der Katalysator, durch den Angreifer nun verstärkt auf Identitäten abzielen, da die Umstellung auf Remote-Arbeit die Art und Weise, wie Identitäten genutzt werden, geändert hat. Laut Gartner „hat die Abhängigkeit von Organisationen von ihrer Identitätsinfrastruktur, um Zusammenarbeit, Fernarbeit und Kundenzugang zu Diensten zu ermöglichen, Identitätssysteme zu erstklassigen Angriffszielen gemacht.“ Diese Abhängigkeit entstand, als Sicherheitsteams mit den betrieblichen Realitäten einer Belegschaft zu kämpfen hatten, die nicht zur Arbeit ins Büro kommen konnte.

Identitäten sind die neuen Schwachstellen

Mit der Einführung von Cloud Computing und der Notwendigkeit, Homeoffice zu ermöglichen, sind identitätsorientierte Lösungen zu einer noch zentraleren Grundlage von Cybersicherheitsprogrammen geworden. Gartner stellt fest: „Identitätskontrollen sind vielfältig. Fehlkonfigurationen und Schwachstellen in der Identitätsinfrastruktur können ausgenutzt werden.“ Darüber hinaus zeigen Daten des Identity-Theft-Resource-Center, dass sich Angriffe im Zusammenhang mit Ransomware, die typischerweise stark auf gehackten Identitäten beruhen, im Jahr 2020 und dann noch einmal im Jahr 2021 verdoppelt haben.

Angreifer nutzen Lücken zwischen Identität und Sicherheitssystemen aus

Bei der Bereitstellung von Identitätssystemen wie IAM, PAM und MFA handelt es sich häufig um mehrstufige Projekte, bei denen Identitäten so lange ungeschützt bleiben, bis die Umsetzung, wenn überhaupt, vollständig abgeschlossen ist. Eine weitere Herausforderung für diese Bereitstellungen ist, dass sich Identitäten im Laufe der Zeit ändern und sich das System anpassen muss. Darüber hinaus sind das Auffinden und Prüfen von Konten oft ein zeitaufwändiger, manueller und fehleranfälliger Prozess. Und sobald die Prüfung abgeschlossen ist, haben sich die Identitäten oft bereits erheblich verändert.

ITDR ist eine Top-Priorität in der Cybersicherheit

Laut Gartner „können moderne Identitätsbedrohungen traditionelle präventive Kontrollen des Identitäts- und Zugriffsmanagements (IAM) wie z. B. Multifaktor-Authentifizierung (MFA) untergraben.“ Dies macht Identity Threat Detection & Response (ITDR) zu einer höchsten Priorität der Cybersicherheit für 2022 und darüber hinaus.“ Da sich Angreifer nun darauf konzentrieren, anfällige Identitäten auszunutzen, müssen Unternehmen daran arbeiten, der Sicherung von Identitäten höchste Priorität einzuräumen.

Trotz der Verwendung von Systemen wie PAM, MFA und anderen IAM-Lösungen zum Schutz von Identitäten bleiben häufig Schwachstellen bestehen. Die Ursachen für Identitätsrisiken lassen sich in drei Kategorien einteilen: nicht verwaltete, falsch konfigurierte und offengelegte Identitäten.

Nicht verwaltete Identitäten

• Konten von Diensten. Maschinelle Identitäten werden von PAM-Systemen oft nicht verwaltet, weil sie während der Implementierung nicht entdeckt wurden, und außerdem sind nicht alle Anwendungen mit PAM kompatibel, wie zum Beispiel Legacy-Anwendungen, deren Modernisierung zu teuer ist.
• Lokale Administratoren. Lokale Administratorrechte werden erstellt, um vielfältige IT-Support-Probleme zu lösen, bleiben aber nach ihrer Erstellung oft unentdeckt und vergessen, sodass sie nicht verwaltet werden.
• Privilegierte Konten. Viele privilegierte Konten werden von PAM- oder MFA-Lösungen nicht verwaltet, da sie während der Bereitstellung nicht entdeckt werden (und damit unbekannt bleiben).

Falsch konfigurierte Identitäten

• Schattenadministratoren. Die Komplexität ineinander verschachtelter Identitätsgruppen macht es äußerst schwierig, die vollständigen Rechte und Berechtigungen aller Identitäten zu erfassen und zu verstehen, was dazu führt, dass Nutzern unbeabsichtigt übermäßige Privilegien gewährt werden.
• Schwache Verschlüsselung und Passwörter. Dazu gehören Identitäten, die nur eine schwache oder gar keine Verschlüsselung nutzen oder keine starken Passwortrichtlinien durchsetzen.
• Konten von Diensten. Maschinelle Identitäten mit privilegierten Zugriffsrechten können falsch konfiguriert sein, sodass sie von Menschen zur Anmeldung genutzt werden können.

Offengelegte Identitäten

• Zwischengespeicherte Anmeldeinformationen. Konto- und Anmeldeinformationen werden üblicherweise im Cache, in der Registry und auf der Festplatte des Endpunkts gespeichert, wo sie von geläufigen Angriffstools leicht ausgenutzt werden können.
• Cloud-Zugriffstoken. Auf Endpunkten gespeicherte Cloud-Zugriffstoken werden von Angreifern häufig genutzt, um auf cloudbasierte Systeme zuzugreifen.
• Offene RDP-Sitzungen. Remote-Sitzungen können unsachgemäß geschlossen werden, sodass Angreifer eine offene Sitzung und ihre Berechtigungen ausnutzen können, ohne erkannt zu werden.

Es ist wichtig zu beachten, dass jede Identität in jeder dieser drei Kategorien und auf vielfältige Art und Weise angreifbar sein kann. Spezifische Identitäten setzen Unternehmen häufig dem größten Identitätsrisiko aus.

Beispielsweise kann eine einzelne Identität fälschlicherweise so konfiguriert sein, dass sie unbeabsichtigte Schattenadministratorrechte besitzt. Dies führt naturgemäß dazu, dass diese Identität nicht verwaltet wird, weil die Person, der die Identität gehört, nicht über die notwendigen IT-Kenntnisse verfügt, um einen zusätzlichen Zugriffsverwaltungsschutz für das Konto zu aktivieren, wie das normalerweise bei Accounts, die die gleichen Rechte besitzt, passiert (PAM, MFA usw.).

Umfassende ITDR-Lösungen sollten präventative Funktionen enthalten, die Lücken im Identitätsstatus einer Organisation erkennen und beheben, sowie auf Erkennung laufender Angriffe gerichtete Funktionen, die auf Anzeichen einer Kompromittierung aufmerksam machen, sobald diese auftreten. Nur mit Kontrollen, die vor und nach einem Verstoß greifen, können Identitäten als zuverlässig sicher gelten.

Präventive ITDR-Kontrollen

Präventive ITDR-Kontrollen erkennen, priorisieren und beheben Identitätsschwachstellen, bevor Bedrohungsakteure versuchen, sie auszunutzen, und das häufig automatisch.

Ähnlich wie herkömmliche Schwachstellen- und Risikomanagementprogramme ermöglichen die ITDR-Erkennungsfunktionen Unternehmen, die Risiken ihrer Identitäts-Assets zu erkennen und zu inventarisieren. Die effektivsten ITDR-Lösungen bieten eine automatisierte, kontinuierliche und umfassende Identitätserkennung, einschließlich Einblick in nicht verwaltete, falsch konfigurierte und offengelegte privilegierte Konten.

Diese Transparenz ermöglicht eine effektive IT- und Infosec-Entscheidungsfindung, um diese Risiken durch die zusätzliche Nutzung von Systemen wie IGA, PAM, MFA, SSO und anderen zu mindern. Tatsächlich wissen wir, dass es eine kontinuierliche Suche nach Problemen braucht, um ein komplexes System effektiv zu verwalten, und das Identitätsmanagement bildet da keine Ausnahme.

ITDR-Kontrollen zur Erkennung von Kompromittierungen

Diese ITDR-Kontrollen schlagen Alarm, sobald Anzeichen dafür vorliegen, dass ein Bedrohungsakteur oder Insider versucht, eine Identität auf eine Art und Weise zu kompromittieren oder auszunutzen, dass ein Risiko für das Unternehmen entsteht. Diese auf Erkennung ausgelegten Kontrollen sind notwendig, um nicht vermeidbare Risiken zu identifizieren und zu mindern. Im Fall der Fälle wird das zuständige Team informiert und kann eingreifen.

Die Erkennung von Identitätsbedrohungen, bevor der laufende Angriff abgeschlossen ist, steht vor folgenden Schwierigkeiten:

• Weniger Zeit zum Erkennen von Angriffen: Die Verweildauer der Angreifer ist bei vielen Angriffsarten, wie z. B. Ransomware, in vielen Fällen von Monaten auf Tage gesunken. Durch die Konzentration auf die Kompromittierung von Identitäten können Angreifer ihren Angriff viel schneller durchführen.
• Reduzierte Wirksamkeit bestehender Sicherheitskontrollen: Da Angreifer nun Identitäten als Schlüssel für das Erreichen ihres eigentlichen Ziels nutzen, haben sie viele frühere Techniken so gut wie aufgegeben, wodurch Sicherheitstools weniger effektiv sind. Angreifer haben außerdem regelmäßig bewiesen, dass sie, sobald sie ihre Rechte erweitert haben, Sicherheitskontrollen deaktivieren können. Dazu gehören auch Endpunkt-Agenten (EDR), die für die Erkennung verantwortlich sind.
• Unfähigkeit, schädliche Aktivitäten legitimer privilegierter Konten zu erkennen: Analysen von Signaturen und Verhaltensmustern privilegierter Nutzer haben sich bei der genauen Erkennung schädlicher Rechteerweiterungen und lateraler Bewegungen als unwirksam erwiesen. Dadurch, dass ein Verständnis darüber fehlt, was akzeptable Verhaltensweisen privilegierter Administratorkonten sind (was Datenwissenschaftler als hohe Datenentropie bezeichnen), ist es schwierig, einen Maßstab festzulegen, der jedoch für die Vermeidung falsch-positiver Ergebnisse notwendig ist. Und natürlich sind Fehlalarme deshalb ein großes Problem, weil sie die Zeit und Konzentration des Sicherheitsteams in Anspruch nehmen.

Daher ist eine genauere Erkennung kompromittierter privilegierter Konten erforderlich. Täuschungstechniken und der dahinter liegende deterministische Ansatz, bestimmte Inhalte einzuschleusen, um Angreifer anzulocken, bieten eine praktikable und bewährte Alternative zur Verhaltensanalyse, um Rechteausweitung und laterale Bewegung zu erkennen.

Bei richtiger Umsetzung platziert ein auf Täuschung basierender Ansatz Köder, mit denen nur ein Angreifer interagieren würde, und das auf Grundlage der bekannten Techniken und Werkzeuge des Angreifers. Gleichzeitig hat der Angreifer selbst keine Anhaltspunkte dafür, dass er in der Falle sitzt.

Um den wachsenden Anforderungen an eine effektive Erkennung und Reaktion auf Identitätsbedrohungen gerecht zu werden, bietet Proofpoint umfassende ITDR-Lösungen. Diese Lösungen bieten sowohl präventive Kontrollen als auch Kontrollen zur Erkennung eines laufenden Angriffs. Dadurch können Sie Identitätsschwachstellen kontinuierlich aufdecken und beheben, bevor sie ausgenutzt werden, und gleichzeitig mithilfe von Täuschungstechniken Anzeichen wie Privilegienausweitungen, Kontoübernahmen und Lateral-Movement-Aktivitäten durch Bedrohungsakteure erkennen, sobald sie auftreten. Erfahren Sie mehr darüber, wie Proofpoint Sie dabei unterstützen kann, Ihre identitätsbezogene Sicherheit zu verbessern.