本文来自微信公众号“安全牛”。
随着数字身份数量激增,如何加强身份保护和管理成为许多安全负责人关注的焦点。据IDSA联盟发布的《2022年数字身份安全趋势》报告调查显示:
●84%的受访企业在过去一年遇到过身份泄露;
●78%的受访企业表示,身份泄露会对业务开展造成影响,比如声誉受损和泄露后恢复成本;
●96%的受访企业表示,希望加强身份安全防护措施,尽量减少身份泄露事件的发生。
在此背景下,有安全研究人员表示,由于基于身份的攻击活动不断增长,以IAM(统一身份管理)、PAM(特权访问管理)以及IGA(统一身份管理和治理)等为代表的现有身份管理方案已经不足以保护企业远离数字化时代的身份安全威胁,组织应该考虑结合新一代身份威胁检测和响应(ITDR)策略,以进一步降低身份安全的风险隐患。
数字身份安全的挑战
在过去几年,数字身份的数量(包括人类身份和机器身份)在不断增加。每个新身份的产生都意味着一条潜在的新攻击途径,而许多身份在生成时缺乏应有的保护或监控。这些唾手可得的身份对攻击者来说无疑是非常诱人的目标。
在以往,攻击者主要使用蛮力破解、密码喷射和撞库等攻击手段来窃取身份账号和密码。但是目前,威胁团伙还会通过凭据窃取技术、网络钓鱼攻击和APT攻击以获取用户名和密码。此外,多因素身份验证(MFA)技术也开始受到广泛攻击。
在IAM、PAM和IGA等现有的身份保护解决方案中,主要侧重于确保用户访问行为的安全与可控,授权和验证是这类的技术方案关注的重点,但它们往往难以帮助用户及时掌握身份攻击活动中的其他一些关键因素:账号是否滥用、风险暴露面以及权限提升等异常行为。
身份安全不仅仅是管理用户访问、监管治理或保护特权用户,企业需要从一个更大的身份安全角度评估现有防护体系中的不足和漏洞。这意味着需要更加主动的寻找威胁原因,并及时挫败基于身份的攻击活动以免酿成重大的安全事件。
由于数字身份已经成为企业最常受攻击的路径,因此在现有的身份访问管理基础上,进一步增强主动身份安全威胁监测和防御能力非常重要。身份安全威胁检测解决方案可以更准确的检测与身份相关的攻击指标,并及时阻止针对身份的攻击活动。
主动式身份威胁防护
不断严峻的数字身份危机表明,数字身份安全防护是一个系统化的工作,其可靠性最终取决于安全防护中的最薄弱环节。企业需要将主动端点防御、实时事件响应、零信任基础设施和域名保护等防护措施结合起来,构建更强大的新型身份管理解决方案。
在Gartner发布的《2022安全运营技术成熟度曲线》报告当中,正式提出了身份威胁检测和响应(Identity Threat Detection and Response,ITDR)技术。Gartner认为ITDR可以帮助企业填补在身份威胁监测与响应领域的防护空白,不仅可以在企业现有的身份管理模式基础上实现能力增强,还可以与EDR、NDR以及XDR等威胁监测解决方案互为补充。
当企业实施应用ITDR后,可以获得以下收益:
主动检测基于身份的威胁
ITDR技术可以主动寻找针对身份的攻击,检测凭据盗窃、滥用特权和AD上的恶意行为。
●阻止身份攻击活动
攻击者在开展身份攻击活动时,会在企业的网络、数据中心、云环境、远程站点或分支机构内部横向移动。ITDR技术可以将攻击者重定向到预先设置的诱饵,自动隔离受影响的系统,并阻止其横向移动企图,从而为企业环境增添一道保护层。
●增强数字身份的弹性
ITDR技术有助于企业收集取证并分析数据,它可以收集身份攻击活动中各方面的监控数据。技术团队可以使用收集到的信息来进一步优化薄弱的防护策略和流程。
●将保护范围扩大到云
云计算的应用常常助长身份权限散乱现象,使许多安全团队难以管理太多的应用程序、容器和服务器。ITDR技术可以让用户可以深入了解可能为潜在攻击者提供便利的高风险身份和权限,并将保护范围扩大到云环境。
