Sophos kündigt sein „Sophos Identity Threat Detection and Response (ITDR)“ für Sophos-XDR und Sophos-MDR an. Diese neue Lösung überwacht kontinuierlich die Kundenumgebung auf Risiken und Fehlkonfigurationen von Identitäten und durchsucht das Darknet nach kompromittierten Zugangsdaten. Damit ermöglicht sie eine schnelle Erkennung und die Reaktion auf identitätsbasierte Angriffe. Darüber hinaus identifiziert ITDR risikoreiches Benutzerverhalten, welches für ein Unternehmen zur Bedrohung werden könnte.
Die Vorstellung von ITDR ist ein bedeutender Meilenstein für Sophos und ein Resultat aus der Übernahme von Secureworks. Sie ist die erste Secureworks-Lösung, die vollständig in die Sophos-Central-Plattform integriert ist und erweitert damit das umfassende Sicherheitsmanagement für die über 600.000 Sophos-Kunden.
ITDR richtet sich gegen identitätsbasierte Angriffe, eine der am schnellsten wachsenden Bedrohungen weltweit. Die Sophos-X-Ops-Counter-Threat-Unit (CTU) verzeichnete zwischen Juni 2024 und Juni 2025 einen Anstieg von 106 Prozent bei gestohlenen Zugangsdaten, die im Darknet zum Verkauf angeboten wurden – ein klares Zeichen für das wachsende Risiko. Der Sophos-Active-Adversary-Report bestätigt zudem, dass in den in MDR- und Incident-Response-Fällen kompromittierte Zugangsdaten im zweiten Jahr in Folge die Hauptursache für Angriffe waren. In 56 Prozent der Vorfälle meldeten sich Angreifer mit gültigen Konten bei externen Remote-Diensten an.
„Cloud- und Remote-Arbeit haben die Angriffsfläche bei den Identitäten erweitert und neue Möglichkeiten für Angreifer geschaffen“, sagt Rob Harrison, SVP Product Management bei Sophos. „Komplexe Identitäts- und Zugriffsverwaltungssysteme mit ständig wechselnden Einstellungen und Richtlinien schaffen Lücken, die Angreifer ausnutzen. Sophos-ITDR hilft, diese Lücken zu schließen, indem es Kunden einen schnellen Einblick in die Risiken von Identitäten bietet, kompromittierte Zugangsdaten überwacht und mit Sophos-XDR und Sophos-MDR für eine schnelle, analystengeführte Reaktion sorgt.“
Sophos-ITDR deckt Risiken von Identitäten auf und ist darauf ausgelegt, alle bekannten MITRE-ATT&CK-Credential-Access-Techniken zu erkennen und dagegen zu schützen. Die Lösung führt über 80 Prüfungen der Cloud-Identitätskonfiguration durch, überwacht kompromittierte Zugangsdaten im Darknet und nutzt KI-gestützte Erkennungen, um identitätsbasierte Angriffe wie Kerberoasting, Privilege-Escalation, Account-Takeover, Brute-Force und Lateral-Movement zu identifizieren. Integrierte Response-Playbooks in ITDR sorgen für automatisierte Gegenmaßnahmen wie das Sperren von Konten, Zurücksetzen von Passwörtern, Aktualisieren der Multi-Faktor-Authentifizierung oder das Widerrufen von Sitzungen.
Wichtige Funktionen von Sophos-ITDR:
- Identity-Catalog: Vollständige Sichtbarkeit aller Identitäten in allen Systemen zur Reduzierung blinder Flecken.
- Identity-Posture-Dashboard: Einheitlicher, priorisierter Überblick über Risiken bei Identitäten, einschließlich kompromittierter Zugangsdaten aus dem Darknet, für ein schnelleres Handeln.
- Continuous-Assessments: Stärkung der Sicherheitslage durch kontinuierliche Erkennung von Fehlkonfigurationen, inaktiven Konten, Schwachstellen und MFA-Lücken.
- Compromised-
- : Schutz der Benutzer durch Erkennung und Benachrichtigung, wenn gestohlene Zugangsdaten in Datenbanken für gestohlene Identitäten auftauchen.
- Dark-Web-Intelligence: Proaktive Überwachung von Untergrundmärkten auf geleakte Zugangsdaten, um Angreifern immer einen Schritt voraus zu sein.
- User-Behavior-Analytics (UEBA): Früherkennung interner Bedrohungen und anomaler Aktivitäten zur Verhinderung von Kontoübernahmen und lateralen Bewegungen.
- Advanced-Identity-Detections: Erkennung komplexer Identitätsangriffe wie Kerberoasting, Account-Compromise, Password-Spray, Brute-Force und Impossible-Travel.
- Identity-Response-Actions: Sofortiges Eingreifen bei Identitätsbedrohungen durch integrierte Maßnahmen wie das Deaktivieren von Konten, Zurücksetzen von Sitzungen oder Passwörtern sowie das Markieren von kompromittierten Benutzern in Microsoft Entra ID.
Sophos-ITDR integriert sich nahtlos in Sophos-XDR sowie Sophos-MDR und erzeugt automatisch Fälle, wenn identitätsbasierte Bedrohungen oder hohe Risiken identifiziert werden. Im Zusammenspiel mit Sophos-MDR untersuchen Sophos-Sicherheitsanalysten die Vorfälle und ergreifen für den Kunden Reaktionsmaßnahmen, was die Behebung beschleunigt und das Risiko senkt.
#Sophos
