Erkennung unmoglicher Reisen
Was ist Erkennung unmoglicher Reisen?
Erkennung unmoglicher ReisenErkennung, die aufeinander folgende Anmeldungen aus geografisch zu weit entfernten Orten markiert, die in der vergangenen Zeit nicht zuruckgelegt werden konnten.
Die Erkennung unmoglicher Reisen vergleicht die per IP geolokalisierten Quellen zweier erfolgreicher Anmeldungen derselben Identitaet und berechnet die implizite Reisegeschwindigkeit. Meldet sich Nutzer U um 09:00 UTC in New York und um 10:30 UTC in Singapur an, liegt die Geschwindigkeit weit uber der kommerziellen Luftfahrt und das zweite Ereignis gilt als verdachtig. Microsoft Entra ID, Okta ThreatInsight, Google Workspace und die meisten SIEMs liefern eine 'atypische Reise'- bzw. 'ungewohnlicher Ort'-Analyse mit, meist kombiniert mit VPN- und Tor-Exit-Reputationslisten zur Reduktion falscher Positive. Allein ist das Signal selten beweisend - moderne Playbooks nutzen es, um Step-up-Authentifizierung oder Sitzungswiderruf auszuloesen, im Sinne von MITRE ATT&CK T1078 (Valid Accounts).
● Beispiele
- 01
Entra-ID-Risikoanmeldung mit 'atypischer Reise', wenn dasselbe Konto in 30 Minuten aus Paris und Sao Paulo erscheint.
- 02
Okta-ThreatInsight-Policy, die Sitzungen widerruft, sobald die Geogeschwindigkeit 800 km/h ubersteigt.
● Häufige Fragen
Was ist Erkennung unmoglicher Reisen?
Erkennung, die aufeinander folgende Anmeldungen aus geografisch zu weit entfernten Orten markiert, die in der vergangenen Zeit nicht zuruckgelegt werden konnten. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Erkennung unmoglicher Reisen?
Erkennung, die aufeinander folgende Anmeldungen aus geografisch zu weit entfernten Orten markiert, die in der vergangenen Zeit nicht zuruckgelegt werden konnten.
Wie funktioniert Erkennung unmoglicher Reisen?
Die Erkennung unmoglicher Reisen vergleicht die per IP geolokalisierten Quellen zweier erfolgreicher Anmeldungen derselben Identitaet und berechnet die implizite Reisegeschwindigkeit. Meldet sich Nutzer U um 09:00 UTC in New York und um 10:30 UTC in Singapur an, liegt die Geschwindigkeit weit uber der kommerziellen Luftfahrt und das zweite Ereignis gilt als verdachtig. Microsoft Entra ID, Okta ThreatInsight, Google Workspace und die meisten SIEMs liefern eine 'atypische Reise'- bzw. 'ungewohnlicher Ort'-Analyse mit, meist kombiniert mit VPN- und Tor-Exit-Reputationslisten zur Reduktion falscher Positive. Allein ist das Signal selten beweisend - moderne Playbooks nutzen es, um Step-up-Authentifizierung oder Sitzungswiderruf auszuloesen, im Sinne von MITRE ATT&CK T1078 (Valid Accounts).
Wie schützt man sich gegen Erkennung unmoglicher Reisen?
Schutzmaßnahmen gegen Erkennung unmoglicher Reisen kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Erkennung unmoglicher Reisen?
Übliche alternative Bezeichnungen: Atypische Reise, Geo-Velocity-Anomalie.
● Verwandte Begriffe
- identity-access№ 015
Adaptive Authentifizierung
Authentifizierungsansatz, der Staerke und Anzahl der geforderten Faktoren in Echtzeit anhand von Signalen wie Geraet, Standort und Verhalten anpasst.
- identity-access№ 940
Risikobasierte Authentifizierung (RBA)
Authentifizierungsstrategie, die je Anmeldung einen Risikoscore berechnet und die Reaktion — zulassen, herausfordern oder blockieren — entsprechend variiert.
- identity-access№ 1103
Step-Up-Authentifizierung
Muster, das zusatzliche oder staerkere Faktoren verlangt, sobald ein Nutzer eine riskantere Operation durchfuhren will, als seine bestehende Sitzung legitimiert.
- attacks№ 010
Konto-Uebernahme (ATO)
Angriff, bei dem ein Krimineller unautorisierte Kontrolle ueber ein legitimes Nutzerkonto erlangt, um Geld, Daten zu entwenden oder weiteren Betrug zu begehen.
- attacks№ 1016
Session Hijacking
Angriff, der die authentifizierte Sitzung eines Opfers übernimmt, indem die Session-ID gestohlen oder gefälscht wird, sodass der Angreifer ohne Zugangsdaten als Nutzer agieren kann.
- defense-ops№ 1189
UEBA (User and Entity Behavior Analytics)
Erkennungstechnologie, die normales Verhalten von Nutzern und Entitäten modelliert und mit Statistik oder Machine Learning Abweichungen aufdeckt, die auf Kompromittierung oder Insider-Risiken hinweisen.