Gartner zařadil detekci hrozeb a reakci na identitu (ITDR) mezi své hlavní trendy v oblasti zabezpečení a řízení rizik pro rok 2022 a dále – a studie za studií neustále ověřují důležitost efektivní strategie ITDR. Například organizace Identity Defined Security Alliance (IDSA) odhalila, že více než 90 % organizací, které zkoumala, utrpělo v roce 2023 útok související s identitou, a zpráva IBM z roku 2024 zjistila, že počet útoků pomocí odcizených přihlašovacích údajů meziročně vzrostl o 71 %.
Abychom vaší organizaci pomohli bránit se hrozbám identity, tento článek poskytuje podrobného průvodce ITDR, včetně klíčových funkcí, které je třeba hledat při hodnocení kandidátských nástrojů.
Pochopení ITDR
ITDR není jeden proces nebo část softwaru. Jde spíše o rámec zaměřený na detekci a reakci na podezřelou aktivitu související s identitami, jako jsou pokusy o eskalaci privilegií a opakovaná neúspěšná přihlášení. V souladu s tím účinná strategie ITDR zahrnuje použití kombinace procesů, nástrojů a politik k ochraně identit a systémů, které je obsahují.
ITDR nenahrazuje jiné základní bezpečnostní disciplíny, jako je správa privilegovaného přístupu (PAM), skenování zranitelností a prevence ztráty dat (DLP). Spíše se jedná o další vrstvu zabezpečení, která doplňuje vaše stávající nástroje a procesy.
Klíčové komponenty ITDR
Komplexní bezpečnostní systém ITDR zahrnuje tři základní funkce: monitorování identity, detekci hrozeb a reakci na incidenty.
Sledování identity
Nepřetržité sledování identit a jejich aktivity je nezbytné pro rozpoznání a zmaření hrozeb. Solidní systém ITDR vytvoří základní linii normálního chování každé identity, obvykle pomocí technologií, jako je strojové učení (ML) a umělá inteligence (AI), k analýze minulé aktivity a odhalování vzorců. Poté bude sledovat aktivitu uživatele a hledat jakékoli neobvyklé akce, které by mohly naznačovat, že účet je zneužit jeho vlastníkem nebo byl převzat protivníkem.
Kromě monitorování aktivity uživatelů musí ITDR systém pečlivě sledovat veškerou aktivitu kolem samotných identit, jako je očekávané vytváření účtů nebo udělování nových oprávnění stávajícím účtům.
Celé toto monitorování musí probíhat v reálném čase, aby organizace mohla být včas upozorněna na hrozby, aby mohla účinně reagovat a předcházet vážným škodám.
Detekce hrozeb
Moderní IT ekosystém překypuje aktivitou a ne každá anomální událost je hrozbou. Například několik neúspěšných pokusů o přihlášení může být způsobeno tím, že se protivník pokouší prolomit síť – nebo jednoduše legitimní vlastník účtu, který se snaží zapamatovat nebo správně zadat své heslo.
Aby nedošlo k přetížení bezpečnostních týmů výstrahami, musí řešení ITDR přesně identifikovat skutečné hrozby a odstranit falešné poplachy. K tomu se obvykle spoléhají na analýzu chování uživatelů (UBA), která porovnává aktuální aktivitu se zavedenou základní linií normálního chování identity. UBA může například určit, že uživatel nejen přistupuje k citlivým datům, ale že tak činí v nezvyklou dobu nebo z neočekávaného místa, což znamená, že aktivita je pravděpodobnější jako skutečná hrozba. Tato analýza podporuje hodnocení rizik, kdy nástroj přiřadí každé anomálii číslo, které představuje její potenciál stát se bezpečnostní hrozbou.
Odezva na incident
Řešení ITDR usnadňují reakci na hrozby mnoha způsoby. Často poskytují řídicí panely a zprávy, které zobrazují potenciální hrozby a jejich hodnocení, a nabízejí výstrahy v reálném čase, které bezpečnostní týmy upozorňují na vysoce rizikové aktivity e-mailem, textem nebo jinými kanály.
Kromě toho mohou nejpokročilejší systémy ITDR reagovat na některé hrozby automaticky: Bezpečnostní týmy vytvářejí příručky odezvy, které definují indikátory hrozeb a akce, které mají být v reakci spuštěny.
Příklady těchto akcí:
- Odpojení kompromitovaných systémů a aplikací od sítě.
- Zakázání problematického uživatelského účtu a resetování jeho hesla.
- Spuštění zadaného skriptu PowerShell.
- Vrácení nechtěné změny, jako je úprava oprávnění složky.
Proč je dnes ITDR zásadní
Zatímco ITDR bylo vždy důležité, několik moderních skutečností jej dnes činí naprosto nezbytným. Zahrnují explozi práce na dálku, stále přísnější požadavky na dodržování předpisů a rychle se vyvíjející prostředí hrozeb.
Moderní pracovní prostředí
Vzdálená a hybridní práce se v posledních letech stala běžnou záležitostí. I když tento posun nabízí řadu výhod, jako je zvýšení produktivity a úspory nákladů, přinesl také nové riziko kybernetické bezpečnosti: Tradiční řízení přístupu a bezpečnostní kontroly, jako jsou síťové firewally, už prostě nestačí pro silnou pozici v oblasti kybernetické bezpečnosti. Namísto toho musí organizace navrstvit na robustní strategie detekce hrozeb identity a odezvy, aby mohly předcházet hrozbám založeným na identitě, detekovat je a reagovat na ně.
Přísné požadavky na shodu
Mnoho organizací dnes musí dodržovat přísná nařízení pro kontrolu přístupu k citlivým datům. Zatímco mandáty, jako je standard pro zabezpečení dat v odvětví platebních karet (PCI DSS) a zákon o přenositelnosti a odpovědnosti zdravotního pojištění (HIPAA), existují již léta, neustále přibývají nové zákony. Například obecné nařízení o ochraně osobních údajů (GDPR) má široký dosah a jeho porušení může vést k extrémně vysokým pokutám a podobné zákony na ochranu osobních údajů zavádějí i další národní a státní vlády.
Efektivní strategie ITDR je nezbytná pro dosažení, udržování a prokazování souladu s mnoha předpisy, protože ITDR pomáhá organizacím efektivně řídit přístup k regulovaným datům, včetně finančních transakcí, lékařských záznamů a informací o zákaznících.
Sofistikované a neúnavné kybernetické útoky
Kybernetické útoky související s identitou v posledních letech přibývají a protivníci používají sofistikovanější taktiky a techniky. Navíc jsou nyní k dispozici open-source nástroje a dokonce i služby, které umožňují méně technickým hrozbám objevit slabá místa v obraně organizace a zahájit cílené útoky.
ITDR může organizacím pomoci zmírnit jejich rizika vyplývající z těchto rychle se vyvíjejících hrozeb. Může jim například pomoci blokovat, odhalovat a reagovat na útoky sociálního inženýrství, jako jsou phishingové podvody, při kterých hackeři manipulují nebo klamou uživatele, aby jim poskytli důvěrné informace, jako jsou jejich přihlašovací údaje. ITDR může také pomoci organizacím odhalit a ukončit útoky na vycpávání přihlašovacích údajů, které využívají automatizované nástroje k pokusu o přihlášení pomocí odcizených přihlašovacích údajů.
Co hledat v řešení ITDR
Při posuzování nástrojů pro detekci hrozeb identity a odezvu nezapomeňte zkontrolovat následující funkce:
- Komplexní preventivní kontroly — Aby se zabránilo aktérům ohroženým identitou ohrozit vaše systémy, řešení ITDR by mělo poskytovat nebo hladce integrovat funkce správy identit a přístupu (IAM), jako je vícefaktorová autentizace (MFA), řízení přístupu na základě rolí (RBAC) a přísné zásady přístupu. .
- Nepřetržité zjišťování identity — V každém moderním IT prostředí se identity často vytvářejí, odstraňují a upravují. Hledejte řešení ITDR, které bude držet krok tím, že bude udržovat aktuální inventář všech identit a jejich přístupových oprávnění a upozorní vás na jakékoli podezřelé změny.
- Detekce hrozeb v reálném čase — Chcete-li včas detekovat hrozby identity a zabránit tak významným škodám, potřebujete řešení ITDR, které poskytuje detekci hrozeb v reálném čase. Chcete-li svým bezpečnostním týmům umožnit soustředit se na skutečné hrozby, hledejte pokročilé analýzy a UBA využívající technologie jako ML a AI.
- Automatizovaná náprava — Automatizace je nezbytná pro co nejrychlejší neutralizaci hrozeb souvisejících s identitou. Zkontrolujte kandidátské řešení pro robustní sadu akcí automatické reakce a snadno použitelné rozhraní pro definování kritérií, která je spustí.
- Detekce eskalace privilegií založená na podvodu – I když aktéři hrozeb často získávají oporu v síti kompromitováním přihlašovacích údajů běžných uživatelů, obvykle potřebují zvýšená oprávnění pro přístup k citlivým systémům a datům. Proto se ujistěte, že zvolené řešení ITDR dokáže rozpoznat běžné taktiky eskalace oprávnění. Pro ještě účinnější ochranu hledejte nástroj, který nabízí funkce založené na klamání, jako jsou honeypoty a návnady, které nalákají zlomyslné aktéry a proaktivně maří jejich činnost.
Výzvy a trendy ITDR
Organizace na celém světě si uvědomují důležitost ITDR. Podle zprávy Anomali z roku 2024 nyní 75 % bezpečnostních pracovníků využívá bezpečnostní nástroje založené na ITDR . Integrace ITDR s jinými bezpečnostními systémy však zůstává výzvou. Mezery často pramení z odlišných zdrojů dat, nekonzistence mezi vrstvami zabezpečení a různé úrovně vyspělosti správy identit. Zlomyslní aktéři mohou využít těchto mezer k získání neoprávněného přístupu, vyhnout se detekci a kompromitovat kritické systémy.
Trh reaguje.
Mezi vznikající trendy, které mohou zvýšit efektivitu ITDR, patří:
- Pokroky v ML a AI — Sotva jsme poškrábali povrch možností AI a ML pro posílení zabezpečení. Jak jsou tyto technologie stále lepší a lepší, můžeme očekávat, že řešení pro detekci hrozeb identity budou přesnější a efektivnější.
- Lepší integrace – Prodejci se snaží umožnit bezproblémovou integraci řešení ITDR se stávajícími bezpečnostními nástroji i novými technologiemi.
- Vyvíjející se regulační prostředí — Vládní orgány na všech úrovních stále častěji přijímají zákony na ochranu soukromí obyvatel a spotřebitelů. V souladu s tím budou muset poskytovatelé řešení ITDR pokračovat v práci na vyvážení bezpečnosti a ochrany soukromí, například zajištěním toho, aby postupy monitorování identity byly transparentní a respektovaly souhlas uživatele.
Jak může Netwrix pomoci
ITDR je nezbytnou součástí jakékoli bezpečnostní strategie a stejně jako ostatní součásti nejde o jednorázový úkol. Jak se vaše IT prostředí a prostředí hrozeb vyvíjejí, musíte neustále vyhodnocovat efektivitu svých nástrojů a procesů a držet krok s nejlepšími postupy ITDR.
Partnerství se zkušeným poskytovatelem, jako je Netwrix, je pro úspěch zásadní. Netwrix nabízí sadu produktů ITDR, které vám pomohou zabezpečit váš základní systém identity, Active Directory. Netwrix Auditor bude zejména nepřetržitě monitorovat aktivitu ve vašem IT prostředí, odhalovat hrozby a usnadňovat rychlou reakci. Pomůže vám také připravit se na audity shody a během několika minut zodpovědět ad-hoc dotazy auditorů.
Jste připraveni posunout detekci hrozeb identity a reakci na další úroveň? Požádejte o bezplatnou zkušební verzi ještě dnes.
Časté otázky
Co je ITDR?
Detekce hrozeb identity a reakce na ně (ITDR) je rámec, který se zaměřuje na detekci, identifikaci a reakci na hrozby pro bezpečnost systémů správy identit a infrastruktury.
Jak se ITDR liší od EDR?
ITDR je někdy zaměňována s detekcí a odezvou koncových bodů (EDR), protože obě disciplíny se zaměřují na detekci a reakci na hrozby. ITDR a EDR však hrají různé role v širší strategii kybernetické bezpečnosti, jak je uvedeno v tabulce níže:
| ITDR | EDR | |
| Soustředit se | Chrání identity uživatelů a systémy správy přístupu | Chrání koncová zařízení, jako jsou stolní počítače, notebooky a servery |
| Shromážděná data | Data související s identitami uživatelů, včetně vytvoření identity, změn uživatelských oprávnění, vzorců přístupu uživatelů a aktivity uživatelů v reálném čase, jako jsou pokusy o přihlášení | Data z koncových bodů, včetně systémových protokolů, úprav souborů, činností procesů, síťových připojení a chování aplikací |
| Hlavní hrozby vyřešeny | Krádež pověření, phishing a další útoky sociálního inženýrství, podezřelý přístup, eskalace privilegií | Malware, ransomware, zero-day exploity, útoky bez souborů, zranitelnosti systému |
| Akce reakce na incidenty | Zrušení přístupu, upozornění správců, zahájení forenzního vyšetřování a prosazování bezpečnostních zásad | Izolace koncových bodů, odstranění malwaru, blokování škodlivé aktivity a obnova systémů |
Jaký je rozdíl mezi ITDR a XDR?
ITDR se zaměřuje na detekci a reakci na hrozby související s identitou. Rozšířená detekce a odezva (XDR) je komplexnější a nabízí detekci hrozeb a reakci na více vrstvách zabezpečení.
Jaký je rozdíl mezi MDR a ITDR?
Řízená detekce a odezva (MDR) je služba spíše než bezpečnostní rámec, jako je ITDR. Spojuje lidi, nástroje a procesy k poskytování detekce hrozeb a reakce jako řízená služba.
Zdroj: Netwrix
