ITDR (Identity Threat Detection and Response, букв. «выявление угроз для учетных данных и реагирование на них») - термин компании Gartner для описания набора средств и лучших практик защиты систем учетных данных. Компании тратят значительные средства на модернизацию систем управления доступом (IAM), но модернизация в основном касается улучшения технологий аутентификации, что приводит к увеличению площади атаки основополагающей части инфраструктуры безопасности.
Системы ITDR призваны обеспечивать защиту учетных данных, выявлять и предотвращать атаки на них.
ITDR — это комплекс технических средств и организационных мер, направленных на идентификацию, сдерживание и предотвращение атак, целью которых являются учётные данные.
Системы, входящие в состав решения ITDR, осуществляют непрерывный мониторинг активности пользовательских и сервисных учетных записей, выявляя нехарактерные последовательности событий и паттерны, указывающие на подготовку или проведение атаки на учетные данные. Для оценки протекающих в инфраструктуре процессов показатели могут сравниваться как со статически заданными значениями, так и с базовыми статистическими данными, которые постоянно рассчитываются в ходе работы систем ITDR.
В зависимости от того, как система квалифицирует ту или иную угрозу, для затронутых инцидентом сущностей может быть заблокирован доступ к определенным сервисам, либо включен запрос дополнительных факторов аутентификации.
Решения класса ITDR позволяют выявлять:
- нелегитимное использование учетных данных;
- попытки повышения привилегий;
- сервисные и псевдоадминистративные учетные данные;
- атаки на учетные данные (password spraying, golden/diamond ticket, lateral movement и т.п.).
А также обеспечивать защиту учетных данных, выявлять и противодействовать атакам путем блокировки доступа и информирования других систем безопасности.