De frequentie van ransomware-aanvallen is de afgelopen jaren verdubbeld en vertegenwoordigt nu 10% van alle inbreuken. Volgens het 2022 Verizon Data Breach Investigation Report is het 'menselijke element' de belangrijkste manier om toegang te krijgen in 82% van de inbreuken, waarbij social engineering en gestolen inloggegevens de belangrijkste bedreiging vormen TTPs. Aanvallers proberen voortdurend toegang te krijgen tot geldige inloggegevens en deze te gebruiken om onopgemerkt door bedrijfsnetwerken te bewegen. Deze uitdagingen zorgen ervoor dat CISO's identiteitsbeveiliging bovenaan hun prioriteitenlijst zetten.
Traditionele identiteitsoplossingen laten nog steeds ruimte voor aanvallen
Traditionele identiteitsbeveiligingsoplossingen die bovenaan de lijst staan, zijn onder meer identiteits- en toegangsbeheer (IAM), beheer van geprivilegieerde toegang (PAM) en identiteitsbeheer en -administratie (IGA). Deze tools zorgen ervoor dat de juiste gebruikers de juiste toegang hebben en maken gebruik van continue verificatie, de leidende principes van het zero-trust-beveiligingsmodel.
Identiteits- en toegangsbeheer, dat zich uitsluitend richt op het verstrekken, verbinden en controleren van identiteitstoegang, is echter slechts het beginpunt van identiteitsbeveiliging. De dekking moet verder gaan dan de initiële authenticatie en toegangscontrole en zich uitstrekken tot andere identiteitsaspecten, zoals inloggegevens, privileges, rechten en de systemen die deze beheren, van zichtbaarheid tot blootstelling tot detectie van aanvallen.
Vanuit het perspectief van aanvalsvectoren is Active Directory (AD) een voor de hand liggende troef. AD is de plek waar identiteit en de belangrijkste elementen daarvan van nature voorkomen. Daarom staat het in het vizier van aanvallers en een belangrijk veiligheidsrisico. Bovendien, naarmate cloudmigratie in hoog tempo voortgaat, ontstaan er extra beveiligingsuitdagingen naarmate IT-teams snel overgaan tot provisioning in hun omgevingen.
Wanneer AD-kwetsbaarheden worden gecombineerd met de neiging tot verkeerde configuratie van de cloud, wordt de behoefte aan een extra beschermingslaag naast provisioning en toegangsbeheer veel duidelijker.
Identiteitsbeveiliging met een nieuwe twist
Moderne, innovatieve identiteitsbeveiligingsoplossingen bieden essentiële inzicht in de inloggegevens die zijn opgeslagen op eindpunten, verkeerde configuraties van Active Directory (AD) en de wildgroei aan cloudrechten. Identity Attack Surface Management (ID ASM) en Identity Threat Detection and Response (ITDR) zijn nieuwe beveiligingscategorieën die zijn ontworpen om identiteiten en de systemen die deze beheren te beschermen.
Deze oplossingen vormen een aanvulling op en werken samen met Endpoint Detection and Response (EDR), Extended Detection and Response (XDR), Network Detection and Response (NDR) en andere soortgelijke oplossingen.
ID ASM streeft ernaar het aanvalsoppervlak van identiteiten te verkleinen om de blootstelling die aanvallers kunnen misbruiken te beperken. Hoe minder blootstellingen, hoe kleiner het identiteitsaanvalsoppervlak. Voor de meeste ondernemingen betekent dit Active Directory, zowel on-premises als in Azure.
Terwijl EDR een robuuste oplossing is die zoekt naar aanvallen op eindpunten en gegevens verzamelt voor analyse, zoeken ITDR-oplossingen naar aanvallen die gericht zijn op identiteiten. Zodra een ITDR-oplossing een aanval detecteert, voegt deze een extra verdedigingslaag toe door valse gegevens te verstrekken die de aanvaller omleiden naar een authentiek ogende afleiding en automatisch het gecompromitteerde systeem dat de query uitvoert, isoleert.
ITDR-oplossingen bieden ook hulp bij incidentrespons door forensische gegevens te verzamelen en telemetrie te verzamelen over de processen die tijdens de aanval zijn gebruikt. Het complementaire karakter van EDR en ITDR past perfect bij elkaar om een gemeenschappelijk doel te bereiken: de pogingen van een aanvaller dwarsbomen.
ID ASM- en ITDR-oplossingen detecteren misbruik van inloggegevens, escalatie van privileges en andere tactieken die aanvallers binnen het netwerk gebruiken of toepassen. Ze dichten kritieke hiaten tussen identiteits- en toegangsbeheer en endpointbeveiligingsoplossingen, waardoor cybercriminelen worden tegengehouden in hun pogingen om misbruik te maken van kwetsbare inloggegevens om onopgemerkt door netwerken te bewegen.
Identity Threat Security Solutions
SentinelOne heeft zijn ruime ervaring op het gebied van privilege-escalatie en detectie van laterale bewegingen benut en biedt een best-of-breed-oplossing op het gebied van identiteitsdreigingsdetectie en -respons en ID ASM. Het bedrijf heeft zijn leidende positie veiliggesteld op basis van zijn brede portfolio van ITDR- en ID ASM-oplossingen.
Identiteitsbeveiligingsproducten:
- Singularity Identity Posture Management voor continue beoordeling van Active Directory-blootstellingen en activiteiten die op een aanval zouden kunnen duiden
- Singularity Identity Threat Detection and Response (ITDR) voor detectie van ongeoorloofde activiteiten en aanvallen op Active Directory, bescherming tegen diefstal van inloggegevens en misbruik, preventie van misbruik van Active Directory, zichtbaarheid van aanvalspaden, vermindering van het aanvalsoppervlak en detectie van laterale bewegingen
Singulariteit™ Identiteit
Detecteer en reageer in realtime op aanvallen met holistische oplossingen voor Active Directory en Entra ID.
Vraag een demo aanHet is tijd voor een nieuwe benadering van identiteitsbeveiliging
Nu identiteitsgerichte aanvallen steeds vaker voorkomen, moeten bedrijven tegenwoordig in staat zijn om te detecteren wanneer aanvallers bedrijfsidentiteiten misbruiken, stelen of er misbruik van maken. Deze behoefte is vooral groot nu organisaties in hoog tempo overstappen op de publieke cloud en zowel menselijke als niet-menselijke identiteiten exponentieel blijven toenemen.
Gezien de neiging van aanvallers om inloggegevens te misbruiken, Active Directory (AD) te gebruiken en identiteiten via cloudrechten aan te vallen, is het van cruciaal belang om identiteitsgerelateerde activiteiten te detecteren met moderne ID ASM- en ITDR-oplossingen.
Lees meer over SentinelOne's Singularity Identity Posture Management en Singularity Identity-oplossingen.
Veelgestelde vragen over identiteitsgerelateerde aanvallen
Identiteitsaanvallen zijn informatiebeveiligingsincidenten waarbij een aanvaller probeert illegaal toegang te krijgen tot systemen door zich te richten op gebruikersgegevens zoals gebruikersnamen, wachtwoorden of authenticatietokens. Aanvallers zijn geïnteresseerd in het stelen, manipuleren of misbruiken van identiteitsgerelateerde gegevens in plaats van technische kwetsbaarheidsaanvallen.
Dit zijn aanvallen waarbij gebruik wordt gemaakt van kwetsbaarheden in identiteits- en toegangsbeheer om zich voor te doen als legitieme gebruikers of om zich voortdurend lateraal in netwerken te bewegen. Aanvallers omzeilen gemakkelijk traditionele beveiliging zodra ze legitieme inloggegevens hebben verkregen, omdat ze zich voordoen als legitieme gebruikers, waardoor ze vrijwel onmogelijk te detecteren zijn.
Veelvoorkomende voorbeelden zijn phishing-e-mails die gebruikers misleiden om hun inloggegevens prijs te geven, credential stuffing-aanvallen waarbij gestolen wachtwoorden op meerdere sites worden gebruikt, en password spraying-aanvallen waarbij veelgebruikte wachtwoorden op veel accounts worden geprobeerd. Social engineering-technieken manipuleren werknemers om vertrouwelijke informatie prijs te geven, terwijl man-in-the-middle-aanvallen communicatie onderscheppen om gegevens te stelen.
Brute force-aanvallen gebruiken geautomatiseerde tools om wachtwoorden te raden, en golden ticket-aanvallen maken gebruik van zwakke plekken in Active Directory om toegang te krijgen tot het domein.
Identiteitsgebaseerde benaderingen richten zich op 'wie u wilt worden', terwijl resultaatgebaseerde benaderingen zich richten op 'wat u wilt bereiken'. In beveiligingscontext richten identiteitsgebaseerde aanvallen zich op de digitale identiteit en inloggegevens van een persoon om ongeoorloofde toegang te verkrijgen, terwijl resultaatgerichte aanvallen zich richten op het bereiken van specifieke resultaten, zoals gegevensdiefstal of systeemverstoring.
Identiteitsgebaseerde methoden zorgen voor blijvende gedragsveranderingen omdat ze aansluiten bij de persoonlijke identiteit, terwijl resultaatgerichte methoden hun effectiviteit kunnen verliezen zodra het doel is bereikt. Organisaties hebben beide benaderingen nodig: identiteitsgerichte beveiligingsmaatregelen en resultaatgerichte procedures voor incidentrespons.
U kunt deze aanvallen voorkomen door multi-factor authenticatie te implementeren, waarbij naast wachtwoorden aanvullende verificatie vereist is. Een sterk wachtwoordbeleid met wachtzinnen in plaats van complexe wachtwoorden maakt systemen moeilijker te kraken. Door medewerkers te trainen, kunnen zij phishingpogingen en social engineering-tactieken herkennen voordat ze er het slachtoffer van worden.
Regelmatige beveiligingsaudits brengen kwetsbaarheden aan het licht, terwijl single sign-on-oplossingen het aantal inloggegevens verminderen waarop aanvallers zich kunnen richten. Controleer het gedrag van gebruikers op ongebruikelijke activiteiten en implementeer zero-trust-beveiligingsmodellen die elke toegangsaanvraag verifiëren.
Belangrijke soorten identiteitsaanvallen zijn onder meer credential stuffing, waarbij gestolen inloggegevens op meerdere sites worden gebruikt, password spraying, waarbij veelvoorkomende wachtwoorden worden gebruikt voor veel accounts, en phishing-e-mails die zijn ontworpen om inloggegevens te stelen. Social engineering manipuleert slachtoffers om informatie prijs te geven, terwijl brute force-aanvallen wachtwoorden raden met behulp van automatiseringstools.
Man-in-the-middle-aanvallen onderscheppen communicatie, Kerberoasting richt zich op wachtwoorden van serviceaccounts en golden ticket-aanvallen maken misbruik van zwakke plekken in Active Directory. Sessiekaping neemt actieve gebruikerssessies over en compromittering van geprivilegieerde accounts richt zich op administratieve inloggegevens met hoge toegangsrechten.
MFA voegt een extra beveiligingslaag toe die ongeoorloofde toegang verhindert, zelfs als wachtwoorden zijn gecompromitteerd. Het vereist dat gebruikers meer dan één authenticatiemethode gebruiken, zoals wachtwoorden, mobiele codes of biometrische gegevens, voordat toegang wordt verleend. Zelfs als hackers uw wachtwoord via phishing of datalekken achterhalen, hebben ze ook de tweede methode nodig om toegang te krijgen.
MFA vermindert het risico op inbreuken aanzienlijk, omdat hackers meer dan één onafhankelijke inloggegevens moeten kraken in plaats van één wachtwoord. Organisaties die MFA gebruiken, zijn aanzienlijk minder kwetsbaar voor succesvolle identiteitsgerelateerde aanvallen, omdat het meer barrières introduceert die veel hackers niet gemakkelijk kunnen doorbreken.
