Vodič za rješenje otkrivanja prijetnje identiteta i odgovora

Pojava otkrivanja prijetnje identitetu i odgovora

Otkrivanje prijetnje identitetu i odgovor (ITDR) se pojavio kao kritična komponenta za efikasno otkrivanje i odgovor na napade zasnovane na identitetu. Hakeri su pokazali svoju sposobnost da kompromituju infrastrukturu identiteta i prelaze bočno u IaaS, Saas, PaaS i CI/CD okruženja. Identity Threat Detection and Response rješenja pomažu organizacijama da bolje otkriju sumnjive ili zlonamjerne aktivnosti u svom okruženju. ITDR rješenja daju timovima za sigurnost mogućnost da pomognu timovima da odgovore na pitanje „Šta se trenutno dešava u mom okruženju – šta moji identiteti rade u mom okruženju“.

Ljudski i neljudski identiteti

Kao što je navedeno u Vodiču za ITDR rješenja, sveobuhvatna ITDR rješenja pokrivaju i ljudske i neljudske identitete. Ljudski identiteti uključuju radnu snagu (zaposlenike), goste (izvođače radova) i prodavce. Neljudski identiteti uključuju tokene, ključeve, servisne račune i botove. ITDR rješenja za više okruženja mogu otkriti i odgovoriti na sve rizike entiteta identiteta, na primjer od IdP do IaaS i SaaS slojeva, za razliku od osiguranja identiteta na fragmentiranom nivou specifičnom za sloj.

Osnovne ITDR mogućnosti

Osnovne mogućnosti ITDR rješenja uključuju:

1. Razvijanje univerzalnog profila identiteta za sve entitete, uključujući ljudski i neljudski identitet, aktivnosti na slojevima usluge u cloud-u i on-prem aplikacije i usluge.
2. Uparivanje statičke analize, upravljanja položajem i konfiguracije tih identiteta sa aktivnošću tih identiteta u okruženju.
3. Praćenje i praćenje direktnih i indirektnih pristupnih puteva i praćenje aktivnosti svih identiteta u okruženju.
4. Orkestriranje praćenja identiteta u više okruženja i detekcija koje obuhvataju pružaoce identiteta, IaaS, PaaS, SaaS i CI/CD aplikacije kako bi pratili identitet gdje god se nalaze u okruženju.
5. Otkrivanje i odgovor visoke vjernosti u više okruženja koji omogućavaju organizacijama da preduzmu akciju u vezi s prijetnjama identiteta kako se manifestiraju na cijeloj površini napada, umjesto da reagiraju na atomska upozorenja velikog obima zasnovana na pojedinačnim događajima.

Za potpunu listu mogućnosti ITDR-a, možete pristupiti punom Vodiču za otkrivanje prijetnje identiteta i rješenje za odgovor.

Slučajevi korištenja prijetnji identiteta

Da bi se efikasno zaštitile od napada na identitet, organizacije moraju izabrati ITDR rešenje sa naprednim mogućnostima za otkrivanje i ublažavanje napada. Ove sposobnosti trebale bi se baviti nizom slučajeva upotrebe za ljudske i neljudske identitete, uključujući, ali ne ograničavajući se na:

1. Otkrivanje preuzimanja računa: Otkrijte bilo koju od brojnih varijanti koje ukazuju da je identitet kompromitovan.
2. Otkrivanje kompromitacije vjerodajnica : Identificirajte i upozorite na korištenje ukradenih ili kompromitovanih vjerodajnica u okruženju.
3. Detekcija eskalacije privilegija : Otkrivanje neovlaštenih pokušaja eskalacije privilegija unutar sistema i aplikacija.
4. Detekcija anomalnog ponašanja : Nadgledajte odstupanja od normalnog ponašanja korisnika koja mogu ukazivati ​​na zlonamjernu aktivnost.
5. Otkrivanje insajderskih prijetnji : Identificirajte i odgovorite na zlonamjerne ili nemarne radnje internih korisnika.

Za potpunu listu slučajeva upotrebe prijetnji identitetu, možete pristupiti punom Vodiču za otkrivanje prijetnji identiteta i rješenje za odgovor.

Pitanja na koja efikasno ITDR rešenje treba da odgovori

1. KONTROLA IDENTITETA I UPRAVLJANJE PRISTUPOM

Koji su identiteti entiteta prisutni u našem okruženju?

• Sveobuhvatan popis ljudskih i neljudskih identiteta u svim sredinama.

Koje uloge i dozvole imaju ovi identiteti?

• Detalji o ulogama, grupama i specifičnim dozvolama koje svaki identitet ima u različitim cloud i lokalnim okruženjima.

Koja uloga/grupa je dala određenom korisniku pristup resursu? Koji je opseg dozvole za taj pristup?

• Specifičnosti o ulogama/grupama i dozvolama koje daju pristup resursima.

2. PROCJENA RIZIKA I OTKRIVANJE ANOMALIJA

Koji su top 10 najrizičnijih identiteta na nivou mojih usluga u cloud-u? Koliki bi bio radijus eksplozije ako bi jedan od tih identiteta bio ugrožen?

• Identifikacija najugroženijih identiteta i procjena potencijalnog uticaja njihovog kompromisa.

Ima li anomalija u ponašanju identiteta?

• Otkrivanje odstupanja od uobičajenih obrazaca ponašanja za svaki identitet, naglašavajući potencijalnu zlonamjernu aktivnost.

Da li su neki akreditivi ugroženi?

• Upozorenja o korištenju ukradenih ili kompromitovanih vjerodajnica u okruženju.

3. AUTENTIKACIJA I OBRASCI PRISTUPA

Kako se identiteti provjeravaju i pristupaju?

• Praćenje metoda provjere autentičnosti i pristupnih staza za sve identitete, uključujući federalne i ne-federativne pristupne točke.

Koji su izvori i lokacije pokušaja prijave?

• Detaljne evidencije pokušaja prijave, uključujući IP adrese, geografske lokacije i informacije o uređaju.

Kako različiti tipovi entiteta (ljudi i neljudi) pristupaju mom trenutnom okruženju?

• Nadgledanje obrazaca pristupa za različite tipove entiteta u okruženju.

Koliko se MFA primjenjuje u svim slojevima aplikacija i usluga u oblaku u mom okruženju?

• Procjena implementacije i primjene višefaktorske autentifikacije (MFA) u cijelom okruženju.

4. PRAĆENJE AKTIVNOSTI I PRAĆENJE PROMJENA

Koje su promjene upravo napravljene u mom okruženju, ko je odgovoran za te promjene i da li su slične promjene napravljene u drugim slojevima usluga u oblaku?

• Praćenje i izvještavanje o nedavnim promjenama, odgovornim korisnicima i konzistentnosti na više nivoa.

Koji identiteti su pristupili osjetljivim podacima ili kritičnim sistemima?

• Nadgledanje i izvještavanje o pristupu identitetu osjetljivim spremištima podataka, kritičnim sistemima i visokorizičnim aplikacijama.

5. KORELACIJA INCIDENTA I ODGOVOR

Kako se incidenti povezani s identitetom povezuju u različitim okruženjima?

• Korelacija aktivnosti identiteta i incidenata kroz IdP, IaaS, PaaS, SaaS, CI/CD i on-prem okruženja za pružanje jedinstvenog pogleda.

Koje radnje treba poduzeti da bi se umanjile identificirane prijetnje?

• Djelotvorne preporuke i automatizirane opcije odgovora za ublažavanje otkrivenih prijetnji identitetu i sprječavanje budućih incidenata.

Izvor:The Hacker News