In den letzten Jahren hat sich die Form des Angriffs geändert: Es ist nicht mehr so viel über "Zwang Türen" auf Servern, als über die Nutzung von gültigen Anmeldeinformationen, um mit offensichtlich normal einzugehen und zu bewegen. Engaged Konten und interne Bedrohungen sind heute der häufigste und effektive Vektor, weil sie es Angreifern ermöglichen, im Aussehen von legitimen Benutzern zu arbeiten. Organisationen, die nur von vorbeugenden Maßnahmen abhängig sind, beginnen zu verstehen, dass sie eine viel tiefere Sichtbarkeit von IT-Ereignissen benötigen, um bösartige Aktivität zu erkennen, bevor es irreparable Schäden verursacht.
Einfache aber effektive Techniken - Phishing, Passwort-Wiederverwendung, Spray-Passwörter oder Social Engineering - können automatisiert werden und auf einem großen Maßstab laufen, was einen konstanten Ablauf von Versuchen erzeugt, die die besten Filter zusammenbrechen können. Berichte wie DBIR von Verizon zeigen, dass der Diebstahl der Anmeldeinformationen eine wiederkehrende Ursache von Lücken bleibt. So, jenseits der Blockierung von schädlichen E-Mails und fordern mehrere Faktoren Authentifizierung, Organisationen müssen wissen, was in ihren Echtzeit-Umgebungen geschieht.
Hier geht das Konzept der Identitäts-zentrierten Erkennung und Reaktion ein, bekannt als Identitäts-Drohungserkennung & Response (ITDR). ITDR ersetzt keine präventiven Maßnahmen, ergänzt sie Bereitstellung des Kontexts, der erforderlich ist, um verdächtige Bewegungen zu erkennen und eine schnelle Reaktion zu aktivieren. Durch die Erfassung und Analyse von Login-Ereignissen, Änderungen von Genehmigungen, Kontoerstellung und politische Modifikation hilft ein ITDR-System, zwischen legitimen Aktivität und Alarmsignalen zu erkennen.
Viele Sicherheitsreferenz-Frameworks, einschließlich des von Agenturen wie NIST sie empfehlen, davon auszugehen, dass jede Identität ein Punkt des Engagements sein kann und kontinuierliche Kontrollen anwendet. In diesem Paradigma, Identity Governance und umfassende Ereignisregistrierung sind Schlüsselstücke um die Zeit zwischen Eingriff und Detektion zu reduzieren, die den Schaden begrenzt, den ein Angreifer verursachen kann.
Die Erkennung von Anomalien bedeutet zunächst das "normale" jedes Benutzers: regelmäßige Arbeitszeiten, Anwendungen und Ressourcen, die Sie in der Regel konsultieren, angemessene Zugangsmengen. Mit diesem Referenzmodell können atypische Muster identifiziert werden, wie z.B. Zugriff in ungewöhnlichen Zeiten, Spitzen fehlgeschlagener Authentifizierungsversuche, Login von unerwarteten Standorten oder das Auftreten von Verwaltungskonten außerhalb etablierter Entladungsprozesse. Die Technik der Verwendung von gültigen Konten zur seitlichen Bewegung wird im Rahmen dokumentiert MITRE ATT & CK als "Geldkonto" und betont, warum Identitätstelemetrie entscheidend ist.
Die effektive Antwort erfordert nicht nur Alarme, sondern auch eine Schnittstelle zu untersuchen und zu handeln: in der Lage, Ereignisse nach System, Art von Ereignis oder Benutzer zu filtern; Spuren, die anzeigen, welche Ressourcen aufgerufen wurden; und einfache Zugriff auf kontextuelle Informationen, um zu entscheiden, ob eine Sitzung zu trennen, Berechtigungen zurückzusetzen oder Privilegien zu blockieren vorübergehend. Mit konsolidierten Aufzeichnungen und Analyse-Tools beschleunigt die Forschung und reduziert die Belichtungszeit.
Klassische Maßnahmen wie Mail-Filter, Multifaktor-Authentifizierung und Zugriffskontrolle nach dem Prinzip des Minimum-Privilegs (PLP) bleiben unerlässlich und müssen die Grundlage jeder Strategie bilden. Nichts davon ist jedoch unfehlbar. Reifeorganisationen kombinieren Prävention mit identitätsbasierter Erkennung und fortlaufender Governance, so dass sie nicht nur von einem Mechanismus abhängen, der ein Eindringen vermeidet, sondern schnell erkennen kann, ob ein Ausfall vorliegt.
Für IT- und Sicherheitsausrüstung bedeutet dies, in Plattformen zu investieren, die Identitäts-Governance (Rollenmanagement, hohe und niedrige Automatisierung, Zugriffs-Reviews) ohne zusätzliche Kosten pro Modul oder Feature mit Event-Audit- und Analysefunktionen integrieren. Eine einheitliche Lösung reduziert die operative Reibung und erleichtert den Sicherheitsbeamten schnelle Schlussfolgerungen über die Gesundheit der Identitätsumgebung.
Die Annahme solcher Lösungen hat auch einen kulturellen Vorteil: Sie zwingt Organisationen, Prozesse zu dokumentieren, zu standardisieren und Veränderungen zu ermöglichen und klare Workflows zu schaffen, um zu reagieren, wenn etwas als verdächtig angesehen wird. Es bietet auch Audits und Compliance-Kontrollen durch die Aufrechterhaltung einer Beratungsgeschichte, wer tat, was, wann und von wo.
Wenn Sie die Artikulation einer Identitäts-zentrierten Verteidigung vertiefen wollen, gibt es nützliche Ressourcen, die von der Industrie entwickelt werden, die helfen können, die Straßenkarte zu entwerfen: die Führer auf Multi-Faktor-Authentifizierung CISA, Artikel und Sicherheitstipps über Identität im Blog Microsoft Security, und TTPCs Analyse auf MITRE ATT & CK.
Wenn Sie auf der Suche nach einer praktischen Option sind, um Identitäts- und Event-Audit auf einer einzigen Plattform zu sammeln, gibt es Lieferanten, die benutzerdefinierte Demos und Touren anbieten, um zu zeigen, wie diese Konzepte in den täglichen Betrieb übersetzt werden. Der Schlüssel besteht darin, zu stoppen, zu reagieren und zu sehen, zu korrelieren und zu reagieren, bevor der Angreifer sein Ziel beendet.. Wenn Sie an einem Beispiel einer Plattform interessiert sind, die diese Fähigkeiten integriert, können Sie Tenfold konsultieren und eine benutzerdefinierte Demonstration auffordern 10fold.software.
Artikel gesponsert und von Tenfolk Software vorbereitet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...