Заплахите, основани на идентичността, са насочени конкретно към цифровите идентичности на физическите лица и инфраструктурата за идентичност на организациите.
Ръстът на този вид кибератаки върви ръка за ръка с увеличаването на броя на цифровите идентичности. Всъщност неотдавнашен доклад на Алианса за сигурност, дефинирана като идентичност (IDSA), разкри, че 90% от организациите с над 1000 служители са докладвали за поне един инцидент със сигурността, свързан с цифрови идентичности, през изминалата година. Броят на откраднатите идентификационни данни, които се предлагат за продажба в тъмната мрежа, е надхвърлил 24 милиарда през този период, а за тези, които си правят сметката, това са три идентификационни данни на човек на планетата. За съжаление никой не е застрахован от тази заплаха. Нещо повече, индексът на цените в тъмната мрежа показва, че пълномощията могат да бъдат получени само за 1 долар. Тези тревожни цифри категорично показват, че е необходим нов подход за борба с бързото разпространение на атаките, базирани на самоличността.
Какво представлява откриването и реагирането на заплахи, свързани с идентичността (ITDR)?
Откриването и реагирането на заплахи, свързани с идентичността (Identity Threat Detection & Response, ITDR), е дисциплина в областта на сигурността, която има за цел да защити системите за идентичност. Тази стратегия се появява през 2022 г. като предложение на Gartner след поредица от атаки срещу инфраструктурата на IAM и обхваща разузнаване на заплахите, най-добри практики, база знания, инструменти и процеси.
Целта на ITDR е да се подобри сигурността около инфраструктурата, ориентирана към идентичността, чрез откриване, анализиране, поставяне под карантина и елиминиране или смекчаване на подозрителна дейност, насочена към системите за идентичност, както и чрез идентифициране на уязвимостите на повърхността на атаката, преди да възникне заплаха. Този подход може да бъде приложен като част от стратегия за XDR.
Как да приложите стратегия за ITDR във вашата организация
Следните стъпки ще помогнат на вашия бизнес да приложи ефективна стратегия и програма за ITDR:
Определете насоките за IAM на вашата организация: Първо, трябва да определите целите на вашата организация по отношение на сигурността на идентичността и политиките и процедурите, необходими за постигането им.
Внедряване на сигурността на идентичността: Контролните мерки могат да включват мениджъри на пароли, многофакторно удостоверяване, уеб еднократна регистрация и политики, базирани на нулево доверие и риск. Обърнете внимание, че дори преди да разработите стратегия за ITDR, е препоръчително да приложите контроли за сигурност на идентичността, за да защитите идентичността на потребителите.
Задайте контроли за откриване: Тези контроли идентифицират подозрителни дейности, свързани с идентичността. Те включват мониторинг на конфигурацията в системите IAM, мониторинг на свързаната с идентичността потребителска дейност, мониторинг на удостоверенията в тъмната мрежа, откриване на аномалии в обичайните модели на потребителско поведение, класифициране на рисковия профил на различни лица или събития и предупреждения в реално време.
Създаване на контроли за реагиране: Тези контроли включват мерки като изолиране и деактивиране на синхронизацията между системите, събиране на информация за разследване на сериозността на заплахата, възстановяване на компрометираните пълномощия и блокиране на подозрителни акаунти или IP адреси. Те включват също така възстановяване на данни от резервни копия, регистриране на управлението на достъпа и действия за отстраняване на нередности след събитие, като например премахване на измамни акаунти, прекомерни разрешения и пакетиране на системите.
ITDR е бъдещето на сигурността на цифровата идентичност и затова трябва да бъде следващата област, върху която вашият бизнес да съсредоточи усилията си за укрепване на управлението на идентичността и достъпа. Подобно на EPDR, MDR и NDR, ITDR е неразделна част от цялостната стратегия за XDR. В WatchGuard проучваме начини за нашите нови и съществуващи продукти, за да осигурим възможности за ITDR в четирите ни продуктови линии с нашето решение ThreatSync. Тази стъпка ще ни даде възможност да осигурим корелация и оценка на риска, както и отстраняване на събития, за да предоставим ITDR на MSP и на свой ред на малкия и средния бизнес.
WatchGuard