信息化觀察網(wǎng)

本文來自微信公眾號“安全牛”。

隨著數(shù)字身份數(shù)量激增，如何加強(qiáng)身份保護(hù)和管理成為許多安全負(fù)責(zé)人關(guān)注的焦點(diǎn)。據(jù)IDSA聯(lián)盟發(fā)布的《2022年數(shù)字身份安全趨勢》報告調(diào)查顯示：

●84%的受訪企業(yè)在過去一年遇到過身份泄露；

●78%的受訪企業(yè)表示，身份泄露會對業(yè)務(wù)開展造成影響，比如聲譽(yù)受損和泄露后恢復(fù)成本；

●96%的受訪企業(yè)表示，希望加強(qiáng)身份安全防護(hù)措施，盡量減少身份泄露事件的發(fā)生。

在此背景下，有安全研究人員表示，由于基于身份的攻擊活動不斷增長，以IAM（統(tǒng)一身份管理）、PAM（特權(quán)訪問管理）以及IGA（統(tǒng)一身份管理和治理）等為代表的現(xiàn)有身份管理方案已經(jīng)不足以保護(hù)企業(yè)遠(yuǎn)離數(shù)字化時代的身份安全威脅，組織應(yīng)該考慮結(jié)合新一代身份威脅檢測和響應(yīng)（ITDR）策略，以進(jìn)一步降低身份安全的風(fēng)險隱患。

數(shù)字身份安全的挑戰(zhàn)

在過去幾年，數(shù)字身份的數(shù)量（包括人類身份和機(jī)器身份）在不斷增加。每個新身份的產(chǎn)生都意味著一條潛在的新攻擊途徑，而許多身份在生成時缺乏應(yīng)有的保護(hù)或監(jiān)控。這些唾手可得的身份對攻擊者來說無疑是非常誘人的目標(biāo)。

在以往，攻擊者主要使用蠻力破解、密碼噴射和撞庫等攻擊手段來竊取身份賬號和密碼。但是目前，威脅團(tuán)伙還會通過憑據(jù)竊取技術(shù)、網(wǎng)絡(luò)釣魚攻擊和APT攻擊以獲取用戶名和密碼。此外，多因素身份驗(yàn)證（MFA）技術(shù)也開始受到廣泛攻擊。

在IAM、PAM和IGA等現(xiàn)有的身份保護(hù)解決方案中，主要側(cè)重于確保用戶訪問行為的安全與可控，授權(quán)和驗(yàn)證是這類的技術(shù)方案關(guān)注的重點(diǎn)，但它們往往難以幫助用戶及時掌握身份攻擊活動中的其他一些關(guān)鍵因素：賬號是否濫用、風(fēng)險暴露面以及權(quán)限提升等異常行為。

身份安全不僅僅是管理用戶訪問、監(jiān)管治理或保護(hù)特權(quán)用戶，企業(yè)需要從一個更大的身份安全角度評估現(xiàn)有防護(hù)體系中的不足和漏洞。這意味著需要更加主動的尋找威脅原因，并及時挫敗基于身份的攻擊活動以免釀成重大的安全事件。

由于數(shù)字身份已經(jīng)成為企業(yè)最常受攻擊的路徑，因此在現(xiàn)有的身份訪問管理基礎(chǔ)上，進(jìn)一步增強(qiáng)主動身份安全威脅監(jiān)測和防御能力非常重要。身份安全威脅檢測解決方案可以更準(zhǔn)確的檢測與身份相關(guān)的攻擊指標(biāo)，并及時阻止針對身份的攻擊活動。

主動式身份威脅防護(hù)

不斷嚴(yán)峻的數(shù)字身份危機(jī)表明，數(shù)字身份安全防護(hù)是一個系統(tǒng)化的工作，其可靠性最終取決于安全防護(hù)中的最薄弱環(huán)節(jié)。企業(yè)需要將主動端點(diǎn)防御、實(shí)時事件響應(yīng)、零信任基礎(chǔ)設(shè)施和域名保護(hù)等防護(hù)措施結(jié)合起來，構(gòu)建更強(qiáng)大的新型身份管理解決方案。

在Gartner發(fā)布的《2022安全運(yùn)營技術(shù)成熟度曲線》報告當(dāng)中，正式提出了身份威脅檢測和響應(yīng)（Identity Threat Detection and Response,ITDR）技術(shù)。Gartner認(rèn)為ITDR可以幫助企業(yè)填補(bǔ)在身份威脅監(jiān)測與響應(yīng)領(lǐng)域的防護(hù)空白，不僅可以在企業(yè)現(xiàn)有的身份管理模式基礎(chǔ)上實(shí)現(xiàn)能力增強(qiáng)，還可以與EDR、NDR以及XDR等威脅監(jiān)測解決方案互為補(bǔ)充。

當(dāng)企業(yè)實(shí)施應(yīng)用ITDR后，可以獲得以下收益：

主動檢測基于身份的威脅

ITDR技術(shù)可以主動尋找針對身份的攻擊，檢測憑據(jù)盜竊、濫用特權(quán)和AD上的惡意行為。

●阻止身份攻擊活動

攻擊者在開展身份攻擊活動時，會在企業(yè)的網(wǎng)絡(luò)、數(shù)據(jù)中心、云環(huán)境、遠(yuǎn)程站點(diǎn)或分支機(jī)構(gòu)內(nèi)部橫向移動。ITDR技術(shù)可以將攻擊者重定向到預(yù)先設(shè)置的誘餌，自動隔離受影響的系統(tǒng)，并阻止其橫向移動企圖，從而為企業(yè)環(huán)境增添一道保護(hù)層。

●增強(qiáng)數(shù)字身份的彈性

ITDR技術(shù)有助于企業(yè)收集取證并分析數(shù)據(jù)，它可以收集身份攻擊活動中各方面的監(jiān)控數(shù)據(jù)。技術(shù)團(tuán)隊(duì)可以使用收集到的信息來進(jìn)一步優(yōu)化薄弱的防護(hù)策略和流程。

●將保護(hù)范圍擴(kuò)大到云

云計算的應(yīng)用常常助長身份權(quán)限散亂現(xiàn)象，使許多安全團(tuán)隊(duì)難以管理太多的應(yīng)用程序、容器和服務(wù)器。ITDR技術(shù)可以讓用戶可以深入了解可能為潛在攻擊者提供便利的高風(fēng)險身份和權(quán)限，并將保護(hù)范圍擴(kuò)大到云環(huán)境。