ITDR:增強企業數字身份保護能力的新利器
隨著數字身份數量激增,如何加強身份保護和管理成為許多安全負責人關注的焦點。據IDSA聯盟發布的《2022年數字身份安全趨勢》報告調查顯示:
84%的受訪企業在過去一年遇到過身份泄露;
78%的受訪企業表示,身份泄露會對業務開展造成影響,比如聲譽受損和泄露后恢復成本;
96%的受訪企業表示,希望加強身份安全防護措施,盡量減少身份泄露事件的發生。
在此背景下,有安全研究人員表示,由于基于身份的攻擊活動不斷增長,以IAM(統一身份管理)、PAM(特權訪問管理)以及IGA(統一身份管理和治理)等為代表的現有身份管理方案已經不足以保護企業遠離數字化時代的身份安全威脅,組織應該考慮結合新一代身份威脅檢測和響應(ITDR)策略,以進一步降低身份安全的風險隱患。
數字身份安全的挑戰
在過去幾年,數字身份的數量(包括人類身份和機器身份)在不斷增加。每個新身份的產生都意味著一條潛在的新攻擊途徑,而許多身份在生成時缺乏應有的保護或監控。這些唾手可得的身份對攻擊者來說無疑是非常誘人的目標。
在以往,攻擊者主要使用蠻力破解、密碼噴射和撞庫等攻擊手段來竊取身份賬號和密碼。但是目前,威脅團伙還會通過憑據竊取技術、網絡釣魚攻擊和APT攻擊以獲取用戶名和密碼。此外,多因素身份驗證(MFA)技術也開始受到廣泛攻擊。
在IAM、PAM和IGA等現有的身份保護解決方案中,主要側重于確保用戶訪問行為的安全與可控,授權和驗證是這類的技術方案關注的重點,但它們往往難以幫助用戶及時掌握身份攻擊活動中的其他一些關鍵因素:賬號是否濫用、風險暴露面以及權限提升等異常行為。
身份安全不僅僅是管理用戶訪問、監管治理或保護特權用戶,企業需要從一個更大的身份安全角度評估現有防護體系中的不足和漏洞。這意味著需要更加主動的尋找威脅原因,并及時挫敗基于身份的攻擊活動以免釀成重大的安全事件。
由于數字身份已經成為企業最常受攻擊的路徑,因此在現有的身份訪問管理基礎上,進一步增強主動身份安全威脅監測和防御能力非常重要。身份安全威脅檢測解決方案可以更準確的檢測與身份相關的攻擊指標,并及時阻止針對身份的攻擊活動。
主動式身份威脅防護
不斷嚴峻的數字身份危機表明,數字身份安全防護是一個系統化的工作,其可靠性最終取決于安全防護中的最薄弱環節。企業需要將主動端點防御、實時事件響應、零信任基礎設施和域名保護等防護措施結合起來,構建更強大的新型身份管理解決方案。
在Gartner發布的《2022安全運營技術成熟度曲線》報告當中,正式提出了身份威脅檢測和響應(Identity Threat Detection and Response,ITDR)技術。Gartner認為ITDR可以幫助企業填補在身份威脅監測與響應領域的防護空白,不僅可以在企業現有的身份管理模式基礎上實現能力增強,還可以與EDR、NDR以及XDR等威脅監測解決方案互為補充。
當企業實施應用ITDR后,可以獲得以下收益:
- 主動檢測基于身份的威脅
ITDR技術可以主動尋找針對身份的攻擊,檢測憑據盜竊、濫用特權和AD上的惡意行為。
- 阻止身份攻擊活動
攻擊者在開展身份攻擊活動時,會在企業的網絡、數據中心、云環境、遠程站點或分支機構內部橫向移動。ITDR技術可以將攻擊者重定向到預先設置的誘餌,自動隔離受影響的系統,并阻止其橫向移動企圖,從而為企業環境增添一道保護層。
- 增強數字身份的彈性
ITDR技術有助于企業收集取證并分析數據,它可以收集身份攻擊活動中各方面的監控數據。技術團隊可以使用收集到的信息來進一步優化薄弱的防護策略和流程。
- 將保護范圍擴大到云
云計算的應用常常助長身份權限散亂現象,使許多安全團隊難以管理太多的應用程序、容器和服務器。ITDR技術可以讓用戶可以深入了解可能為潛在攻擊者提供便利的高風險身份和權限,并將保護范圍擴大到云環境。
