Identitätsgesteuerte Angriffe zielen auf die Zugangsdaten von Benutzern ab, um auf vertrauliche Daten und Systeme zuzugreifen. Hierbei handelt es sich um eine der häufigsten Methoden, mit denen Cyberkriminelle in die Netzwerke von Unternehmen eindringen. So hat in den letzten Jahren beispielsweise die "Lapsus$ Group" privilegierte Benutzerzugangsdaten verwendet, um mehrere Regierungsbehörden und große Technologieunternehmen anzugreifen.

"Kunden, die identitätsbezogene Angriffe erkennen wollen, müssen heute mehrere Tools einsetzen, wie UEBA, Insider Risk Management, endpunktbasierte ITDR et cetera, die aber jeweils nur einen Teilaspekt der Benutzeraktivitäten abdecken", erklärte Gonen Fink, Senior Vice President, Cortex Products bei Palo Alto Networks. "Solche unzusammenhängenden Ansätze führen zu schlechten Sicherheitsergebnissen, einer Überlastung mit Warnmeldungen und Zeitverschwendung bei der Triage. Mit der Ergänzung von ITDR integriert die XSIAM-Plattform nun alle Identitätsdatenquellen in eine einzige Sicherheitsdatenbasis, die Endpunkte, Netzwerke und die Cloud umfasst. Dies ermöglicht unseren Kunden eine umfassende KI-gesteuerte Bedrohungserkennung zum Schutz vor heimlichen identitätsgesteuerten Angriffen."

Das ITDR-Modul erfasst und integriert Daten zum Nutzerverhalten, beispielsweise zu welchen Zeiten ein Mitarbeiter normalerweise arbeitet und auf welche Anwendungen und Daten er normalerweise zugreift. Es verarbeitet Daten aus einer Vielzahl von Quellen, darunter Authentifizierungsdienste, Endpunktprotokolle, Cloud-Identitätsdaten, E-Mail- und HR-Daten sowie Netzwerk-, Betriebssystem- und benutzerdefinierte Quellen. Die eingebauten KI-Modelle können dann so trainiert werden, dass sie verdächtige Aktivitäten auf der Grundlage von unregelmäßigem Nutzerverhalten erkennen. Damit können sie bekannten Insider-Risiken wie Konfigurationsmanipulationen, Dateimanipulationen und Änderungen von Berechtigungen zuvorkommen.

Die Erweiterung von Cortex XSIAM um ITDR führt laut Anbieter nicht nur zu besseren Sicherheitsergebnissen, sondern auch zu einer weiteren Reduzierung der Komplexität im SOC durch die enge Integration von Identitätsanalysen in eine einheitliche SOC-Plattform. Cortex XSIAM integriert bereits nativ die Funktionen Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR), Network Detection and Response (NDR), Security, Orchestration and Response (SOAR), Threat Intelligence Management (TIM) und Attack Surface Management (ASM) und mache damit mehrere Einzellösungen überflüssig.

"Die Fähigkeit, große Datenmengen zu verarbeiten und potenzielle Bedrohungen in Echtzeit zu bewältigen, ist mit der Entwicklung der Cybersicherheitslandschaft zu einem großen Problem geworden", kommentierte Michael Kearns, CISO beim Nebraska Methodist Health System. "Die Integration von KI und Automatisierung ist für Unternehmen ein absolutes Muss geworden. Ziel für Unternehmen ist es, dadurch mit den wachsenden Bedrohungen Schritt zu halten und sicherzustellen, dass sie Cyberrisiken proaktiv und effektiv eindämmen können. Palo Alto Networks ist der Goldstandard für Innovation, weshalb die KI- und Automatisierungsfunktionen von Cortex die treibende Kraft hinter unseren Sicherheitsoperationen sind."