Kimlik güvenliğinin çağı. Yönlendirilmiş fidye yazılımı saldırılarının patlaması, CISO’ların ve güvenlik ekiplerinin kimlik korumasının uç noktalarından ve ağlarından 20 yıl geride kaldığını fark etmelerini sağladı. Bu farkındalık, esas olarak, yalnızca APT ve en üst düzey siber suç gruplarında bulunan güzel sanatlardan, hemen hemen her fidye yazılımı saldırısında kullanılan bir emtia becerisine doğru yatay hareketin dönüşümünden kaynaklanmaktadır. Yatay hareket, kötü amaçlı erişim için tehlikeye atılmış kimlik bilgilerini kullanır; mevcut XDR, ağ ve SIEM çözümlerinin engelleyemediği kritik bir kör nokta.
Kimlik Tehdit Algılama ve Yanıtlama (ITDR), bu açığı kapatmak için son birkaç yılda ortaya çıktı. Bu makale, en iyi beş ITDR yeteneğini açıklıyor ve ITDR satıcınıza sormanız gereken temel soruları sağlıyor. Bu sorulara yalnızca kesin bir ‘EVET’ cevabı, değerlendirdiğiniz çözümün kimlik güvenliği vaadini gerçekten yerine getirebileceğinden emin olmanızı sağlayabilir.
Tüm Kullanıcılar, Kaynaklar ve Erişim Yöntemleri İçin Kapsam
Neden önemlidir?
Kısmi koruma, hiç koruma olmaması kadar iyidir. Eğer oyunun adı kimlikse, o zaman ITDR koruması tüm kullanıcı hesapları, şirket içi ve bulut kaynakları ve daha da önemlisi tüm erişim yöntemlerini kapsamalıdır.
Hangi soruları sormalıyız:
- ITDR, Active Directory (AD) hizmet hesapları gibi insan olmayan kimlikleri de kapsıyor mu?
- ITDR, şirket içi kaynaklar, bulut iş yükleri ve SaaS uygulamaları genelinde kullanıcıların tam kimlik doğrulama izini analiz edebilir mi?
- ITDR, PsExec veya PowerShell gibi komut satırı erişim araçları üzerinden kötü amaçlı erişimi tespit eder mi?
Gerçek Zamanlı (Veya Olabildiğince Yakın)
Neden önemlidir?
Tehdit algılama hızı önemlidir. Birçok durumda, bir tehdidi erken bir aşamada tespit edip azaltmak ile tam boyutlu aktif bir ihlali araştırmak arasındaki fark olabilir. Bunu sağlamak için, ITDR kimlik doğrulamaları ve erişim girişimleri üzerindeki analizini mümkün olduğunca gerçekleşmelerine yakın bir zamanda uygulamalıdır.
Hangi soruları sormalıyız:
- ITDR çözümü, kimlik doğrulamaları gerçekleştiği anda analiz etmek için doğrudan şirket içi ve bulut Kimlik Sağlayıcılarıyla entegre oluyor mu?
- ITDR, hesap yapılandırmasındaki değişiklikleri (örneğin OU, izinler, ilişkili SPN, vb.) tespit etmek için IDP’ye sorgu gönderiyor mu?
Çok Boyutlu Anomali Tespiti
Neden önemlidir?
Hiçbir tespit yöntemi yanlış pozitiflere karşı bağışık değildir. Doğruluğu artırmanın en iyi yolu, birden fazla farklı anomali türünü aramaktır. Her biri kendi başına meşru kullanıcı etkinliği sırasında meydana gelebilirken, birkaçının karşılıklı olarak meydana gelmesi gerçek bir saldırının tespit edilme olasılığını artıracaktır.
Hangi soruları sormalıyız:
- ITDR çözümü kimlik doğrulama protokolündeki anormallikleri (örneğin, karma kullanımı, bilet yerleştirme, daha zayıf şifreleme, vb.) tespit edebilir mi?
- ITDR çözümü, daha önce hiç erişilmemiş kaynaklara erişimi tespit etmek için kullanıcıların standart davranışlarını mı profilliyor?
- ITDR çözümü, yatay hareketle ilişkili erişim modellerini (örneğin, kısa bir süre içerisinde birden fazla hedefe erişim, A makinesinden B makinesine ve ardından B’den C’ye hareket etme vb.) analiz ediyor mu?
Şirket içi ve bulut ortamlarınızın kimlik saldırı yüzeyini güvence altına almak için bir ITDR çözümüne mi ihtiyacınız var? Silverfort ITDR’nin nasıl çalıştığını öğrenin Ve özel ihtiyaçlarınızı nasıl karşılayabileceğimizi görmek için bir demo talep edin.
MFA ve Erişim Bloğu ile Zincir Algılama
Neden önemlidir?
Tehditlerin doğru bir şekilde tespiti, yarışın sonu değil, başlangıç noktasıdır. Yukarıda belirttiğimiz gibi, zaman ve doğruluk, etkili korumanın anahtarıdır. Kötü amaçlı bir işlemi sonlandıran bir EDR veya kötü amaçlı trafiği engelleyen bir SSE gibi, kötü amaçlı erişim girişimlerinin otomatik olarak engellenmesini tetikleme yeteneği zorunludur. ITDR bunu kendisi yapamasa da, bu hedefe ulaşmak için diğer kimlik güvenliği kontrolleriyle iletişim kurabilmelidir.
Hangi soruları sormalıyız:
- ITDR, şüpheli erişimin tespitini, bir MFA çözümünden kademeli doğrulamayı tetikleyerek takip edebilir mi?
- ITDR, şüpheli erişimin tespit edilmesi durumunda Kimlik Sağlayıcıya erişimi tamamen engellemesi talimatını vererek takip edebilir mi?
XDR, SIEM ve SOAR ile entegre edin
Neden önemlidir?
Tehdit koruması, birden fazla ürünün ortak çalışmasıyla elde edilir. Bu ürünler kötü amaçlı etkinliğin belirli bir yönüne odaklanabilir, sinyalleri tutarlı bir bağlamsal görünüme toplayabilir veya bir yanıt oyun kitabını düzenleyebilir. Yukarıda listelediğimiz yeteneklerin yanı sıra, ITDR ayrıca mümkün olduğunca otomatik bir şekilde, halihazırda mevcut olan güvenlik yığınıyla sorunsuz bir şekilde entegre olmalıdır.
Hangi soruları sormalıyız:
- ITDR çözümü, XDR kullanıcı risk sinyallerini gönderebilir ve süreçler ve makineler üzerindeki risk sinyallerini içe aktarabilir mi?
- ITDR, güvenlik bulgularını yerinde SIEM ile paylaşıyor mu?
- ITDR’nin kötü niyetli kullanıcı erişimini tespit etmesi, kullanıcı ve oturum açtığı kaynaklar üzerinde SOAR oyun kitabını tetikleyebilir mi?
Gümüşfort ITDR
Silverfort’un ITDR’si, diğer yeteneklerin yanı sıra MFA, ayrıcalıklı erişim güvenliği, hizmet hesabı koruması ve kimlik doğrulama güvenlik duvarlarını içeren konsolide bir kimlik güvenliği platformunun parçasıdır. AD, Entra ID, Okta, ADFS ve Ping Federate ile yerel entegrasyon üzerine kurulu Silverfort ITDR, hibrit ortamdaki her kimlik doğrulama ve erişim girişimini analiz eder ve kötü niyetli kullanıcı etkinliğini tespit etmek ve gerçek zamanlı kimlik güvenliği kontrollerini tetiklemek için birden fazla, kesişen risk analizi yöntemi uygular.
Silverfort ITDR hakkında daha fazla bilgi edinmek için buraya tıklayın veya uzmanlarımızdan biriyle bir demo planlayın.