Niemal przy każdej okazji, gdy omawiane są kwestie bezpieczeństwa, czynnik ludzki wymieniany jest na pierwszym miejscu jako najsłabsze ogniwo łańcucha. Wydawać by się mogło, że przez tak długi czas coś powinno się w tym temacie zmienić, ale niestety wciąż mamy ten sam problem. Zeszłoroczna edycja raportu opracowanego przez firmę Verizon Data Breach Investigations Report (DBIR) maluje obraz rzeczywistości, w której bezpieczeństwo cyfrowe to bezustanna bitwa z coraz bardziej wyrafinowanymi przeciwnikami. Statystyki z raportu pokazują, że ponad 80% ataków wykorzystywało dane skompromitowanych tożsamości pracowników, zarówno wewnętrznych, jak i zewnętrznych. Warto w tym miejscu zwrócić uwagę, że ataki, w których użyte były poświadczenia użytkowników, są wykrywane średnio po 243 dniach, a 84 zajmuje powstrzymanie ataku (Ponemon Institute, 2022). W tym kontekście podejście Identity Threat Detection and Response (ITDR) staje się nie tylko innowacyjną strategią obronną, ale koniecznością dla współczesnych systemów bezpieczeństwa IT. Wszak zdobycie tożsamości to pozyskanie kluczy do królestwa – do danych organizacji, danych, które można sprzedać, zaszyfrować, zniszczyć.
Access broker – czyli jak kupić dostęp
Interesującym i bardzo niepokojącym zjawiskiem jest możliwość kupienia nieautoryzowanego dostępu do sieci organizacji. Na czarnym rynku można skorzystać z usług „dostawców dostępu” (access brokers), którzy sprzedają dane skompromitowanych kont za pomocą których, w zależności od potrzeb kupującego, możemy zalogować się do sieci VPN, uzyskać dostęp do web shella serwera www lub podobnej prostej metody uzyskania wiersza poleceń w skompromitowanej sieci. Zauważmy, że korzystający z takiej usługi nie ma potrzeby angażowania sił i środków na przykład w kampanie phishingowe – może skoncentrować się na planowaniu kolejnych kroków ataku korzystając z „wykupionego dostępu”, niemal jakby korzystał z abonamentu na dostęp do naszej sieci. Dlatego też informacja o tym, że ktoś używa skompromitowanych danych logowania, może być przez długi czas niewykrywana – ponieważ atakującemu na tym nie zależy, dla niego istotne jest zdobycie wszystkich danych niezbędnych do sfinalizowania ataku, bez niepotrzebnego ujawniania swojej obecności zbyt ryzykownymi i łatwymi do wykrycia działaniami.
Czym zatem jest ITDR?
ITDR, czyli Identity Threat Detection and Response, to zestaw narzędzi i procedur, które pomagają w identyfikacji i reagowaniu na zagrożenia związane z tożsamościami użytkowników. ITDR jest odpowiedzią na wyzwanie, jakim jest ciągła ewolucja zagrożeń związanych z tożsamością. Podczas gdy tradycyjne narzędzia bezpieczeństwa skupiają się na ochronie przed atakami z zewnątrz, ITDR koncentruje się na detekcji, reagowaniu i neutralizacji zagrożeń wynikających z nieprawidłowego zarządzania tożsamością oraz uprawnieniami. Dzięki zastosowaniu sztucznej inteligencji i uczenia maszynowego, systemy ITDR mogą analizować wzorce zachowań użytkowników, identyfikować anomalie, a także podejmować natychmiastowe działania w celu zapobiegania naruszeniom bezpieczeństwa. Przykładem może być wykrycie logowania do sieci VPN z konta pracownika, który właśnie dziś lub może wczoraj został zwolniony.
Dlaczego ITDR?
Monitorowanie tożsamości w czasie rzeczywistym jest kluczowe, ponieważ właśnie ona stała się głównym celem ataków. Cyberprzestępcy używają coraz bardziej zaawansowanych technik, takich jak phishing, spear phishing czy ataki typu pass-the-hash, aby przejąć tożsamości użytkowników i uzyskać dostęp do zasobów firmowych. Mamy też opisane wcześniej zjawisko „access brokerów”, które daje niski próg wejścia dla stawiających pierwsze kroki w świecie cyberprzestępczości. Gdy zdobędą już oni dostęp do systemu, mogą wykorzystać luki w zarządzaniu tożsamością, aby eskalować swoje uprawnienia i dostać się do najbardziej chronionych zasobów. Przykładem skuteczności ITDR w praktyce może być szybkie wykrycie podejrzanych działań na koncie użytkownika, sugerujących, że doszło do przejęcia tożsamości. Albo dużo prostsze i wciąż wykorzystywane błędy w zarządzaniu tożsamością, takie jak niewyłączanie kont pracowników zwolnionych czy kont kontraktorów lub dostawców, którzy zakończyli projekty w naszej organizacji. System ITDR, używając algorytmów do analizy zachowań, może zauważyć niestandardowe próby dostępu do danych lub nietypowy ruch sieciowy, co umożliwia natychmiastowe powiadomienie zespołów bezpieczeństwa i podjęcie niezbędnych kroków, takich jak zmiana hasła czy blokada konta.
Czy ITDR to jedno narzędzie?
ITDR nie może jednak działać w próżni. Integracja z systemami IAM, IGA i PAM jest niezbędna, aby zapewnić holistyczne podejście do bezpieczeństwa tożsamości. Na przykład system ITDR może wykorzystywać dane z IAM do oceny ryzyka związanego z danymi użytkownikami lub ich działaniami, podczas gdy integracja z PAM może pomóc w szybkim reagowaniu na zagrożenia związane z kontami o wysokich uprawnieniach. W cyfrowym świecie, gdzie tożsamość użytkownika jest często jedynym zabezpieczeniem pomiędzy wrażliwymi danymi a potencjalnymi intruzami, systemy zarządzania tożsamością i dostępem, takie jak Identity and Access Management (IAM), Identity Governance and Administration (IGA) oraz Privileged Access Management (PAM), są fundamentem bezpieczeństwa IT. IAM odpowiada za zarządzanie dostępem użytkowników do systemów IT, IGA pomaga w definiowaniu i zarządzaniu rolami oraz dostępem, a PAM chroni uprzywilejowane konta, które posiadają rozszerzone uprawnienia. Wszystkie te systemy składają się na złożoną strukturę, która ma na celu nie tylko zezwolenie na działalność użytkowników w obrębie sieci firmowej, ale i jej monitorowanie. W kontekście architektury bezpieczeństwa organizacji nie możemy również zapomnieć o strategii Zero Trust, której założenia powinny być wkomponowane w całość polityki bezpieczeństwa firmy.
Współczesne przedsiębiorstwa, będąc świadomymi roli, jaką odgrywa tożsamość w strukturze bezpieczeństwa IT, muszą przyjąć proaktywne podejście do jej ochrony. ITDR nie jest tylko kolejnym narzędziem w arsenale bezpieczeństwa – to podstawowa zmiana w sposobie, w jaki organizacje identyfikują i reagują na cyfrowe zagrożenia. Wyłącznie przez ciągłe monitorowanie, analizę i adekwatną reakcję na zagrożenia związane z tożsamością firmy mogą skutecznie bronić się przed coraz bardziej złożonymi atakami, zapewniając ochronę swoich danych i zasobów.
W konkluzji, w dobie cyfrowej transformacji, gdzie tożsamość stała się nową granicą bezpieczeństwa, Identity Threat Detection and Response (ITDR) wyznacza standardy w strategiach obronnych przed cyberzagrożeniami. Organizacje, które zintegrują ITDR ze swoimi systemami IAM, IGA i PAM, będą lepiej przygotowane na wyzwania, jakie niesie ze sobą nowoczesny krajobraz zagrożeń, zapewniając sobie i swoim klientom niezbędną cyfrową odporność. Jeżeli jesteś zainteresowany wiedzą praktyczną, to zapraszamy do kontaktu z firmą ProLimes.