Vectra, Spezialist für Endpoint Detection and Response (EDR), erweitert seine Plattform Cognito um Analysefunktionen für privilegierte Nutzerkonten (Privileged Access Analytics, PAA). Damit, so Vectra, könne eine IT-Organisation die Interaktionen zwischen Nutzerkonten, Diensten und Hosts überwachen und eine kontinuierliche Bewertung der Berechtigungen gewährleisten. Ziel ist es, das Zero-Trust-Konzept konsequenter umzusetzen.

Der herkömmliche, zugriffsbasierte Ansatz von Zero Trust basiert auf einmaligen Entscheidungen, die auf eine vordefinierte Liste von privilegierten Identitäten zurückgreifen. Dieser Ansatz, so Vectra, sei jedoch grundlegend mängelbehaftet und damit ein Risiko, etwa wenn Angreifer den Zugang zu Berechtigungsnachweisen stehlen oder ihre Rechte im Netzwerk ausweiten (Privilege Escalation).

Mit PAA überwache die Cognito-Plattform das Verhalten von Benutzerkonten, Diensten und Hosts, sobald sie Zugang zum Netzwerk erhalten und aktiv sind. Als Ergebnis liefere die Software eine kontinuierliche Echtzeitbewertung der Privilegien: Sie prüfe das Verhalten auf Bedrohungen und Sicherheit hin und priorisiere es nach Risikostufe. Dank dieser Informationen könne ein Sicherheitsteam schnell gegen die böswillige Nutzung von Berechtigungen in Cloud- und Hybrid-Umgebungen vorgehen.

Verfügbar ist PAA laut Vectra ab sofort als neue Suite von Erkennungsmodellen in Cognito Detect sowie als Anreicherung von Netzwerk-Metadaten in Cognito Stream und Cognito Recall. Die Durchsetzung kann durch Integrationen mit EDR- und SIEM-Systemen (Security-Information- und Event-Management) oder Orchestrierungs-Tools erfolgen, per REST-API ist auch eine benutzerdefinierte Integration möglich.

Weitere Informationen finden sich unter www.vectra.ai.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.