Identity Threat Detection and Response (ITDR)

Gartner hat diesen Trend bereits aufgegriffen und mit dem Begriff „Identity Threat Detection and Response (ITDR)“ ein neues Aktionsfeld definiert. Mit ITDR werden Ansätze zur Bekämpfung der Cyberkriminalität über die Infrastruktur des Identitäts- und Zugriffsmanagements (IAM) zusammengefasst. Somit konzentriert sich ITDR auf die Erkennung und Verhinderung des Missbrauchs von Anmeldeinformationen und Berechtigungskonten sowie anderer identitätsbezogener Bedrohungen. Im Umfeld von Unternehmen lässt sich auch von „Cyber Resilience “ sprechen, welches die Fähigkeit von beschreibt, angemessen auf Cyberangriffe zu reagieren.

Angreifer versuchen normalerweise, IAM-Systeme mit gestohlenen Anmeldeinformationen mit privilegiertem Zugriff zu umgehen. Von dort aus gelangen sie in die eigentlichen Businessapplikationen, um sensible Daten zu stehlen – oder sie versuchen Systeme zu stören und zum Erliegen zu bringen. Somit zählt eine Verhinderung des Diebstahls von Anmeldeinformationen zu den größten Herausforderungen, beginnen doch über 80 Prozent der Angriffe mit gestohlene Anmeldeinformationen. Generell ist das Thema Zugriffssicherheit auch das Top Thema bei den OWASP Top10. 

Die Einführung von cloudbasierten Systemen durch die Organisationen hat das Problem des Diebstahls noch verschärft, da die traditionellen Schutzkonzepte nicht mehr greifen. Es reicht nicht mehr, „die Burg zu schützen und einen unüberwindbaren Burggraben anzulegen“, um ein Eindringen zu verhindern. Es ist daher erforderlich, dass Unternehmen Zero-Trust-Ansätze realisieren. Sie müssen sich auf die Sicherung der Identitäten und Daten konzentrieren, auf die sie Zugriff haben – unabhängig davon, über welches Netzwerk oder Gerät der Zugriff erfolgt.

ITDR-Lösungen verwenden ähnliche Techniken, um unbefugten Zugriff zu verhindern, wie beispielsweise Echtzeit-24/7-Überwachung, regelbasierte automatisierte Antworten und verschiedene Analysetools. Im Gegensatz zu TDR-Lösungen sind sie darauf ausgelegt, Identitäten zu überwachen. Einige ITDR-Lösungen können auch „Honeypots“ verwenden, um Gegner mit gefälschten Daten anzulocken, auf die der Administrator (und/oder die Lösung selbst) reagieren kann.

ITDR konzentriert sich auf Angriffsmuster, die gezielt Identitäten ausnutzen. Dazu gehören beispielsweise Account-Takeover-Angriffe, bei denen kompromittierte Zugangsdaten verwendet werden, oder Privilege Escalation, bei der Angreifer höhere Berechtigungen erlangen. Auch laterale Bewegungen innerhalb eines Netzwerks, bei denen Angreifer über mehrere Accounts und Systeme navigieren, lassen sich durch ITDR erkennen. Durch die Analyse von Nutzerverhalten und Zugriffsmustern können solche Angriffe frühzeitig identifiziert werden.

1. Nicht verwaltete Identitäten: Organisationen laufen Gefahr, nicht alle Identitätstypen sauber zu verwalten. Oft wird der Identity Lifecycle für Dienstkonten, lokale Administratoren oder privilegierte Konten zu wenig beachtet und es fehlen etablierte Prozesse. Die unpersönlichen Konten sind keinen Personen zugeteilt oder es fehlen Passwortrichtlinien.
    
2. Falsch konfigurierte Identitäten: Dazu gehören Schattenadministratoren, Dienstkonten, schwache Kennwörter und schlechte Verschlüsselungspraktiken, welche es Angreifern leicht machen, in ein Netzwerk einzudringen.
    
3. Exponierte Identitäten: Dazu gehören im Speicher hinterlegte Anmeldeinformationen, auf die Angreifer mit verschiedenen Hacker-Tools zugreifen können, sowie Cloud-Zugriffstoken und offene RDP-Sitzungen.

Das größte Risiko geht jedoch nach wie vor von den Mitarbeitenden aus, wenn sie mit ihren Benutzerkonten und Passwörtern nicht sachgemäß umgehen oder beispielsweise in eine Phishing-Falle tappen. ITDR-Systeme legen daher großen Wert auf die Komponente des maschinellen Lernens, die es ermöglicht, den Missbrauch von Identitäten und Zugriffsrechten zu erkennen.

Viele Sicherheitslösungen konzentrieren sich primär auf Endgeräte, Netzwerke oder Malware-Erkennung. Identitätsbasierte Angriffe bleiben dabei häufig unentdeckt, weil Angreifer legitime Zugangsdaten verwenden und sich scheinbar normal im System bewegen. Wenn kompromittierte Accounts mit gültigen Berechtigungen arbeiten, wirken ihre Aktivitäten zunächst wie reguläre Benutzeraktionen. Klassische IAM-Systeme kontrollieren zwar den Zugriff, analysieren jedoch meist nicht kontinuierlich das Verhalten von Identitäten. Genau an dieser Stelle setzt Identity Threat Detection and Response (ITDR) an, indem verdächtige Aktivitäten und Anomalien in Identitäts- und Zugriffsdaten erkannt werden.

Es gibt bereits einige ITDR-Lösungen auf dem Markt. Bei der Evaluation solcher Lösungen sollten folgende Aspekte vertieft betrachtet werden und die genauen Anforderungen bekannt sein.

• Den Zugriff auf privilegierte Konten überwachen: Diese Möglichkeiten sind heute bereits in den PAM-Lösungen vorhanden. Für ein ganzheitliches ITDR-Konzept ist es aber wichtig zu prüfen, inwieweit noch Lücken bestehen, die sich abdecken lassen. Wichtig ist es, dass die Nutzung der privilegierten Konten jederzeit nachvollziehbar ist. Ebenso muss überwacht werden können, wie sensible Daten abgerufen, modifiziert oder im schlimmsten Fall zerstört oder geteilt werden.
   
• Eine Basislinie für das normale Benutzerverhalten festlegen: Das Erkennen von Abweichungen vom normalen Benutzerverhalten und das rechtzeitige Auslösen von Korrekturmaßnahmen ist das Herzstück der ITDR-Lösung. In der Regel wird mittels Machine Learning das normale Nutzerverhalten erlernt und die IAM-Hygiene aufgebaut. Was „normal“ ist, hängt von verschiedenen Faktoren ab und je mehr Daten zur Verfügung stehen, desto differenzierter werden diese Baselines für das normale Nutzerverhalten sein.
   
• Ereignisse erkennen und darauf reagieren, die einer vordefinierten Schwellenbedingung entsprechen: In sogenannten Playbooks wird festgehalten, was im Falle von Anomalien geschehen soll. In der Regel gibt es bei mittelschweren oder leichten Identitätsbedrohungen einen Alert bei den Administratoren, welche eine Abklärung durchführen. In schweren Fällen ist ein automatisiertes Eingreifen des Systems der bessere Ansatz, beispielsweise wird ein auffälliges Benutzerkonto sofort gesperrt oder eine Berechtigung bis zur weiteren Klärung entzogen. Die Kunst besteht darin, Anomalien miteinander zu verknüpfen, um mögliche Angriffe bereits im Vorfeld zu verhindern. So kann eine Häufung von „Failed Logon Attempts“ in Kombination mit dem Versuch, ein Script auszuführen, einen möglichen Angriff darstellen. Eine Deaktivierung des Accounts ergibt in diesem Fall sofort Sinn.

ITDR-Lösungen aggregieren und korrelieren Event-Informationen möglichst plattformübergreifend und bieten leicht verständliche Dashboards. Die Lösungen sollten auch direkt mit IGA (Identity Governance Administration) oder SIEM-Lösungen integriert sein.

ITDR ergänzt klassische IAM-Architekturen um eine zusätzliche Sicherheitsebene. Während Identity Governance, Access Management und Privileged Access Management den Zugriff steuern, überwacht ITDR kontinuierlich das Verhalten von Identitäten. Dadurch lassen sich Angriffe erkennen, die trotz korrekter Authentifizierung stattfinden. ITDR wird deshalb häufig als Detection-Layer über bestehenden Identity-Systemen implementiert und ist damit Bestandteil einer Zero-Trust-Strategie.

ITDR wird besonders relevant, wenn Unternehmen komplexe Identity-Landschaften betreiben. Dazu gehören Hybrid-IT-Umgebungen, Cloud-Plattformen oder große Mengen privilegierter Accounts. Wenn klassische IAM-Kontrollen nicht mehr ausreichen, um verdächtige Aktivitäten zu erkennen, kann ITDR eine wichtige Ergänzung sein. Es ermöglicht Organisationen, identitätsbasierte Angriffe frühzeitig zu erkennen und gezielt darauf zu reagieren.

Identity-basierte Angriffe gehören heute zu den häufigsten Ursachen für Sicherheitsvorfälle. Unternehmen investieren daher zunehmend in Lösungen, die Identitäten besser schützen und überwachen. ITDR reduziert das Risiko von Datenverlust, Systemkompromittierung und regulatorischen Verstößen. Gleichzeitig stärkt es das Vertrauen in digitale Identitätsinfrastrukturen und unterstützt langfristige Sicherheitsstrategien.

Da Identitätsbedrohungen zunehmend komplexer werden, setzen wir bei IPG auf Innovationen im Bereich Identity Access Management sowie auf hybride Cloud-Lösungen: Wir kennen die notwendigen Anforderungen im Bereich IT-Sicherheit und sind Ihr zuverlässiger Partner für Identity Threat Detection and Response. Kontaktieren Sie uns jetzt!