حماية حقيقية أم وعد كاذب؟ الدليل النهائي لقائمة ITDR المختصرة

10 يوليو 2024أخبار الهاكرأمان نقطة النهاية / أمان الهوية

إنه عصر أمن الهوية. لقد أدى انفجار هجمات برامج الفدية المدفوعة إلى جعل مسؤولي أمن المعلومات وفرق الأمن يدركون أن حماية الهوية تتخلف 20 عامًا عن نقاط النهاية والشبكات الخاصة بهم. ويرجع هذا الإدراك أساسًا إلى تحول الحركة الجانبية من الفنون الجميلة، الموجودة في التهديدات المستمرة المستمرة (APT) ومجموعات الجرائم الإلكترونية الكبرى فقط، إلى مهارة سلعية تُستخدم في كل هجوم من هجمات برامج الفدية تقريبًا. تستخدم الحركة الجانبية بيانات اعتماد مخترقة للوصول الضار – وهي نقطة عمياء حرجة تفشل حلول XDR والشبكة وSIEM الحالية في حظرها.

الكشف عن تهديدات الهوية والاستجابة لها (ITDR) وقد ظهرت في العامين الماضيين لسد هذه الفجوة. تشرح هذه المقالة أفضل خمس إمكانيات لـ ITDR وتقدم الأسئلة الأساسية التي يجب طرحها على بائع ITDR الخاص بك. فقط الإجابة بـ “نعم” على هذه الأسئلة يمكن أن تضمن أن الحل الذي تقيمه يمكنه بالفعل تحقيق وعده بأمن الهوية.

التغطية لجميع المستخدمين والموارد وطرق الوصول

لماذا هو مهم؟

الحماية الجزئية جيدة مثل عدم وجود حماية على الإطلاق. إذا كانت الهوية هي اسم اللعبة، فإن يجب أن تتراوح حماية ITDR عبر جميع حسابات المستخدمينوالموارد المحلية والسحابية، وليس أقل أهمية – جميع طرق الوصول.

ما هي الأسئلة التي يجب طرحها:

1. هل يغطي ITDR أيضًا الهويات غير البشرية، مثل حسابات خدمة Active Directory (AD)؟

1. هل يستطيع ITDR تحليل مسار المصادقة الكامل للمستخدمين، عبر الموارد المحلية وأحمال العمل السحابية وتطبيقات SaaS؟

1. هل يكتشف ITDR الوصول الضار عبر أدوات الوصول إلى سطر الأوامر مثل PsExec أو PowerShell؟

في الوقت الفعلي (أو في أقرب وقت ممكن)

لماذا هو مهم؟

سرعة الكشف عن التهديدات أمر مهم. وفي كثير من الحالات، يمكن أن يكون هذا هو الفرق بين اكتشاف التهديد والتخفيف منه في مرحلة مبكرة أو التحقيق في انتهاك نشط كامل الحجم. ولتحقيق ذلك، ينبغي لـ ITDR أن يطبق تحليله على عمليات المصادقة ومحاولات الوصول في أقرب وقت ممكن من حدوثها.

ما هي الأسئلة التي يجب طرحها:

1. هل يتكامل حل ITDR مباشرة مع موفري الهوية المحليين والسحابيين لتحليل عمليات المصادقة فور حدوثها؟

1. هل يقوم ITDR بالاستعلام عن IDP لاكتشاف التغييرات في تكوين الحساب (على سبيل المثال، الوحدة التنظيمية، والأذونات، وSPN المرتبط، وما إلى ذلك)؟

كشف الشذوذ متعدد الأبعاد

لماذا هو مهم؟

لا توجد طريقة كشف محصنة ضد الإيجابيات الكاذبة. أفضل طريقة لزيادة الدقة هي البحث عن أنواع مختلفة ومتعددة من الحالات الشاذة. في حين أن كل منها قد يحدث بمفرده أثناء نشاط المستخدم المشروع، فإن حدوث العديد منها بشكل متبادل من شأنه أن يزيد من احتمالية اكتشاف هجوم فعلي.

ما هي الأسئلة التي يجب طرحها:

1. هل يستطيع حل ITDR اكتشاف الحالات الشاذة في بروتوكول المصادقة (على سبيل المثال، استخدام التجزئة، ووضع التذاكر، والتشفير الأضعف، وما إلى ذلك)؟

1. هل يوضح حل ITDR السلوك القياسي للمستخدمين لاكتشاف الوصول إلى الموارد التي لم يتم الوصول إليها من قبل؟

1. هل يقوم حل ITDR بتحليل أنماط الوصول المرتبطة مع الحركة الجانبية (على سبيل المثال، الوصول إلى وجهات متعددة في فترة زمنية قصيرة، والانتقال من الجهاز A إلى الجهاز B ومن ثم من B إلى C، وما إلى ذلك)؟

هل تحتاج إلى حل ITDR لتأمين سطح هجوم الهوية الخاص ببيئاتك المحلية والسحابية؟ تعرف على كيفية عمل Silverfort ITDR و اطلب عرضًا توضيحيًا لمعرفة كيف يمكننا تلبية احتياجاتك الخاصة.

كشف السلسلة باستخدام MFA وكتلة الوصول

لماذا هو مهم؟

إن الكشف الدقيق عن التهديدات هو نقطة البداية، وليس نهاية السباق. كما ذكرنا أعلاه، الوقت والدقة هما مفتاح الحماية الفعالة. تمامًا مثل EDR الذي ينهي عملية ضارة، أو SSE الذي يحظر حركة المرور الضارة، تعد القدرة على تشغيل الحظر التلقائي لمحاولات الوصول الضارة أمرًا ضروريًا. وفي حين أن ITDR نفسها لا تستطيع القيام بذلك، إلا أنها يجب أن تكون قادرة على التواصل مع ضوابط أمن الهوية الأخرى لتحقيق هذا الهدف.

ما هي الأسئلة التي يجب طرحها:

1. هل يمكن لـ ITDR متابعة اكتشاف الوصول المشبوه عن طريق تشغيل عملية تحقق تصاعدية من حل MFA؟

1. هل يمكن لـ ITDR متابعة اكتشاف الوصول المشبوه عن طريق توجيه موفر الهوية بحظر الوصول تمامًا؟

التكامل مع XDR وSIEM وSOAR

لماذا هو مهم؟

يتم تحقيق الحماية من التهديدات من خلال التشغيل الموحد لمنتجات متعددة. قد تتخصص هذه المنتجات في جانب معين من الأنشطة الضارة، أو تجميع الإشارات في عرض سياقي متماسك، أو تنسيق قواعد الاستجابة. علاوة على الإمكانات التي ذكرناها أعلاه، يجب أن يتكامل ITDR أيضًا بسلاسة مع حزمة الأمان الموجودة بالفعل، ويفضل أن يكون ذلك بطريقة آلية قدر الإمكان.

ما هي الأسئلة التي يجب طرحها:

1. هل يستطيع حل ITDR إرسال إشارات المخاطر لمستخدم XDR واستيراد إشارات المخاطر على العمليات والآلات؟

1. هل يقوم ITDR بمشاركة نتائجه الأمنية مع SIEM؟

1. هل يمكن أن يؤدي اكتشاف ITDR لوصول مستخدم ضار إلى تشغيل قواعد تشغيل SOAR على المستخدم والموارد التي تم تسجيل الدخول إليها؟

سيلفرفورت ITDR

يعد ITDR الخاص بشركة Silverfort جزءًا من منصة أمان الهوية الموحدة التي تتضمن، من بين إمكانيات أخرى، MFA، وأمن الوصول المميز، وحماية حساب الخدمة، وجدران حماية المصادقة. بناءً على التكامل الأصلي مع AD وEntra ID وOkta وADFS وPing Federate، يقوم Silverfort ITDR بتحليل كل محاولة مصادقة ووصول في البيئة المختلطة ويطبق طرق تحليل مخاطر متعددة ومتقاطعة للكشف عن نشاط المستخدم الضار وتفعيل أمان الهوية في الوقت الفعلي ضوابط.

تعلم المزيد عن سيلفرفورت ITDR هنا أو جدولة أ تجريبي مع أحد خبرائنا.