Что такое ITDR

В этой статье мы расскажем о новом эффективном инструменте противодействия киберзлоумышленникам, который позволяет выявить уязвимые учетные данные и атаки на них в режиме реального времени.

Как показывают многие исследования, корпоративные службы информационной безопасности направляют львиную долю бюджетов на системы класса IAM, т.к. количество атак на учетные данные неуклонно растет.

Компрометация и последующее использование учетных данных для доступа к информационным системам стали центральными элементами практически любой кибератаки. Это является неизбежным следствием того, что злоумышленники ищут и используют все новые способы эксплуатации постоянно увеличивающейся поверхности атаки и экспозиции учетных данных. Многофакторной аутентификации уже недостаточно.

Система усиленной аутентификации обычно реализуется в корпоративной среде на уровне клиентского или промежуточного компонента (Credential Provider, LDAP Proxy, RADIUS Server и т.д.), в то время как провайдер аутентификации (KDC и LDAP Server контроллера домена) продолжает работать в однофакторном режиме.

Таким образом, большое количество векторов атаки на учетные данные остается актуальным даже если в организации используется IAM в полном объеме.

ITDR (Identity Threat Detection and Response, букв. «выявление угроз для учетных данных и реагирование на них») термин компании Gartner для описания набора средств и лучших практик защиты систем учетных данных. Компании тратят значительные средства на модернизацию систем управления доступом (IAM), но модернизация в основном касается улучшения технологий аутентификации, что приводит к увеличению площади атаки основополагающей части инфраструктуры безопасности.

Системы ITDR призваны обеспечивать защиту учетных данных, выявлять и предотвращать атаки на них.

ITDR — это комплекс технических средств и организационных мер, направленных на идентификацию, сдерживание и предотвращение атак, целью которых являются учётные данные.

Системы, входящие в состав решения ITDR, осуществляют непрерывный мониторинг активности пользовательских и сервисных учетных записей, выявляя нехарактерные последовательности событий и паттерны, указывающие на подготовку или проведение атаки на учетные данные. Для оценки протекающих в инфраструктуре процессов показатели могут сравниваться как со статически заданными значениями, так и с базовыми статистическими данными, которые постоянно рассчитываются в ходе работы систем ITDR.

В зависимости от того, как система квалифицирует ту или иную угрозу, для затронутых инцидентом сущностей может быть заблокирован доступ к определенным сервисам, либо включен запрос дополнительных факторов аутентификации.

Решения класса ITDR позволяют выявлять:

• нелегитимное использование учетных данных;
• попытки повышения привилегий;
• сервисные и псевдоадминистративные учетные данные;
• атаки на учетные данные (password spraying, golden/diamond ticket, lateral movement и т.п.).

А также обеспечивать защиту учетных данных, выявлять и противодействовать атакам путем блокировки доступа и информирования других систем безопасности.

Подробнее о решении класса ITDR читайте на странице продукта Indeed ITDR.