É a period da segurança de identidade. A explosão de ataques de ransomware direcionados fez com que os CISOs e equipes de segurança percebessem que a proteção de identidade está 20 anos atrás de seus endpoints e redes. Essa percepção se deve principalmente à transformação do movimento lateral de belas artes, encontradas apenas em APT e nos principais grupos de crimes cibernéticos, para uma habilidade de commodity usada em quase todos os ataques de ransomware. O movimento lateral usa credenciais comprometidas para acesso malicioso – um ponto cego crítico que as soluções XDR, de rede e SIEM existentes não conseguem bloquear.
A Detecção e Resposta a Ameaças de Identidade (ITDR) surgiu nos últimos dois anos para fechar essa lacuna. Este artigo detalha os cinco principais recursos de ITDR e fornece as principais perguntas a serem feitas ao seu fornecedor de ITDR. Somente um “SIM” definitivo a essas perguntas pode garantir que a solução que você avalia pode realmente cumprir sua promessa de segurança de identidade.
Cobertura para todos os usuários, recursos e métodos de acesso
Por que isso é importante?
Proteção parcial é tão boa quanto nenhuma proteção. Se identidade é o nome do jogo, então a proteção ITDR deve abranger todas as contas de usuário, recursos locais e na nuvem, e não menos importante – todos os métodos de acesso.
Que perguntas fazer:
- O ITDR também abrange identidades não humanas, como contas de serviço do Lively Listing (AD)?
- O ITDR pode analisar o rastro completo de autenticação dos usuários, em recursos locais, cargas de trabalho na nuvem e aplicativos SaaS?
- O ITDR detectaria acesso malicioso por meio de ferramentas de acesso de linha de comando, como PsExec ou PowerShell?
Em tempo actual (ou o mais próximo que você puder chegar)
Por que isso é importante?
A velocidade de detecção de ameaças é importante. Em muitos casos, pode ser a diferença entre detectar e mitigar uma ameaça em um estágio inicial ou investigar uma violação ativa de tamanho actual. Para entregar isso, o ITDR deve aplicar sua análise em autenticações e tentativas de acesso o mais próximo possível de sua ocorrência.
Que perguntas fazer:
- A solução ITDR se integra diretamente com provedores de identidade locais e na nuvem para analisar autenticações conforme elas acontecem?
- O ITDR consulta o IDP para detectar alterações na configuração da conta (por exemplo, UO, permissões, SPN associado, and many others.)?
Detecção de anomalias multidimensionais
Por que isso é importante?
Nenhum método de detecção é imune a falsos positivos. A melhor maneira de aumentar a precisão é procurar por vários tipos diferentes de anomalias. Embora cada uma por si só possa ocorrer durante a atividade legítima do usuário, a ocorrência mútua de várias aumentaria a probabilidade de que um ataque actual fosse detectado.
Que perguntas fazer:
- A solução ITDR pode detectar anomalias no protocolo de autenticação (por exemplo, uso de hash, posicionamento de tíquetes, criptografia mais fraca, and many others.)?
- A solução ITDR cria um perfil do comportamento padrão dos usuários para detectar acesso a recursos que nunca foram acessados antes?
- A solução ITDR analisa padrões de acesso associados ao movimento lateral (por exemplo, acessar vários destinos em um curto período de tempo, mover da máquina A para a máquina B e, posteriormente, de B para C, and many others.)?
Precisa de uma solução ITDR para proteger a superfície de ataque de identidade dos seus ambientes locais e na nuvem? Aprenda como o Silverfort ITDR funciona e solicite uma demonstração para ver como podemos atender às suas necessidades específicas.
Detecção de cadeia com MFA e bloco de acesso
Por que isso é importante?
A detecção precisa de ameaças é o ponto de partida, não o fim da corrida. Como mencionamos acima, tempo e precisão são a chave para uma proteção eficiente. Assim como um EDR que encerra um processo malicioso, ou um SSE que bloqueia tráfego malicioso, a capacidade de acionar o bloqueio automatizado de tentativas de acesso malicioso é imperativa. Embora o próprio ITDR não possa fazer isso, ele deve ser capaz de se comunicar com outros controles de segurança de identidade para atingir esse objetivo.
Que perguntas fazer:
- O ITDR pode acompanhar a detecção de acesso suspeito acionando uma verificação avançada de uma solução MFA?
- O ITDR pode acompanhar a detecção de acesso suspeito instruindo o Provedor de Identidade a bloquear o acesso completamente?
Integrar com XDR, SIEM e SOAR
Por que isso é importante?
A proteção contra ameaças é alcançada pela operação conjunta de vários produtos. Esses produtos podem se especializar em uma determinada faceta de atividade maliciosa, agregar sinais a uma visão contextual coesa ou orquestrar um handbook de resposta. Além dos recursos que listamos acima, o ITDR também deve se integrar perfeitamente à pilha de segurança já em vigor, de preferência de forma automatizada, se possível.
Que perguntas fazer:
- A solução ITDR pode enviar sinais de risco ao usuário XDR e importar sinais de risco em processos e máquinas?
- O ITDR compartilha suas descobertas de segurança com o SIEM existente?
- A detecção de acesso de usuários maliciosos pelo ITDR pode acionar o handbook SOAR no usuário e nos recursos nos quais ele está conectado?
ITDR de Silverfort
O ITDR da Silverfort faz parte de uma plataforma de segurança de identidade consolidada que inclui, entre outros recursos, MFA, segurança de acesso privilegiado, proteção de conta de serviço e firewalls de autenticação. Construído na integração nativa com AD, Entra ID, Okta, ADFS e Ping Federate, o ITDR da Silverfort analisa cada tentativa de autenticação e acesso no ambiente híbrido e aplica vários métodos de análise de risco que se cruzam para detectar atividade maliciosa do usuário e acionar controles de segurança de identidade em tempo actual.
Saiba mais sobre o Silverfort ITDR aqui ou agende uma demonstração com um de nossos especialistas.