Skip to main content

摘要

❖随着零信任方案的逐渐落地,身份成为企业的新边界。同时,身份基础设施成为了攻击焦点。
❖最近的身份攻击变得更加巧妙和复杂,甚至可以绕过MFA。
❖当前的IAM解决方案只能起到预防作用。
❖企业更需要一个能够检测和响应身份威胁的 ITDR 解决方案。
❖ITDR 供应商目前被收购和整合发展迅速。
❖选择 ITDR 解决方案时需要考虑两点:
(1) 能够接入多场景,不限于AD。
(2) 从不同的供应商处分别购买 IAM 和 ITDR,以避免锁定的风险。

一、零信任时代到来,身份是新的边界和漏洞

零信任作为新安全框架,在日本推广进度迅猛,其核心思想是基于传统身份边界的身份验证和授权的转变。

另一方面,随着组织转向零信任并越来越依赖以身份基础设施为中心的环境,意味着身份基础设施成为攻击者的最佳目标。事实上,我们还发现,凭据滥用这一攻击手段正在被黑客广泛利用。

二、近年来不断增加的身份威胁和攻击是什么?

特定的身份威胁会潜入目录服务器(如 Active Directory)、基于云的标识和访问管理 (IAM) 解决方案(如 Okta 和 Azure AD)以及身份基础设施(如证书颁发机构)。它是指通过跟踪易受攻击的设置来获取特权身份等凭据信息并进行渗透的网络攻击。

由于它在没有像过去那样使用恶意软件进行远程控制的情况下入侵,因此无法被 EDR 等恶意软件检测引擎检测到。

近来,安全研究人员发现即便启用了多因素身份认证保护措施,用户仍可能收到钓鱼攻击的侵害,并且针对身份的攻击变得越来越复杂。

三、现有的身份管理方案(IGA、PAM、CIEM)只是预防

那么,是否有可能使用我们目前使用的各种身份和访问管理工具(如IAM,IGA,PAM和CIEM)来应对这些攻击?

像Savyint这样的IGA(身份治理和管理)和像CyberArk这样的PAM(特权访问管理)也具有防止不必要的特权身份过度配置的功能。对于 AWS 和 Azure 等云基础设施环境,使用以CIEM为代表的云基础设施授权管理功能,可以发现并防止过多的云身份权限颁发和脆弱的IAM设置。

此外,通过在云上或者本地应用IAM 提供的 MFA(多因素认证),可以最大程度地减少管理员权限被利用的机会(例如,更改为每次执行 SSH 或 RDP 时都需要 MFA 的定时设置)。

但是,如上所述的身份管理解决方案本身所提供的功能,只是预防身份攻击,并不能在IAM基础设施被入侵后进行相应的检测与阻断。

四、ITDR——身份威胁检测与响应

即使您能够使用IAM等尽可能适当地设置公司的身份基础设施环境,毫不夸张地说,想要完全阻止攻击者通过巧妙的方法入侵您的身份基础设施是不可能的。基于身份基础设施将受到威胁的假设,有必要单独考虑在其遭到入侵后如何检测和响应对身份基础设施的威胁。

我们可以通过新的解决方案——ITDR(身份威胁检测与响应)来实现。

ITDR 是一种与EDR(端点检测和响应)、NDR(网络威胁检测和响应 )相邻的新解决方案。具体而言,正如 EDR 对端点设备的行为进行分析,ITDR通过AI 和机器学习技术,对以Active Directory 和 Okta为代表的身份基础设施上交换的身份验证流量的行为进行分析。

ITDR能够检测与异常行为或威胁情报相一致的可疑身份,并实现各种“响应”,例如阻止来自相应ID 的身份验证以及与IAM一起请求额外的 MFA,例如 Okta。

五、正在被快速收购和整合的ITDR供应商

过去几年中,对身份基础设施的攻击快速增长以及XDR多种检测技术的日益集成导致EDR供应商(如CrowdStrike和SentinelOne)迅速收购和整合ITDR供应商。

像Proofpoint这样的安全供应商已收购威胁管理提供商ObserveIT,意在加强公司的企业网络安全产品组合。ITDR目前是一个新兴类别,许多供应商仍然保持独立研发运营,并且头部安全供应商对ITDR这条赛道的前景十分认可,预计对ITDR供应商的收购还将持续很长一段时间。

一些头部安全供应商的收购新闻

2020年9月,CrowdStrike 以9600万美元的价格收购零信任网络安全初创公司Preempt Security。

2022年3月,SentinelOne宣布达成6.165亿美元交易,收购身份安全供应商Attivo Networks。

六、选择ITDR,你应该注意这两点

ITDR是一个新兴类别的解决方案,目前已有10多种ITDR解决方案,每个公司的方案各有特点。以下是选择 ITDR 解决方案时需要考虑的几个关键点:

(1)能够接入多场景,不限于AD

作为身份基础设施的核心,Active Directory被广泛使用。此外,在多AD和域环境中实现灵活的身份访问管理的Okta等各种IAM解决方案的采用和引入,以及向Azure AD的迁移以及SSO向SaaS的迁移也在逐步发展。

因此,不仅要全面保护Active Directory,各种IAM解决方案都需要作为企业应该保护的身份基础设施进行全面保护。选择能够支持多场景的ITDR解决方案非常重要。某些ITDR解决方案只支持AD,有时被称为“ADTR”而不是“ITDR”。

(2)从不同的供应商处分别购买 IAM 和 ITDR

随着ITDR重要性的增加,IAM供应商将以选项或子集的形式提供ITDR功能。

企业所使用的IAM解决方案并非只有一种,可以使用多家供应商的解决方案。由于使用特定 IAM 供应商提供的 ITDR 功能存在供应商锁定的风险,因此我们建议您购买来自不同供应商的 IAM 和ITDR解决方案。

国际上,Silverfort、Authomize等安全厂商已经探索出了相对成熟的ITDR解决方案。而国内对ITDR技术的探索实践刚刚起步。

中安网星依托于多年的攻防经验,率先在国内拓展ITDR解决方案。中安网星ITDR(身份威胁检测与响应)平台主要围绕Identity及Infrastructure为核心进行防护,涵盖主流身份基础设施及集权设施,从攻击的事前加固、事中监测、事后阻断出发,产品的设计思路覆盖攻击者活动的全生命周期。

基于身份的攻击活动不断增长,攻击手段越来越难以防范,对企业网络安全的管理者提出更加严苛的要求。中安网星将继续立足于用户的根本需求,通过对ITDR技术的深度钻研与应用实践,助力客户构建起更加主动的身份威胁检测和响应能力。

*本文部分节选自MACNICA公司发表的《ITDRとは?~ID脅威を検知・対応する注目の新ソリューション~》一文。

原文链接:https://mnb.macnica.co.jp/2023/01/zerotrust/itdr.html