Serangan berbasis identitas sedang meningkat. Penyerang menargetkan identitas dengan kredensial yang dikompromikan, metode otentikasi yang dibajak, dan hak istimewa yang disalahgunakan. Sementara banyak solusi deteksi ancaman fokus pada cloud, titik akhir, dan ancaman jaringan, mereka mengabaikan risiko unik yang ditimbulkan oleh ekosistem identitas SaaS. Titik buta ini mendatangkan malapetaka pada organisasi-organisasi yang sangat bergantung pada SaaS besar dan kecil.
Pertanyaannya adalah, apa yang dapat dilakukan tim keamanan tentang hal itu?
Jangan takut, karena deteksi dan respons ancaman identitas (ITDR) ada di sini untuk menyelamatkan hari. Sangat penting untuk memiliki visibilitas dan mekanisme respons untuk menghentikan serangan sebelum mereka menjadi pelanggaran.
Inilah lineup super yang harus dibutuhkan setiap tim untuk menghentikan ancaman identitas SaaS.
#1 Cakupan Lengkap: Tutup setiap sudut
Seperti Cap's Shield, pertahanan ini harus mencakup setiap sudut. Alat deteksi ancaman tradisional seperti XDRS dan EDR gagal menutupi aplikasi SaaS dan membuat organisasi rentan. Cakupan Deteksi dan Respons Ancaman Identitas SaaS (ITDR) harus mencakup:
- ITDR harus melampaui cloud tradisional, jaringan, IoT, dan keamanan titik akhir untuk memasukkan aplikasi SaaS seperti Microsoft 365, Salesforce, Jira, dan GitHub.
- Integrasi mulus dengan pengungsi seperti Okta, Azure AD, dan Google Workspace untuk memastikan tidak ada login yang tergelincir melalui celah.
- Investigasi forensik yang mendalam terhadap peristiwa dan log audit untuk laporan terperinci tentang penebangan dan analisis historis dari semua insiden terkait identitas.
#2 Identity-sentris: Biarkan tidak ada yang tergelincir melalui benang
Web Spidey menjerat musuh sebelum mereka menyerang, dan tidak ada yang tergelincir melalui utas. Ketika peristiwa keamanan hanya terdaftar dalam urutan kronologis, aktivitas abnormal oleh identitas tunggal dapat tidak terdeteksi. Sangat penting untuk memastikan ITDR Anda mendeteksi dan mengkorelasikan ancaman dalam timeline yang berpusat pada identitas.
Apa arti identitas-sentris di ITDR:
- Anda dapat melihat kisah serangan lengkap dengan satu identitas di seluruh lingkungan SaaS Anda, memetakan gerakan lateral dari infiltrasi ke eksfiltrasi.
- Acara otentikasi, perubahan hak istimewa, dan anomali akses disusun menjadi rantai serangan.
- Pengguna dan Entitas Perilaku Analisis (UEBA) dimanfaatkan untuk mengidentifikasi penyimpangan dari aktivitas identitas normal sehingga Anda tidak perlu berburu melalui acara untuk menemukan yang mencurigakan.
- Identitas manusia dan non-manusia seperti akun layanan, kunci API, dan token OAuth terus dipantau dan ditandai untuk aktivitas abnormal.
- Eskalasi hak istimewa yang tidak biasa atau upaya gerakan lateral dalam lingkungan SaaS Anda terdeteksi sehingga Anda dapat menyelidiki dan merespons dengan cepat.
#3 Ancaman Intelijen: Deteksi yang tidak terdeteksi
Profesor X dapat melihat semuanya dengan cerebro, dan menyelesaikan ITDR harus dapat mendeteksi yang tidak terdeteksi. ITDR Ancaman Intelijen harus:
- Klasifikasi aktivitas DarkNet apa pun untuk penyelidikan yang mudah oleh tim keamanan.
- Sertakan geolokasi IP dan privasi IP (VPN) untuk konteks.
- Memperkaya deteksi ancaman dengan indikator kompromi (IOC) seperti kredensial yang dikompromikan, IP jahat, dan penanda mencurigakan lainnya.
- Peta tahap serangan menggunakan kerangka kerja seperti Mitre ATT & CK untuk membantu mengidentifikasi kompromi identitas dan gerakan lateral.
Prioritas #4: Fokus pada ancaman nyata
Peringatan kelelahan itu nyata. Indera Daredevil yang meningkat memungkinkannya untuk menyaring melalui kebisingan yang luar biasa, mendeteksi bahaya tersembunyi, dan fokus pada ancaman nyata – sama seperti pemotongan prioritas ITDR melalui kelelahan peringatan dan menyoroti risiko kritis. SaaS ITDR Prioritas ancaman harus mencakup:
- Penilaian risiko dinamis secara real-time untuk mengurangi positif palsu dan menyoroti ancaman paling kritis.
- Garis waktu kejadian lengkap yang menghubungkan peristiwa identitas menjadi kisah serangan yang kohesif, mengubah sinyal yang tersebar menjadi peringatan tinggi dan dapat ditindaklanjuti.
- Konteks peringatan yang jelas dengan identitas yang terpengaruh, aplikasi yang terkena dampak, tahap serangan dalam kerangka kerja Mitre ATT & CK, dan detail peristiwa utama seperti login yang gagal, eskalasi hak istimewa, dan anomali perilaku.
#5 Integrasi: Jadilah tak terbendung
Sama seperti Avengers menggabungkan kekuatan mereka untuk tak terhentikan, SaaS ITDR yang efektif harus memiliki integrasi untuk alur kerja otomatis, membuat tim lebih efisien dan mengurangi pengangkatan berat. Integrasi ITDR harus mencakup:
- SIEM & SOAR untuk alur kerja otomatis.
- Playbook Mitigasi Langkah-demi-Langkah dan Panduan Penegakan Kebijakan untuk setiap aplikasi dan setiap tahap kerangka kerja MITER ATT & CK
#6 Manajemen Postur: Leverage duo dinamis (tip bonus!)
Black Widow dan Hawkeye adalah duo yang dinamis, dan ITDR yang komprehensif bergantung pada SaaS Security Posture Management (SSPM) untuk meminimalkan permukaan serangan sebagai lapisan perlindungan pertama. SSPM gratis harus mencakup:
- Visibilitas mendalam ke semua aplikasi SaaS, termasuk Shadow IT, integrasi aplikasi-ke-aplikasi, izin pengguna, peran, dan tingkat akses.
- Deteksi kesalahan konfigurasi & kebijakan, selaras dengan kerangka kerja SCUBA oleh CISA, untuk mengidentifikasi kebijakan otentikasi yang salah konfigurasi seperti kurangnya MFA, kebijakan kata sandi yang lemah, dan izin berbasis peran yang berlebihan untuk memastikan kebijakan secara konsisten dipaksakan secara konsisten dipaksakan
- Deteksi akun yang tidak aktif dan yatim piatu untuk menandai akun yang tidak aktif, tidak digunakan, atau yatim yang menimbulkan risiko.
- Pelacakan acara siklus hidup pengguna untuk mencegah akses yang tidak sah.
Dengan kekuatan besar datang tanggung jawab besar
Jajaran yang harus dimiliki oleh organisasi yang sepenuhnya melengkapi untuk menghadapi ancaman berbasis identitas SaaS yang menghampiri mereka. Tidak semua pahlawan memakai jubah … beberapa hanya memiliki ITDR yang tak terhentikan.
Pelajari lebih lanjut tentang deteksi dan respons ancaman identitas SaaS Wing Security di sini.
