Skip to main content

以下内容译自:《Enhance Your Cyberattack Preparedness With Identity Threat Detection and Response》Published 20 October 2022 – ID G00765882 By Henrique Teixeira, Peter Firstbrook.

常规的身份与访问管理和安全预防控制不足以保护身份系统免受攻击。为了增强网络攻击的防范能力,安全风险管理领导者必须在其安全基础架构中添加ITDR功能。

一、概述

1、重要发现

  • 2021年,40%的安全漏洞均与凭据滥用有关。现代身份威胁可以打破传统的身份和访问管理 (IAM) 的预防和控制,如多因素身份验证(MFA)。这使得身份威胁检测和响应(ITDR)成为2022年及以后网络安全的首要事项。
  • IAM设施与企业传统基础设施在身份安全检测方面是存在差异的。IAM传统上主要用作事前预防,而基础设施虽然被广泛使用,但在检测特定的身份威胁时深度有限。
  • 由于 ITDR 是全新定义的,因此很少有预定义的特定于身份威胁的剧本来涵盖身份泄露和对身份基础设施的其他类型的攻击。
  • 身份威胁是多方面的,面对身份威胁的防范手段应是多样的。例如,攻击者可以利用身份基础设施的错误配置和漏洞,也可以对组织和身份提供者的员工使用社会工程学,以窃取或滥用证书,或者可以直接从暗网上的初始访问经纪人(IABs)购买证书。

2、建议

专注于身份和访问管理的安全管理人员应该:

  • 通过盘点现有预防控制措施并审计IAM基础设施的错误配置、漏洞和暴露面,为ITDR做好准备。
  • 通过选择身份警报关联和检测逻辑的焦点来增强检测控制,该逻辑将身份策略、技术和程序(TTP)优先于其他检测机制。
  • 通过构建或更新行动手册以及自动化来掌握响应阶段,将IAM实施纳入消除、恢复、报告和补救身份威胁的步骤中。使用安全运营中心(SOC)中现有的安全控制,将IAM事件集成到响应和威胁搜索过程中。
  • 通过评估涵盖所有攻击向量和遥测来填补 ITDR 中的空白。 计计划使用一系列相互补充且可能重叠的工具,以满足综合ITDR计划的要求。

3、介绍

ITDR是一门安全学科,包括威胁情报、最佳实践、知识库、工具和保护身份系统的流程。它通过实施检测机制、调查可疑的姿态变化和活动,以及随时应对攻击来保持身份基础设施的完整性。

ITDR的重点与现有解决方案类似,例如用于网络检测和响应 (NDR) ,以及端点检测和响应 (EDR) 的解决方案,它们执行类似的功能来保护网络和端点基础设施。

身份是网络安全的一个基本方面(参见 2022 年预测:身份优先的安全要求需要分散执行和集中控制)。零信任安全方法要求只有经过批准的最终用户、设备和服务才能访问系统。ITDR统一了保护身份系统完整性的工具和最佳做法,这对于成熟的IAM和基础设施安全部署也是必要的。

身份也是企业的基础。组织依赖其身份基础设施来实现协作、远程工作和客户访问服务,这使得身份系统成为攻击者的主要目标,在2021年,凭证滥用是最常见的安全漏洞利用途径,有一个活跃的IAB市场用于售卖盗取的凭证。针对多因素身份验证(MFA;参见注释1)的攻击已经众所周知,而成熟的攻击者现在将目标锁定在IAM基础设施本身(见图1)。

图一

SRM 安全管理人员应如何准备应对此类攻击?如本研究所述,他们应与IAM和其他网络安全管理人员合作,保护其组织的身份基础设施。

二、分析

1、通过定义ITDR是什么(和不是什么)来为ITDR做准备

身份威胁是一种与身份基础设施相关的潜在网络攻击,如访问管理(AM)工具、目录服务器、证书颁发机构和其他IAM系统和存储。身份威胁侧重于规避、绕过或滥用身份系统以发动网络攻击。

预防应该是每个网络攻击准备计划的基本部分。SRM管理人员必须记录其身份基础设施的关键要素,并评估是否有适当的预防控制措施。他们应当在传统IAM的基础上结合新兴ITDR进行特定控制,以确保这些要素的安全态势(配置合规)符合企业的风险偏好和业务目标。

良好的预防控制有助于身份安全态势管理,以避免:

  • 错误配置,通过确保正确配置IAM控制,持续监控IAM配置是否有可疑变化,采取适当的步骤来调查并在必要时解决问题。
  • 漏洞,通过修补或补偿控制解决身份基础设施中常见的漏洞。
  • 暴露面,通过移除不必要的或过度的特权来减少攻击面。

特权访问管理(PAM)和身份治理和管理(IGA)提供了基本的预防性控制,以在凭据泄露时限制过度特权的暴露。云基础设施权利管理(CIEM)工具还可以通过减少过度和不必要的云身份特权所造成的攻击面,帮助防止身份威胁的发生,这有助于限制横向移动。

正确配置MFA和强制执行远程桌面协议(RDP)会话终止也有助于防止管理员帐户受到损害。

此外,SRM管理人员应继续通过使用当前和新兴标准(如OAuth2.0和持续访问评估协议(CAEP))来更新IAM基础设施,以防止出现漏洞。还应避免使用不安全的旧协议,如POP和Internet邮件访问协议(IMAP)。

然而,ITDR的重点是在上述基本预防机制到位后,作为第二层和第三层防御(见图2)。ITDR的必要性有两个原因:

  • 首先,我们绝不能认为仅凭基本的预防控制措施就足以阻止网络攻击(见Maverick研究:您将被黑客攻击,所以接受漏洞)。
  • 其次,攻击会破坏身份基础设施本身。

图二

身份威胁可以绕过或破坏IAM预防性控制。因此,重要的是要了解预防(攻击前进行身份安全态势活动)与检测和响应(监视攻击并在攻击进行时停止攻击)的分离。通过了解这种分离,SRM管理人员可以制定更好的计划来实施“纵深防御”,重点放在身份上。

因此,重要的是要了解预防(攻击前进行的身份安全态势活动)与检测和响应(监视攻击并在攻击进行时停止攻击)的分离。 通过了解这种分离,SRM 管理人员可以制定更好的计划来实施“纵深防御”,重点放在身份上。如果他们采用一种声称能提供预防、检测和响应的单一工具,而不是采用多供应商方法,他们还应评估单一故障点所固有的风险(见注2)。

2、ITDR不是什么

ITDR 不是:

  • 单一团队的责任:ITDR是IAM和基础设施安全团队共同承担的责任。SRM管理人员必须选择一个发起人,该发起人可以发起、确定利益相关者并带头实施这一协作计划。
  • 仅关于Active Directory (AD):ITDR规程包括AD威胁检测和响应(TDR),但它不止于此。虽然ADTDR仅关注AD威胁,但ITDR还包括对其他类型IAM系统和工具(包括用于AM、IGA、身份验证和PAM的系统和工具)的更广泛的身份威胁的检测和响应。然而,虽然 AD TDR 已被大约三分之一的组织采用,但 ITDR 的采用才刚刚兴起。
  • 只有SOC工具:安全信息和事件管理(SIEM)、安全协调、自动化和响应(SOAR)以及扩展检测和响应(XDR)是有凝聚力的ITDR策略的有效组成部分,对信号和日志的集中以及响应层至关重要。然而,这些市场中的大多数供应商缺乏身份威胁检测能力,这主要基于用户行为,而不是TTP。SOC工具不能提供必要的深度来对抗身份攻击,但为ITDR构建成功的策略需要与这些SOC工具集成。
  • 只是IAM和欺诈预防控制措施的集合:ITDR应始终与其他预防控制措施相辅相成,以避免错误配置、暴露面和漏洞。但是,尽管预防很重要,并且由不同种类的IAM工具(IGA、AM、PAM、认证和CIEM)解决,但检测和响应威胁需要运行时的威胁情报分析。它还需要通过以下方式扩展IAM工具防护功能之外的保护层:
  • 在组织已有的 IAM 工具中启用更多运行时分析。
  • 引入独立于这些 IAM 工具的检测和响应功能,以防它们受到损害。

3、加强检测和分析控制

攻击技术多种多样,攻击者可以探测身份基础设施的各个方面,并使用多种技术。这些攻击包括像“零日攻击”这样的高技术利用,到常用的“信息窃取”恶意软件,以及社会工程。

对于防御者来说,关键是要像攻击者开发ttp一样敏捷地检测新技术。例如,SRM管理人员需要能够在多个非移动操作系统上检测来自同一用户的多个SSO会话。这需要收集准确的日志或流量,并使用检测逻辑来提升和分析可疑事件的能力。TTP检测可能更难实现,但它更持久、更主动,可用于检测多个威胁参与者和恶意工具,这是多方面基于身份的攻击的典型特征。

对于身份威胁检测,大多数组织的基本步骤是监视其身份基础设施,以防止未授权的更改或正常通道之外的更改。

此类更改可能包括更改 Windows 注册表项、创建异常帐户或注册新的身份验证设备。

安全服务边缘 (SSE) 和云访问安全代理 (CASB) 技术可以“串联”用于管理控制台的用户,例如,以确保他们的设备得到完全管理并启用端点保护。PAM 和 IGA 以及 MFA 相结合,可用于确保只有使用完全托管/安全设备的经过严格身份验证的用户才能对 IAM 基础设施进行更改。

除了检测未经授权的变更之外,改进身份威胁检测控制的一种有效方法是使用 TTP 的 MITRE ATT&CK知识库。Gartner的《如何使用MITRE ATT&CK来提高威胁检测能力》描述了基于TTP的威胁检测如何以攻击期间使用的特定技术的形式关注对抗行为。行业研究证实,这是检测恶意活动的有效方法。

图3显示了痛苦金字塔的修改版本。它显示了检测方法和给对手造成的痛苦之间的关系。


图三

除了TTP的优先级之外,ITDR中良好的检测控制还伴随着来自威胁信号组合的分析。SIEM 工具和新兴的XDR 解决方案(包括 NDR 和 EDR 功能)是开始为 TTP 构建检测逻辑的一种方式。 它们具有针对当前TTP 的内置检测逻辑。 有关特定于 MFA 攻击的 TTP 的非详尽列表,请参阅注释 1。

改进 ITDR 检测的其他控制措施包括:

  • 具有安全意识的员工:身份威胁检测的方法应该关注流程和程序,并增强员工的安全意识。 两个例子强调了这样做的必要性:

NOBELIUM(也称为 Cozy Bear 和 APT29)——针对 SolarWinds、SUNBURST 后门和 TEARDROP恶意软件及相关组件的攻击背后的幕后黑手,最初是由一个警报管理员在询问MFA新手机注册情况时发现的。

Lapsus$攻击者广泛使用社会工程攻击,例如冒充IT服务台工作人员和MFA即时轰炸(见注3)。

  • 监控地下 IAB:数字风险保护服务可以帮助组织识别泄露的凭据(请参阅安全威胁情报产品和服务市场指南)。“Have I Been Pwned”是一个网站,其中汇总了大量被盗凭据。
  • 用户行为分析 (UBA),由以下机构提供:

基础设施安全工具,如防火墙、SSE、EDR、NDR、SIEM和XDR工具。

欺骗技术:可以以较低的误报率检测到试图利用欺骗工具创建的任何虚假凭证的攻击者。

  • 账户接管(ATO)缓解措施:可以使用设备识别、行为生物识别和位置智能等一系列功能来检测登录时由于人类或自动化滥用凭据而出现的异常。
  • 僵尸程序缓解技术:这些技术通常由欺诈检测工具提供,用于检测和缓解僵尸程序在网络、移动或API渠道上滥用业务逻辑的自动攻击。此类滥用的例子包括ATO、密码填充和密码破解,以及对身份系统的其他类型的攻击,如分布式拒绝服务。

3、掌握响应

与其他类型的威胁响应方法相比,ITDR在响应阶段需要与IAM工具集进行更严格的互操作。调查后的初始响应需要用户身份、设备和可能的网络隔离来遏制威胁。用于提升信任的 IAM 控制(例如升级身份验证或会话终止)对于 ATO 缓解很有用。通过基于风险的自适应访问来遏制被破坏的管理凭证是最常见的自动响应操作。如果IAM基础设施本身(或其数据)被泄露,ITDR响应可能会触发手动或半自动进程(例如禁用身份同步任务)。

对身份威胁的响应必须实现IAM和安全运营之间的互操作性。这需要整合程序和安全操作工具,以促进调查和自动化响应行动。

除了准备和检测威胁和攻击外,SRM管理人员还应为最常见的身份威胁准备响应计划和行动手册,最好基于 TTP 用例(请参阅工具包:网络安全事件响应计划和工具包:创建勒索软件行动手册)。

此身份威胁响应手册应至少包括以下操作:

  • 遏制和根除:
    通过禁用命令和控制 (C2) 流量来隔离威胁。
    禁用目录、本地目标和云用户存储库目标之间的ID sync任务。
    冻结所有自动配置。
    停止 IGA 和 PAM 中的所有帐户更改。
    使用自动威胁遏制方法,例如基于风险的自适应访问(升级身份验证和会话终止)。
    隔离执行可疑活动的用户(例如,通过使用 Azure AD 用户风险和补救措施)。
    使用 SSE 为 SaaS 应用程序提供一个包含层,从而在发生攻击时停止对应用程序的访问。
  • 恢复:
    从备份中恢复。
    收集证据进行调查和保存,包括PAM、IGA和AM日志。 快速回答:我们如何降低基于 SaaS 的身份和访问管理的风险? 描述了在 SaaS IAM 提供商的恢复阶段可能有用的其他弹性策略。
  • 报告:
    尽早通知员工,包括高管、法律人员和响应团队。最好通过“过度沟通”来摆出一副透明和负责的姿态,然后如果事件没有最初设想的那么严重,就不得不撤回,而不是相反。
    遵守适用的法规。
    将事件发送到端点工具以进行事件响应处理并通过向它们添加详细信息来增加效率。
  • 修复:
    重置受影响的凭据。
    删除流氓和过多的帐户。
    给系统打补丁。
    轮换安全密钥。
    更新playbook和TTP知识库。
    更新预防和检测控件。

SRM管理人员还应该考虑使用XDR功能,例如playbook管理集成,因为他们有能力在一个控制台中处理所有必要的数据源和日志数据。此外,成熟组织中的SRM管理人员应评估是否使用SOAR工具协调响应,如《扩展检测和响应市场指南》中所述。

4、通过评估供应商的新兴ITDR能力填补ITDR的空白

SRM管理人员应该继续投资于预防性IAM基础设施安全的最佳实践。同时,他们应该评估几个市场上供应商提供的专业ITDR工具(参见图4)。如果IAM基础设施受到破坏,这些工具可以增强他们对攻击的准备和响应能力。

图四

证明

1 2022 Data Breach Investigations Report, Verizon.

2 Compromised US Academic Credentials Identified Across Various Public and Dark Web Forums,FBI, 26 May 2022.

3 D. Goodin, Lapsus$ and SolarWinds Hackers Both Use the Same Old Trick to Bypass MFA, ArsTechnica, 29 March 2022.

4 R. Nafisi, FoggyWeb: Targeted NOBELIUM Malware Leads to Persistent Backdoor, MicrosoftSecurity Blog, 27 September 2021.

5 Gartner’s 2021 The Future of Active Directory survey found 33% adoption of threat detectionand response for Active Directory. This survey was conducted online from 13 April through 18April 2021 with 119 participants. Fifty-seven were members of Gartner’s IT and Business LeadersResearch Circle — a Gartner-managed panel — and 62 were from an external sample.Respondents were qualified based on their knowledge of current and planned usage, strategy orroadmap for IAM and Active Directory, other enterprise directories, or cloud-based identity services.

6 M. Jaffe, The Identity Security Paradox: How Do You Protect Identities with IAM and PAM?,Illusive blog, 19 May 2022 (about the theft of credentials from system memory).

7 Detecting Abuse of Authentication Mechanisms, U.S. National Security Agency, December 2020.R. Daszczyszak and others, TTP-Based Hunting, MITRE, March 2019.Enterprise Techniques, MITRE (MITRE ATT&CK is a globally accessible knowledge base of adversary tactics and techniques based on real-world observations.)

8 C. Pernet, Initial Access Brokers: How Are IABs Related to the Rise in Ransomware Attacks?,TechRepublic, 15 December 2021.

9 Customer Guidance on Recent Nation-State Cyber Attacks, Microsoft Security Response Center,13 December 2020.

注释1:针对多因素认证的攻击

MITRE ATT&CK M1032列出了针对MFA的攻击技术和建议的缓解措施。

MFA 不是“灵丹妙药”。许多现代攻击都证明了MFA是可以被击败的。

MFA通常通过将使用传统(例如AD)密码登录作为第一步,并添加另一个身份验证因素(例如一次性密码 (OTP) 令牌或移动推送应用程序)作为第二步来实现。因此,最常见的“MFA”工具仅为“+1FA”工具。

每个因素都可能被不同的攻击所击败。

密码容易受到各种攻击:网络钓鱼、恶意软件、凭据填充、密码喷洒攻击等。添加额外因素原则上可以弥补这些漏洞,但这并不意味着可以忽略良好的密码策略。

降低密码安全性将增加风险:

  • 条件访问规则可以跳过附加因素。
  • 在密码作为单因素身份验证方法持续存在的任何用例中,例如使用不支持 MFA 的旧协议,如 IMAP、POP、SMTP 和消息传递 API (MAPI)。
    一些现代工具,尤其是无密码的“移动 MFA”工具,提供了“真正的”MFA,其中两个因素在一个步骤中结合-例如,提示用户在移动推送应用中使用PIN或本地生物识别方法。无密码方法可以避免一类攻击,但可能仍然容易受到另一类中的单个攻击。

以下是单独或组合用于攻击 MFA 的 TTP 的非详尽列表。 (为简洁起见,未列举针对密码的各种攻击。)

  • 准备:
    初始访问代理 (IAB):在暗网上买卖被盗的用户名和密码组合或经过身份验证的会话 cookie 的组织。
    Cookie 可用于传递 cookie (PTC) 攻击。
    信息窃取器:一种用于从受感染系统窃取经过身份验证的会话 cookie 的恶意软件(例如特洛伊木马)。
  • 针对第二因素(+1FA)的攻击包括:
    PTC 攻击:当合法用户已经使用 MFA 让他们在设定的时间间隔内跳过后续登录的第二步(第二因素)时,会创建经过身份验证的会话 cookie。 PTC 攻击使攻击者能够在他们自己的机器上使用窃取的cookie 来绕过第二步并仅使用窃取的用户名和密码成功进行身份验证。
    SIM 交换:一种使用 SMS 和语音模式对带外 (OOB) 身份验证进行的流行攻击,攻击者通过社会工程冒充目标,并说服移动网络运营商的员工将目标的电话号码交换到攻击者的新 SIM 卡上。 所有之后的OOB 身份验证提示都将重定向到攻击者的设备。 由于 OOB SMS 通常用于授权密码重置,因此这种攻击最终可以击败这两个身份验证因素。
  • 针对第二因素(+1FA)或无密码MFA的攻击包括:
    社会工程:例如,攻击者可以直接打电话给目标,冒充可信方(例如银行员工或目标的雇主),并要求目标通过电话从其令牌或验证器应用程序提供OTP。
    中间人(MITM)攻击:针对OTP方法的MITM攻击已存在多年。最近的例子有“网络钓鱼即服务”工具包EvilProxy(也使用cookie注入)、Evilginx和Modlishka。
    即时轰炸:当攻击者反复尝试使用他们已经以某种方式获得的用户名和密码登录时,即时轰炸攻击试图通过用(通常)移动推送身份验证提示淹没用户来攻击用户心理。 在多次通知后,目标用户可能会屈服并点击“接受”按钮,完成攻击者的登录(见注3)。
  • 拒绝服务(DoS)攻击:允许用户在认证服务中断的情况下获得访问权限的Fail-open配置允许攻击者绕过认证步骤,如果他们可以使用DoS攻击来关闭身份验证服务。注意:不能为高危特权用户配置Fail-open配 置;如果身份验证服务不可用,PAM工具可以提供应急访问(“打破玻璃”场景;请参阅特权访问管理的关键能力)。
    利用软件漏洞的攻击:攻击者可能能够利用身份验证服务中的缺陷绕过身份验证步骤——例如,通过欺骗 HTTP 标头绕过 WS-Trust MFA。
    利用配置错误的攻击:攻击者可能能够利用配置不当的身份验证工具。例如,如果策略允许同一用户并发会话,则攻击可能能够打开继承目标现有会话的已验证状态的新会话。在最糟糕的情况下,一项政策可能根本无法执行MFA,尽管它应该执行。尽管严格来说这不是错误配置,但继续使用传统的电子邮件协议(如IMAP,默认情况下通常是“开启”的)也意味着不能支持MFA。

正如在《扩展检测和响应的创新洞察》中所描述的,XDR策略要求高度依赖于单个供应商。在其他风险中,这可能会带来单点故障的风险。当ITDR与传统的IAM技术(如AM和MFA)融合时,可能存在同样的风险。

安全市场整合的时机已经成熟。然而,在处理ITDR这一新兴学科时,最好同时评估专业工具提供的ITDR能力以及IAM和基础设施安全工具的融合能力。在ITDR技术成熟之前,涉及ITDR的分层方法是增强网络攻击准备的最佳方式。将重点放在身份基础设施上;否则,控制措施可能因为过多而徒劳无功。

注释 3:如何降低 MFA 即时炸弹攻击的风险

对于即时轰炸攻击的威胁,最有力的应对措施是通过迁移到FIDO2等“抗网络钓鱼”认证方法来消除风险(参见美国管理和预算办公室的M-22-09备忘录,推动美国政府走向零信任网络安全原则)。Gartner对多种身份验证令牌的创新见解建议谨慎对待对传统方法的新投资(包括移动推送),并建议在两到三年内迁移到FIDO2。

然而,如果你需要降低风险,你可以这样做:• 阻止登录尝试(例如,在连续两次拒绝尝试后暂时锁定帐户)。

• 为提示消息提供额外的上下文,这样攻击者发起的提示显然是伪造的。

• 将身份验证绑定到会话(例如,通过要求用户匹配登录屏幕上显示的代码)。

• 要求电话和端点设备在同一位置(在定位服务的正常误差范围内)。

由于无密码移动 MFA 方法涉及“更高摩擦”操作(PIN 或生物识别方法),用户可能不太容易受到这种攻击,但它仍然可能成功。

最后,ITDR 可以帮助检测连续提示或异常 MFA 提示活动。

这些补偿控制措施都不是万无一失的,但结合起来可以降低MFA快速轰炸的风险,使其处于组织的风险承受水平之内。