Найти в Дзене
REPLY-TO-ALL Information Security Blog
118 подписчиков

Zero Trust в MDR

24
3 мин
В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше, если скажу, что принципы Zero Trust надо сделать частью логики обнаружеиня MDR. Об этом пишет Gartner в документе "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (21 May 2025 ID G00830314): Traditional network-centric security models are proving inadequate against threats that leverage compromised credentials and insider activity. MDR services, tasked with detecting and responding to advanced threats, must evolve to incorporate robust identity-centric security principles. А также: Another major factor driving the need for zero trust is the growing adoption of cloud environments and distributed workforces, which has blurred traditional network perimeters, rendering implicit trust models obsolete.... MDR providers that fail to embed zero-trust principles into their offerings will struggle to provide comprehensive security

В заметке в перечне важных фич приводится "Мониторинг Identity", что, как я понял, вызывает уже вопросики, но я наброшу еще больше, если скажу, что принципы Zero Trust надо сделать частью логики обнаружеиня MDR. Об этом пишет Gartner в документе "Emerging Tech: Future-Proof MDR With Automated Exposure Management and Zero Trust" (21 May 2025 ID G00830314):

Traditional network-centric security models are proving inadequate against threats that leverage compromised credentials and insider activity. MDR services, tasked with detecting and responding to advanced threats, must evolve to incorporate robust identity-centric security principles.

А также:

Another major factor driving the need for zero trust is the growing adoption of cloud environments and distributed workforces, which has blurred traditional network perimeters, rendering implicit trust models obsolete.... MDR providers that fail to embed zero-trust principles into their offerings will struggle to provide comprehensive security visibility and effective response across these complex and dynamic environments.

И с этим сложно поспорить, так как Valid accounts уже который год входит в TOP-3 техник по статистике инцидентов MDR.

Если коротко, то поддержка ZT в MDR позволит более эффективно обнаруживать инциденты с использованием скомпрометированных учетных записей. Т.е. если раньше основная ценность для заказчика от MDR звучала как:

MDR обнаруживает и реагирует на любые угрозы в сети

То в случае MDR c поддержкой ZT:

MDR предотвращает инциденты, непрерывно проверяя каждое действие каждого пользователя и устройства в гибридной инфраструктуре, предотвращая и локализуя атаки, в которых используются украденные\скомпрометированные учетные записи

Но разберем пошагово как это может выглядеть на практике.

  1. Интеграция с системами IAM - это позволит получать данные о аутентификации (включая MFA) и авторизации пользователей, привилегиях и их изменениях в реальном времени. Это создаст понимание кто, что и когда пытается выполнить.
  2. Развивать UEBA - строить поведенческие базовые профили для пользователей, устройств и приложений, что позволит обнаруживать аномалии. Банальные примеры: вход пользователя из необычной географической локации в неурочное время, доступ к нехарактерным для него приложениям или аномально большой объем скачиваемых данных, а MDR-аналитик должен получать алерт не на факт входа, а на его аномальность.
  3. Мониторинг Cloud Security Gateways и SASE/ZTNA-решений - это позволит получать контекст о попытках доступа к SaaS-приложениям и корпоративным данным извне традиционного периметра (это ключевая точка проверки в ZT-модели).
  4. Identity-Aware Threat Hunting - разработать проактивные сценарии активного поиска угроз, сфокусированные на identity. Например, хантинг\наблюдение за последовательными неудачными попытками входа с последующим успешным входом с другого устройства или обнаружение пользователей с избыточными привилегиями, но не требуемыми для выполнения повседневных задач.
  5. Обогащение из IAM/UEBA - настроить SOAR/IRP так, чтобы алерт о подозрительной активности автоматически обогащался данными из IAM и UEBA. Это позволит управлять критичностью и приоритетами, например, алерт о "подозрительном исходящем трафике" становится критически важным, если UEBA показывает, что пользователь в это же время скачал гигабайты данных, а IAM сообщает, что его учетная запись только что была повышена в привилегиях.
  6. Развитие сценариев реагирования на Identity-угрозы - создать автоматизированные плейбуки\ранбуки для реагирования на инциденты, связанные с identity. Например, при обнаружении высокорискового входа автоматически принудительно запрашивать MFA, изолировать устройство или временно блокировать учетную запись до выяснения обстоятельств. Все это позволит сократить время реагирования (MTTR) и минимизировать ущерб от атак, использующих утекшие учетные данные. Сюда же я бы отнес интеграцию с сервисами типа DFI, откуда можно получить буквально список утекших учетных данных, и проактивно сменить аутентификационные данные, а если это невозможно, оперативно обнаружить использование скомпрометированных аккаунтов и соответствующим образом автоматически среагировать.

ZT - это концепция, объединяющая множество технологий, ряд которых уже широко применяются поставщиками в составе предложения MDR. С учетом того, что, согласно исследованиям потребительского спроса аналитическими агенствами (Gartner, Forrester), пользователи требуют от MDR большей проактивности в обнаружении атак, ZT - отличный подход для поставки этой ценности потребителю. В статье я собрал минимальный набор действий, которые помогут приблизиться к поддержке подходов ZT в составе предложения MDR.