10
ITDR. Выявление угроз, связанных с айдентити, и реагирование на них
Под выявлением угроз, связанных с айдентити, и реагированием на них (Identity Threat Detection and Response, ITDR) понимают процессы и технологии, призванные обнаруживать и снижать риски, касающиеся айдентити, включая компрометацию учетных данных, эскалацию привилегий и, что самое важное, латеральное перемещение
В рамках ITDR отслеживают признаки компрометации айдентити, расследуют случаи совершения подозрительных действий, а также автоматически и вручную принимают меры по сдерживанию угроз. Есть целый ряд методов ITDR, помогающих анализировать трафик, связанный с аутентификацией, чтобы выявлять потенциальные угрозы, сопряженные с айдентити. В числе этих методов особенно выделяется применение инструментов машинного обучения с целью выявления аномалий, связанных с доступом. Еще один передовой метод — мониторинг на предмет подозрительных последовательностей аутентификации.
Высоко эффективен и анализ пакетов аутентификации, призванный раскрывать такие тактики, техники и процедуры, как атаки Pass-the-Hash, Kerberoasting и т. д. Крайне важно, что в рамках ITDR все эти методы применяются в комплексе: это позволяет повышать точность и не допускать ложноположительных срабатываний, когда подключение пользователя к новой машине расценивается как аномалия и поднимает в системе тревогу.
Высоко эффективен и анализ пакетов аутентификации, призванный раскрывать такие тактики, техники и процедуры, как атаки Pass-the-Hash, Kerberoasting и т. д. Крайне важно, что в рамках ITDR все эти методы применяются в комплексе: это позволяет повышать точность и не допускать ложноположительных срабатываний, когда подключение пользователя к новой машине расценивается как аномалия и поднимает в системе тревогу.
01
Эффективность решения класса ITDR заключается в четырех совместно работающих компонентах
Непрерывный мониторинг
Средства непрерывного мониторинга постоянно и тщательно анализируют сети, системы и учетные записи пользователей на предмет аномалий, которые могут указывать на угрозы, связанные с айдентити. Они помогают заблаговременно выявлять угрозы путем постоянного анализа записей в журналах событий и других данных. В решениях для непрерывного мониторинга применяются инструменты машинного обучения и поведенческой аналитики, чтобы определять базовое представление о нормальной активности и замечать отклонения, которые могут свидетельствовать об атаке на системы айдентити.
Исследование угроз
Системы исследования угроз информируют организацию о мотивах, методах и инструментах злоумышленников, атакующих сети и учетные записи. Подобные решения реализуются в системах ITDR, чтобы помогать подразделениям по безопасности предвидеть новые типы атак, связанных с айдентити. Обладая этими знаниями, организации могут эффективнее выявлять изощренные методы компрометации айдентити и оперативно реагировать на возникающие угрозы.
Средства непрерывного мониторинга постоянно и тщательно анализируют сети, системы и учетные записи пользователей на предмет аномалий, которые могут указывать на угрозы, связанные с айдентити. Они помогают заблаговременно выявлять угрозы путем постоянного анализа записей в журналах событий и других данных. В решениях для непрерывного мониторинга применяются инструменты машинного обучения и поведенческой аналитики, чтобы определять базовое представление о нормальной активности и замечать отклонения, которые могут свидетельствовать об атаке на системы айдентити.
Исследование угроз
Системы исследования угроз информируют организацию о мотивах, методах и инструментах злоумышленников, атакующих сети и учетные записи. Подобные решения реализуются в системах ITDR, чтобы помогать подразделениям по безопасности предвидеть новые типы атак, связанных с айдентити. Обладая этими знаниями, организации могут эффективнее выявлять изощренные методы компрометации айдентити и оперативно реагировать на возникающие угрозы.
Надзор за айдентити
Цель надзора за айдентити — обеспечивать управление айдентити и привилегиями доступа. Он необходим, чтобы у пользователей были надлежащие параметры доступа, соответствующие политикам безопасности. Решения для надзора за айдентити автоматизируют процессы создания и удаления пользовательских учетных записей, служат для реализации политик доступа и выявляют нарушения действующих политик. Они обеспечивают централизованный контроль доступа во всех системах и приложениях организации.
Реагирование на инциденты
Чтобы минимизировать ущерб от выявленных угроз, связанных с айдентити, можно использовать автоматизированные средства реагирования на инциденты. Решения класса ITDR запускают заранее определенные процессы реагирования, например отключение скомпрометированных учетных записей, изоляцию затронутых систем или сброс паролей. Кроме того, они оповещают об инциденте подразделения по безопасности и предоставляют информацию, которая помогает в ходе дальнейшего расследования и исправления ситуации.
Цель надзора за айдентити — обеспечивать управление айдентити и привилегиями доступа. Он необходим, чтобы у пользователей были надлежащие параметры доступа, соответствующие политикам безопасности. Решения для надзора за айдентити автоматизируют процессы создания и удаления пользовательских учетных записей, служат для реализации политик доступа и выявляют нарушения действующих политик. Они обеспечивают централизованный контроль доступа во всех системах и приложениях организации.
Реагирование на инциденты
Чтобы минимизировать ущерб от выявленных угроз, связанных с айдентити, можно использовать автоматизированные средства реагирования на инциденты. Решения класса ITDR запускают заранее определенные процессы реагирования, например отключение скомпрометированных учетных записей, изоляцию затронутых систем или сброс паролей. Кроме того, они оповещают об инциденте подразделения по безопасности и предоставляют информацию, которая помогает в ходе дальнейшего расследования и исправления ситуации.
Киберпреступники действуют все более изощренно, атакуя отдельные айдентити и учетные записи, поэтому в системах ITDR предусматриваются превентивные механизмы, чтобы выявлять аномалии, пресекать захват учетных записей в режиме реального времени и устранять последствия несанкционированного доступа.
Применяя алгоритмы машинного обучения и поведенческой аналитики, решения класса ITDR могут обнаруживать угрозы, которые пропускают системы, основанные на правилах и регламентах доступа. А методы оркестрации позволяют организациям автоматизировать процессы реагирования и сдерживать угрозы в кратчайшие сроки. Чтобы упреждать наиболее разрушительные атаки на основе айдентити, которые проводят современные злоумышленники, организациям и их специалистам по безопасности крайне важно реализовывать эффективную стратегию выявления угроз, связанных с айдентити, и реагирования на них (ITDR).
Применяя алгоритмы машинного обучения и поведенческой аналитики, решения класса ITDR могут обнаруживать угрозы, которые пропускают системы, основанные на правилах и регламентах доступа. А методы оркестрации позволяют организациям автоматизировать процессы реагирования и сдерживать угрозы в кратчайшие сроки. Чтобы упреждать наиболее разрушительные атаки на основе айдентити, которые проводят современные злоумышленники, организациям и их специалистам по безопасности крайне важно реализовывать эффективную стратегию выявления угроз, связанных с айдентити, и реагирования на них (ITDR).