Hướng dẫn giải pháp ứng phó và phát hiện mối đe dọa danh tính

Tác giả ChatGPT, T.Tám 16, 2024, 08:13:32 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

1. Sự xuất hiện của tính năng phát hiện và ứng phó mối đe dọa danh tính

Phát hiện và ứng phó mối đe dọa danh tính (ITDR) đã nổi lên như một thành phần quan trọng để phát hiện và ứng phó hiệu quả với các cuộc tấn công dựa trên danh tính. Các tác nhân đe dọa đã thể hiện khả năng xâm phạm cơ sở hạ tầng nhận dạng và di chuyển sang các môi trường IaaS, Saas, PaaS và CI/CD. Các giải pháp Phản hồi và Phát hiện mối đe dọa danh tính giúp các tổ chức phát hiện tốt hơn hoạt động đáng ngờ hoặc độc hại trong môi trường của họ. Giải pháp ITDR cung cấp cho các nhóm bảo mật khả năng giúp các nhóm trả lời câu hỏi "Điều gì đang xảy ra trong môi trường của tôi - danh tính của tôi đang làm gì trong môi trường của tôi".

2. Danh tính con người và phi nhân loại

Như đã nêu trong Hướng dẫn giải pháp ITDR, các giải pháp ITDR toàn diện bao gồm cả danh tính con người và phi nhân loại. Bản sắc con người đòi hỏi lực lượng lao động (nhân viên), khách hàng (nhà thầu) và nhà cung cấp. Danh tính không phải của con người bao gồm mã thông báo, khóa, tài khoản dịch vụ và bot. Các giải pháp ITDR đa môi trường có thể phát hiện và ứng phó với mọi rủi ro về thực thể nhận dạng, chẳng hạn như từ lớp IdP đến lớp IaaS và SaaS, trái ngược với việc bảo mật danh tính ở cấp độ cụ thể của lớp bị phân mảnh.

3. Khả năng ITDR cốt lõi


Các khả năng thiết yếu của giải pháp ITDR bao gồm:

  • Phát triển hồ sơ nhận dạng chung cho tất cả các thực thể, bao gồm danh tính con người và phi con người, hoạt động trên các lớp dịch vụ đám mây cũng như các ứng dụng và dịch vụ tại chỗ.
  • Ghép nối phân tích tĩnh, quản lý trạng thái và cấu hình các danh tính đó với hoạt động thời gian chạy của các danh tính đó trong môi trường.
  • Giám sát và theo dõi các đường truy cập trực tiếp và gián tiếp cũng như giám sát hoạt động của tất cả các danh tính trên toàn môi trường.
  • Phối hợp theo dõi và phát hiện danh tính trên nhiều môi trường trải rộng trên các nhà cung cấp danh tính, ứng dụng IaaS, PaaS, SaaS và CI/CD để theo dõi danh tính ở bất cứ nơi nào họ đến trong môi trường.
  • Khả năng phát hiện và ứng phó với độ chính xác cao trong nhiều môi trường cho phép các tổ chức thực hiện hành động đối với các mối đe dọa danh tính khi chúng biểu hiện trên toàn bộ bề mặt tấn công, thay vì phản ứng với các cảnh báo nguyên tử, khối lượng lớn dựa trên các sự kiện đơn lẻ.

4. Các trường hợp sử dụng mối đe dọa danh tính

Để bảo vệ hiệu quả trước các cuộc tấn công danh tính, các tổ chức phải chọn giải pháp ITDR có khả năng nâng cao để phát hiện và giảm thiểu các cuộc tấn công. Những khả năng này sẽ giải quyết được nhiều trường hợp sử dụng cho cả danh tính con người và phi nhân loại, bao gồm nhưng không giới hạn ở:

  • Phát hiện chiếm đoạt tài khoản: Phát hiện bất kỳ biến thể nào trong số rất nhiều biến thể cho thấy danh tính đã bị xâm phạm.
  • Phát hiện xâm phạm thông tin xác thực : Xác định và cảnh báo về việc sử dụng thông tin xác thực bị đánh cắp hoặc bị xâm phạm trong môi trường.
  • Phát hiện nâng cao đặc quyền : Phát hiện các nỗ lực trái phép nhằm nâng cao đặc quyền trong các hệ thống và ứng dụng.
  • Phát hiện hành vi bất thường : Theo dõi những sai lệch so với hành vi bình thường của người dùng có thể cho thấy hoạt động độc hại.
  • Phát hiện mối đe dọa từ nội bộ : Xác định và phản hồi các hành động độc hại hoặc cẩu thả của người dùng nội bộ.

5. Những câu hỏi mà Giải pháp ITDR hiệu quả nên trả lời

5.1. Quản lý nhận dạng và truy cập

Những danh tính thực thể nào hiện diện trong môi trường của chúng ta?

  • Kiểm kê toàn diện về danh tính con người và phi nhân loại trên tất cả các môi trường.

Những danh tính này có vai trò và quyền gì?

  • Thông tin chi tiết về vai trò, nhóm và quyền cụ thể mà mỗi danh tính có trên các môi trường đám mây và tại chỗ khác nhau.

Vai trò/nhóm nào đã cấp cho một người dùng cụ thể quyền truy cập vào tài nguyên? Phạm vi cấp phép cho quyền truy cập đó là gì?

  • Thông tin cụ thể về vai trò/nhóm và quyền cấp quyền truy cập vào tài nguyên.

5.2. Đánh giá rủi ro và phát hiện bất thường

10 danh tính rủi ro nhất trên lớp dịch vụ đám mây của tôi là gì? Bán kính vụ nổ sẽ là bao nhiêu nếu một trong những danh tính đó bị xâm phạm?

  • Xác định danh tính có nguy cơ cao nhất và đánh giá tác động tiềm ẩn của sự xâm phạm của họ.

Có bất kỳ sự bất thường nào trong hành vi nhận dạng không?

  • Phát hiện những sai lệch so với các mẫu hành vi thông thường cho từng danh tính, làm nổi bật hoạt động độc hại tiềm ẩn.

Có thông tin đăng nhập nào bị xâm phạm không?

  • Cảnh báo về việc sử dụng thông tin đăng nhập bị đánh cắp hoặc bị xâm phạm trong môi trường.

5.3. Mẫu xác thực và truy cập

Danh tính được xác thực và truy cập như thế nào?

  • Theo dõi các phương thức xác thực và đường dẫn truy cập cho tất cả danh tính, bao gồm các điểm truy cập được liên kết và không liên kết.

Nguồn và vị trí của các lần đăng nhập là gì?

  • Nhật ký chi tiết về các lần đăng nhập, bao gồm địa chỉ IP, vị trí địa lý và thông tin thiết bị.

Môi trường hiện tại của tôi đang được các loại thực thể khác nhau (con người và không phải con người) truy cập như thế nào?

  • Giám sát các mẫu truy cập cho các loại thực thể khác nhau trong môi trường.

MFA được thực thi rộng rãi như thế nào trên các lớp ứng dụng và dịch vụ đám mây trong môi trường của tôi?

  • Đánh giá việc triển khai và thực thi Xác thực đa yếu tố (MFA) trên toàn môi trường.

5.4. Giám sát hoạt động và theo dõi thay đổi

Những thay đổi nào vừa được thực hiện trong môi trường của tôi, ai chịu trách nhiệm về những thay đổi đó và những thay đổi tương tự có được thực hiện trong các lớp dịch vụ đám mây khác không?

  • Theo dõi và báo cáo những thay đổi gần đây, người dùng có trách nhiệm và tính nhất quán giữa các lớp.

Danh tính nào đã truy cập dữ liệu nhạy cảm hoặc hệ thống quan trọng?

  • Giám sát và báo cáo về quyền truy cập danh tính vào kho dữ liệu nhạy cảm, hệ thống quan trọng và ứng dụng có rủi ro cao.

5.5. Mối quan hệ sự cố và phản ứng

Các sự cố liên quan đến danh tính có mối tương quan như thế nào giữa các môi trường khác nhau?

  • Mối tương quan giữa các hoạt động nhận dạng và sự cố trên các môi trường IdP, IaaS, PaaS, SaaS, CI/CD và tại chỗ để cung cấp một cái nhìn thống nhất.

Những hành động nào cần được thực hiện để giảm thiểu các mối đe dọa đã xác định?

  • Các đề xuất có thể thực hiện được và các tùy chọn phản hồi tự động để giảm thiểu các mối đe dọa danh tính được phát hiện và ngăn chặn các sự cố trong tương lai.