摘 要

?隨著零信任方案的逐漸落地，身份成為企業(yè)的新邊界。同時(shí)，身份基礎(chǔ)設(shè)施成為了攻擊焦點(diǎn)。

?最近的身份攻擊變得更加巧妙和復(fù)雜，甚至可以繞過(guò)MFA。

?當(dāng)前的IAM解決方案只能起到預(yù)防作用。

?企業(yè)更需要一個(gè)能夠檢測(cè)和響應(yīng)身份威脅的 ITDR 解決方案。

?ITDR 供應(yīng)商目前被收購(gòu)和整合發(fā)展迅速。

?選擇 ITDR 解決方案時(shí)需要考慮兩點(diǎn)：

(1) 能夠接入多場(chǎng)景，不限于AD。

(2) 從不同的供應(yīng)商處分別購(gòu)買 IAM 和 ITDR，以避免鎖定的風(fēng)險(xiǎn)。

零信任時(shí)代到來(lái)，身份是新的邊界和漏洞

零信任作為新安全框架，在日本推廣進(jìn)度迅猛，其核心思想是基于傳統(tǒng)身份邊界的身份驗(yàn)證和授權(quán)的轉(zhuǎn)變。

另一方面，隨著組織轉(zhuǎn)向零信任并越來(lái)越依賴以身份基礎(chǔ)設(shè)施為中心的環(huán)境，意味著身份基礎(chǔ)設(shè)施成為攻擊者的最佳目標(biāo)。事實(shí)上，我們還發(fā)現(xiàn)，憑據(jù)濫用這一攻擊手段正在被黑客廣泛利用。

近年來(lái)不斷增加的身份威脅和攻擊是什么？

特定的身份威脅會(huì)潛入目錄服務(wù)器（如 Active Directory）、基于云的標(biāo)識(shí)和訪問(wèn)管理 (IAM) 解決方案（如 Okta 和 Azure AD）以及身份基礎(chǔ)設(shè)施（如證書頒發(fā)機(jī)構(gòu)）。它是指通過(guò)跟蹤易受攻擊的設(shè)置來(lái)獲取特權(quán)身份等憑據(jù)信息并進(jìn)行滲透的網(wǎng)絡(luò)攻擊。

由于它在沒(méi)有像過(guò)去那樣使用惡意軟件進(jìn)行遠(yuǎn)程控制的情況下入侵，因此無(wú)法被 EDR 等惡意軟件檢測(cè)引擎檢測(cè)到。

近來(lái)，安全研究人員發(fā)現(xiàn)即便啟用了多因素身份認(rèn)證保護(hù)措施，用戶仍可能收到釣魚攻擊的侵害，并且針對(duì)身份的攻擊變得越來(lái)越復(fù)雜。

現(xiàn)有的身份管理方案（IGA、PAM、CIEM）只是預(yù)防

那么，是否有可能使用我們目前使用的各種身份和訪問(wèn)管理工具（如IAM，IGA，PAM和CIEM）來(lái)應(yīng)對(duì)這些攻擊？

像Savyint這樣的IGA（身份治理和管理）和像CyberArk這樣的PAM（特權(quán)訪問(wèn)管理）也具有防止不必要的特權(quán)身份過(guò)度配置的功能。對(duì)于 AWS 和 Azure 等云基礎(chǔ)設(shè)施環(huán)境，使用以CIEM為代表的云基礎(chǔ)設(shè)施授權(quán)管理功能，可以發(fā)現(xiàn)并防止過(guò)多的云身份權(quán)限頒發(fā)和脆弱的IAM設(shè)置。

此外，通過(guò)在云上或者本地應(yīng)用IAM 提供的 MFA（多因素認(rèn)證），可以最大程度地減少管理員權(quán)限被利用的機(jī)會(huì)（例如，更改為每次執(zhí)行 SSH 或 RDP 時(shí)都需要 MFA 的定時(shí)設(shè)置）。

但是，如上所述的身份管理解決方案本身所提供的功能，只是預(yù)防身份攻擊，并不能在IAM基礎(chǔ)設(shè)施被入侵后進(jìn)行相應(yīng)的檢測(cè)與阻斷。

ITDR——身份威脅檢測(cè)與響應(yīng)

即使您能夠使用IAM等盡可能適當(dāng)?shù)卦O(shè)置公司的身份基礎(chǔ)設(shè)施環(huán)境，毫不夸張地說(shuō)，想要完全阻止攻擊者通過(guò)巧妙的方法入侵您的身份基礎(chǔ)設(shè)施是不可能的。基于身份基礎(chǔ)設(shè)施將受到威脅的假設(shè)，有必要單獨(dú)考慮在其遭到入侵后如何檢測(cè)和響應(yīng)對(duì)身份基礎(chǔ)設(shè)施的威脅。

我們可以通過(guò)新的解決方案——ITDR（身份威脅檢測(cè)與響應(yīng)）來(lái)實(shí)現(xiàn)。

ITDR 是一種與EDR（端點(diǎn)檢測(cè)和響應(yīng)）、NDR（網(wǎng)絡(luò)威脅檢測(cè)和響應(yīng) ）相鄰的新解決方案。具體而言，正如 EDR 對(duì)端點(diǎn)設(shè)備的行為進(jìn)行分析，ITDR通過(guò)AI 和機(jī)器學(xué)習(xí)技術(shù)，對(duì)以Active Directory 和 Okta為代表的身份基礎(chǔ)設(shè)施上交換的身份驗(yàn)證流量的行為進(jìn)行分析。

ITDR能夠檢測(cè)與異常行為或威脅情報(bào)相一致的可疑身份，并實(shí)現(xiàn)各種“響應(yīng)”，例如阻止來(lái)自相應(yīng)ID 的身份驗(yàn)證以及與IAM一起請(qǐng)求額外的 MFA，例如 Okta。

正在被快速收購(gòu)和整合的ITDR供應(yīng)商

過(guò)去幾年中，對(duì)身份基礎(chǔ)設(shè)施的攻擊快速增長(zhǎng)以及XDR多種檢測(cè)技術(shù)的日益集成導(dǎo)致EDR供應(yīng)商（如CrowdStrike和SentinelOne）迅速收購(gòu)和整合ITDR供應(yīng)商。

像Proofpoint這樣的安全供應(yīng)商已收購(gòu)?fù){管理提供商ObserveIT，意在加強(qiáng)公司的企業(yè)網(wǎng)絡(luò)安全產(chǎn)品組合。ITDR目前是一個(gè)新興類別，許多供應(yīng)商仍然保持獨(dú)立研發(fā)運(yùn)營(yíng)，并且頭部安全供應(yīng)商對(duì)ITDR這條賽道的前景十分認(rèn)可，預(yù)計(jì)對(duì)ITDR供應(yīng)商的收購(gòu)還將持續(xù)很長(zhǎng)一段時(shí)間。

一些頭部安全供應(yīng)商的收購(gòu)新聞

2020年9月，CrowdStrike 以9600萬(wàn)美元的價(jià)格收購(gòu)零信任網(wǎng)絡(luò)安全初創(chuàng)公司Preempt Security。

2022年3月，SentinelOne宣布達(dá)成6.165億美元交易,收購(gòu)身份安全供應(yīng)商Attivo Networks。

選擇ITDR，你應(yīng)該注意這兩點(diǎn)

ITDR是一個(gè)新興類別的解決方案，目前已有10多種ITDR解決方案，每個(gè)公司的方案各有特點(diǎn)。以下是選擇 ITDR 解決方案時(shí)需要考慮的幾個(gè)關(guān)鍵點(diǎn)：

（1）能夠接入多場(chǎng)景，不限于AD

作為身份基礎(chǔ)設(shè)施的核心，Active Directory被廣泛使用。此外，在多AD和域環(huán)境中實(shí)現(xiàn)靈活的身份訪問(wèn)管理的Okta等各種IAM解決方案的采用和引入，以及向Azure AD的遷移以及SSO向SaaS的遷移也在逐步發(fā)展。

因此，不僅要全面保護(hù)Active Directory，各種IAM解決方案都需要作為企業(yè)應(yīng)該保護(hù)的身份基礎(chǔ)設(shè)施進(jìn)行全面保護(hù)。選擇能夠支持多場(chǎng)景的ITDR解決方案非常重要。某些ITDR解決方案只支持AD，有時(shí)被稱為“ADTR”而不是“ITDR”。

（2）從不同的供應(yīng)商處分別購(gòu)買 IAM 和 ITDR

隨著ITDR重要性的增加，IAM供應(yīng)商將以選項(xiàng)或子集的形式提供ITDR功能。

企業(yè)所使用的IAM解決方案并非只有一種，可以使用多家供應(yīng)商的解決方案。由于使用特定 IAM 供應(yīng)商提供的 ITDR 功能存在供應(yīng)商鎖定的風(fēng)險(xiǎn)，因此我們建議您購(gòu)買來(lái)自不同供應(yīng)商的 IAM 和ITDR解決方案。

國(guó)際上，Silverfort、Authomize等安全廠商已經(jīng)探索出了相對(duì)成熟的ITDR解決方案。而國(guó)內(nèi)對(duì)ITDR技術(shù)的探索實(shí)踐剛剛起步。

中安網(wǎng)星依托于多年的攻防經(jīng)驗(yàn)，率先在國(guó)內(nèi)拓展ITDR解決方案。中安網(wǎng)星ITDR（身份威脅檢測(cè)與響應(yīng)）平臺(tái)主要圍繞Identity及Infrastructure為核心進(jìn)行防護(hù)，涵蓋主流身份基礎(chǔ)設(shè)施及集權(quán)設(shè)施，從攻擊的事前加固、事中監(jiān)測(cè)、事后阻斷出發(fā)，產(chǎn)品的設(shè)計(jì)思路覆蓋攻擊者活動(dòng)的全生命周期。

基于身份的攻擊活動(dòng)不斷增長(zhǎng)，攻擊手段越來(lái)越難以防范，對(duì)企業(yè)網(wǎng)絡(luò)安全的管理者提出更加嚴(yán)苛的要求。中安網(wǎng)星將繼續(xù)立足于用戶的根本需求，通過(guò)對(duì)ITDR技術(shù)的深度鉆研與應(yīng)用實(shí)踐，助力客戶構(gòu)建起更加主動(dòng)的身份威脅檢測(cè)和響應(yīng)能力。

*本文部分節(jié)選自MACNICA公司發(fā)表的《ITDRとは？～I(xiàn)D脅威を検知?対応する注目の新ソリューション～》一文。

原文鏈接：

https://mnb.macnica.co.jp/2023/01/zerotrust/itdr.html