Обнаружение угроз конфиденциальности и реагирование на них

Обнаружение угроз идентификации и реагирование на них (ITDR) — это дисциплина кибербезопасности , которая включает в себя инструменты и лучшие практики для защиты инфраструктуры управления идентификацией от атак. ITDR может блокировать и обнаруживать угрозы , проверять учетные данные администратора, реагировать на различные атаки и восстанавливать нормальную работу. ^[1] Распространенные угрозы для личных данных включают фишинг , кражу учетных данных, инсайдерские угрозы и программы-вымогатели . ^[2]

ITDR добавляет дополнительный уровень безопасности к системам управления идентификацией и доступом (IAM). Это помогает защитить учетные записи, разрешения и саму инфраструктуру идентификации от компрометации. Поскольку злоумышленники напрямую нацелены на инструменты идентификации, ITDR становится все более важным в 2023 году: по данным Gartner , сложившихся практик гигиены IAM, таких как управление привилегированным доступом и управление идентификацией, больше недостаточно. ^[1]

ITDR может быть частью модели безопасности с нулевым доверием . ITDR особенно актуален для мультиоблачных инфраструктур, в которых существуют пробелы между отдельными реализациями IAM облачных провайдеров. Устранение этих пробелов и организация идентификации в облаках — основная задача ITDR. ^[3]

Функциональные возможности

ITDR расширяет возможности управления идентификацией и доступом (IAM), добавляя возможности обнаружения и реагирования. Это обеспечивает видимость потенциального неправильного использования учетных данных и злоупотребления привилегиями. ITDR также находит пробелы, оставленные системами IAM и управления привилегированным доступом (PAM). ^[4] ITDR требует мониторинга систем идентификации на предмет злоупотреблений и компрометации. Он использует обнаружение с меньшей задержкой, чем обычные системы безопасности. ITDR предполагает координацию между IAM и службами безопасности. ^[1]

ITDR использует структуру MITRE ATT&CK против известных векторов атак. Он сочетает в себе базовые элементы управления IAM, такие как многофакторная аутентификация, с мониторингом. ITDR предотвращает компрометацию учетных записей и учетных данных администраторов. Он модернизирует инфраструктуру с помощью таких стандартов, как OAuth 2.0 .

Организации применяют ITDR в качестве дополнения к IAM, а также обнаружению и реагированию на конечных точках . ITDR специально отслеживает системы идентификации и журналы активности пользователей на предмет атак. Он может изолировать затронутые системы и собирать аналитические данные. Для внедрения требуется бюджет, обучение и поддержка. Организации могут начать с основ IAM, таких как многофакторная аутентификация и управление доступом на основе ролей . ^[4]

Инструменты ITDR могут обнаружить неправильные конфигурации в Active Directory . Стратегии могут обновлять брандмауэры, системы предотвращения вторжений и приложения безопасности. ITDR интегрируется с инструментами SIEM для мониторинга угроз и автоматического реагирования. План реагирования на инциденты ITDR учитывает скомпрометированные учетные данные и повышение привилегий. Обучение повышению осведомленности учит пользователей обнаруживать атаки на основе личных данных. ^[4]

История

ITDR выделился в отдельный сегмент кибербезопасности в 2022 году. Этот термин был придуман Gartner . ^[4]

Поставщики ИТДР

По данным Gartner , в число поставщиков ITDR входят Authomize, CrowdStrike , Gurucul, Microsoft , Netwrix, Oort, Proofpoint , Quest Software, Semperis, SentinelOne и Silverfort. ^[1]

Разница между ITDR и EDR

В то время как EDR обнаруживает проблемы на конечных точках, ITDR концентрируется на мониторинге и анализе активности пользователей и журналов управления доступом для выявления вредоносной активности. Он собирает данные из нескольких источников управления идентификацией и доступом (IAM) в локальных и облачных средах. Вместе они дают более полную картину, позволяющую улучшить обнаружение и реагирование на сложные атаки, включающие горизонтальное перемещение и обман личности. ^[5]

Ссылки

^ Jump up to: ^а ^б ^с ^д Джонатан Нуньес, Эндрю Дэвис (20 июля 2023 г.). «Цикл ажиотажа в сфере обеспечения безопасности, 2023 г.» . www.gartner.com . Проверено 8 августа 2023 г.
^ Эдди, Натан (21 июня 2023 г.). «Кто несет ответственность за обнаружение угроз личной информации и реагирование на них?» . Информационная неделя . Проверено 17 августа 2023 г.
^ «Что означает обнаружение и реагирование на угрозы идентичности (ITDR) в мире с нулевым доверием» . ВенчурБит . 26 июля 2022 г. Проверено 17 августа 2023 г.
^ Jump up to: ^а ^б ^с ^д «Улучшите IAM за счет обнаружения и реагирования на угрозы идентификации» . ТехТаржет . июль 2023 года . Проверено 14 августа 2023 г.
^ «Обнаружение угроз идентичности и реагирование на них (ITDR)» . www.crowdstrike.com . Проверено 29 августа 2023 г.

См. также

[:0-1] Jump up to: ^а ^б ^с ^д Джонатан Нуньес, Эндрю Дэвис (20 июля 2023 г.). «Цикл ажиотажа в сфере обеспечения безопасности, 2023 г.» . www.gartner.com . Проверено 8 августа 2023 г.

[2] Эдди, Натан (21 июня 2023 г.). «Кто несет ответственность за обнаружение угроз личной информации и реагирование на них?» . Информационная неделя . Проверено 17 августа 2023 г.

[3] «Что означает обнаружение и реагирование на угрозы идентичности (ITDR) в мире с нулевым доверием» . ВенчурБит . 26 июля 2022 г. Проверено 17 августа 2023 г.

[:1-4] Jump up to: ^а ^б ^с ^д «Улучшите IAM за счет обнаружения и реагирования на угрозы идентификации» . ТехТаржет . июль 2023 года . Проверено 14 августа 2023 г.

[5] «Обнаружение угроз идентичности и реагирование на них (ITDR)» . www.crowdstrike.com . Проверено 29 августа 2023 г.

[1]

[2]

[3]

[4]

[5]