В эпоху масштабного развития цифровых технологий одним из самых ценных видов информации стали учетные данные. Количество атак на них в последние годы неуклонно растет. Как показало исследование, которое провела компания DLBI, в 2023 г. число зафиксированных утечек персональных данных россиян достигло 290 случаев.
Поэтому организациям потребовалось вовремя определять, не скомпрометированы ли корпоративные учетные данные, и постоянно следить за их использованием. Важно отметить, что с помощью традиционных методов и инструментов практически невозможно определить, кто использует учетные данные – легитимный пользователь или злоумышленник. Завладев ими, хакеры эффективно скрывают свои перемещения внутри сети.
Сегодня инфраструктура безопасности типичной компании может содержать решения следующих классов: IDM, SIEM, IDPS, IAM, PAM, EDR/XDR, SOAR. Такие средства защиты стоят на страже прежде всего корпоративной сети, поэтому они не позволяют выявлять уязвимые учетные данные и атаки на них в режиме реального времени.
Существует мнение, что надежно защитить учетные данные способны лишь решения класса EDR/XDR. Но они обеспечивают безопасность только конечных точек, а также применяются в целях сбора информации для анализа.
На этом фоне появился новый класс решений, соседствующий с EDR, XDR, NDR и другими классами, которые предназначены для выявления уязвимостей. Он получил название ITDR (Identity Thread Detection and response).
Это не просто еще один из акронимов, которыми изобилует сфера ИТ: новый класс решений позволяет устранить значительные пробелы в обеспечении безопасности учетных данных.
ITDR создает дополнительный уровень защиты. Выявив атаку, решения данного класса способны:
- Заблокировать коммуникацию скомпрометированной учетной записи.
- Включить механизм step-up аутентификации.
- Обогатить системы классов EDR/XDR и SIEM/SOAR дополнительными данными, чтобы выявить корреляцию с другими событиями и выработать меры для предотвращения дальнейшего распространения атаки.
Identity Threat Detection and Response (ITDR) – это комплекс технических средств и организационных мер для идентификации, сдерживания и предотвращения атак на учетные данные. Обычно он включает в себя сведения об известных киберугрозах, средства поведенческого анализа, а также инструменты, при помощи которых повышается защищенность инфраструктуры учетных данных и сокращаются сроки восстановления после атак на них.
Основные функциональные возможности решений этого класса:
- использование механизмов обнаружения потенциальных угроз;
- исследование подозрительной активности учетных записей во время и после аутентификации и авторизации;
- управление средствами безопасности и реагирования с целью защитить целостность инфраструктуры учетных данных и сохранить доверие к ней.
Решения класса ITDR похожи на SIEM/SOAR, оба класса решений помогают компаниям своевременно обнаруживать угрозы и устранять их. Новое решение дает организациям более точное представление о безопасности учетных данных. Такие системы похожи на решения SIEM/SOAR, но у последних есть существенные отличия. В частности, они обеспечивают общий, широкий взгляд на ситуацию с безопасностью и призваны выявлять угрозы во всей корпоративной инфраструктуре. Решения класса SIEM/SOAR получают данные из различных источников: с сетевого оборудования, с серверов, из приложений. Однако в модель анализа, которая применяется в подобных системах, не заложено понятие «учетные данные».
Напротив, в основе решений класса ITDR лежит именно понятие учетных данных. Они предназначены для защиты этой информации, привилегий и механизмов доступа, а также управляющих ими систем. С помощью подобных решений можно выявлять кражи учетных данных, факты злоупотребления привилегиями, атаки на каталог пользователей, а также потенциально опасные комбинации прав доступа, открывающие возможность для проведения атак. Этот функционал резко отличает решения класса ITDR от существующих средств защиты учетных данных, например от систем IAM, PAM или IGA. Последние в основном призваны обеспечивать аутентификацию и авторизацию.
Решения класса ITDR не заменяют существующие системы обнаружения угроз и реагирования на них (EDR и XDR), а дополняют их.
Системы ITDR непрерывно следят за использованием учетных данных и выявляют такие, которые неуправляемы, неправильно сконфигурированы, наделены чрезмерными привилегиями и уязвимы по иным причинам. Благодаря подобному мониторингу компании получают исчерпывающее представление о рисках, связанных с учетными данными. Это позволяет закрывать пути для распространения атак, которые злоумышленники могут использовать для установки программ-вымогателей и кражи чувствительных данных.
Решения класса ITDR включают в себя инструменты для выявления злоумышленников, осуществляющих латеральное движение или пытающихся повысить привилегии.
Системы ITDR способны создавать ловушки (honeypots), взаимодействовать с которыми могут только злоумышленники. Как только это происходит, система направляет оповещение, содержащее ключевые данные для анализа. Это позволяет точно определить, где найти злоумышленника и какие меры необходимо принять.
Учетные данные, по сути, образуют новый периметр безопасности. Однако сберечь их при помощи традиционных решений зачастую непросто: даже если сеть, конечные точки и все другие устройства и приложения должным образом защищены, злоумышленнику достаточно скомпрометировать только одну привилегированную учетную запись, чтобы поставить под угрозу все корпоративные ИТ-ресурсы.
Поэтому на помощь организациям приходят решения класса ITDR. Благодаря этим системам подразделения по информационной безопасности смогут эффективнее обнаруживать и предотвращать атаки на учетные данные в середине цепочки атак, где совершаются попытки повышения привилегий и латеральное движение. На фоне высокой активности злоумышленников, действующих в киберпространстве, российским организациям целесообразно использовать решения именно данного класса.
Компания Индид анонсировала уникальный для российского рынка продукт – Indeed ITDR. Более подробную информацию о нем можно получить на сайте Компании Индид.
