Что такое ITDR
В этой статье мы расскажем о новом эффективном инструменте противодействия киберзлоумышленникам, который позволяет выявить уязвимые учетные данные и атаки на них в режиме реального времени.
Как показывают многие исследования, корпоративные службы информационной безопасности направляют львиную долю бюджетов на системы класса IAM, т.к. количество атак на учетные данные неуклонно растет.
Компрометация и последующее использование учетных данных для доступа к информационным системам стали центральными элементами практически любой кибератаки. Это является неизбежным следствием того, что злоумышленники ищут и используют все новые способы эксплуатации постоянно увеличивающейся поверхности атаки и экспозиции учетных данных. Многофакторной аутентификации уже недостаточно.
Система усиленной аутентификации обычно реализуется в корпоративной среде на уровне клиентского или промежуточного компонента (Credential Provider, LDAP Proxy, RADIUS Server и т.д.), в то время как провайдер аутентификации (KDC и LDAP Server контроллера домена) продолжает работать в однофакторном режиме.
Таким образом, большое количество векторов атаки на учетные данные остается актуальным даже если в организации используется IAM в полном объеме.
ITDR (Identity Threat Detection and Response, букв. «выявление угроз для учетных данных и реагирование на них») термин компании Gartner для описания набора средств и лучших практик защиты систем учетных данных. Компании тратят значительные средства на модернизацию систем управления доступом (IAM), но модернизация в основном касается улучшения технологий аутентификации, что приводит к увеличению площади атаки основополагающей части инфраструктуры безопасности.
Системы ITDR призваны обеспечивать защиту учетных данных, выявлять и предотвращать атаки на них.
ITDR — это комплекс технических средств и организационных мер, направленных на идентификацию, сдерживание и предотвращение атак, целью которых являются учётные данные.
Системы, входящие в состав решения ITDR, осуществляют непрерывный мониторинг активности пользовательских и сервисных учетных записей, выявляя нехарактерные последовательности событий и паттерны, указывающие на подготовку или проведение атаки на учетные данные. Для оценки протекающих в инфраструктуре процессов показатели могут сравниваться как со статически заданными значениями, так и с базовыми статистическими данными, которые постоянно рассчитываются в ходе работы систем ITDR.
В зависимости от того, как система квалифицирует ту или иную угрозу, для затронутых инцидентом сущностей может быть заблокирован доступ к определенным сервисам, либо включен запрос дополнительных факторов аутентификации.
Решения класса ITDR позволяют выявлять:
- нелегитимное использование учетных данных;
- попытки повышения привилегий;
- сервисные и псевдоадминистративные учетные данные;
- атаки на учетные данные (password spraying, golden/diamond ticket, lateral movement и т.п.).
А также обеспечивать защиту учетных данных, выявлять и противодействовать атакам путем блокировки доступа и информирования других систем безопасности.
Подробнее о решении класса ITDR читайте на странице продукта Indeed ITDR.
