两组广泛的调研数据具有高度一致性,现阶段的网络威胁而言,从身份维度做好系统性防护已成为重要趋势。为此,调研机构提出ITDR技术(身份威胁检测和响应——Identity Threat Detection and Response)予以应对,在经过网安企业实践落地之后,ITDR已成为最新热门技术之一。
Gartner在强调ITDR技术的重要性时曾指出,身份安全将成为企业未来的核心工作之一(身份优先安全),企业需要保护只有经过授权的最终用户、设备和服务才能访问系统,应用ITDR技术可以为成熟的IAM(身份和访问管理——Identity and Access Management)提供额外保护,组织必须关注保护其IAM基础设施。
IAM应用高速增长 已成为企业重要基础设施
身份和访问管理(IAM)是一套业务流程、策略和技术框架,其功能指向是确保合法的用户能够在正确的时间,以正确的理由访问网络资源。IAM基础应用能让企业运维团队获得基于身份的安全可见性,并随时跟踪用户访问行为,便于随时调整安全策略。
中安网星从市场一侧观察指出,IAM应用呈全球高速增长趋势,在我国也被广泛使用,其建设需求的前提是加强敏感数据和关键业务系统的安全保护,其驱动力往往也不仅限于合规,同时IAM加强了用户对资源访问的体验性,可以释放企业在数字化转型下的生产力。
“如今,IAM已经成为企业一侧的基础设施,在各行业释放应用潜力,越来越多的企业已经把IAM列为优先事项,包括同类产品均具有极高市场成长性。”也正因如此,中安网星强调称,随着IAM等方案的广泛部署,其本身也已成为攻击者关注焦点所在。
中安网星进一步告诉安全419,随着企业加速上云,国内云计算市场的日益成熟,未来,IDaaS(身份即服务——Identify as a Service)也可能是企业更好的选择,IDaaS可以理解为SaaS+IAM,相比传统IAM,IDaaS具有的优势在于业务适配更强,如支持混合云部署,支持多租户模式等,同时其本身性能和安全性均有提升。
综合而言,企业正在加速使用IAM、IDaaS等技术类解决方案,来解决内外部的多生态上的基于身份的资源访问,其已成长为介于用户和关键资产之间的企业重要基础设施,且随着数字化进程的加速,新技术的不断普及应用,其解决方案的技术本身也在不断变化提升。
IAM需要额外保护 ITDR是其完美搭档
Gartner在定义ITDR技术时曾强调,攻击者现在正积极的将攻击目标瞄准IAM基础设施本身,在攻击者开始针对身份基础设施开展攻击之前,现有的技术流程不足以保护其安全性,因此,ITDR技术提供的身份威胁检测和响应能力为IAM等基础设施提供额外保护将变得至关重要。
分析IAM为何亟需额外保护时中安网星指出,在过去的企业信息系统的身份认证体系中,通常采用在每个业务系统独立身份认证方式,在这种认证体系下,对于身份的集中管理难度较高,当攻击事件发生时,也无法快速定位,只能从每个业务系统单点进行监控与防护。
随着身份认证体系的逐步完善,企业开始越来越多地采用IAM类设备进行身份的统一认证与权限管理,IAM作为企业身份认证与权限管理的枢纽,将企业内所有业务系统进行统一接入,并将各个历史业务系统中离散的身份进行统一标识与管控。
但是,诸如IAM等身份管理产品,其主要解决的身份认证和管理的工作,欠缺ITDR对应的检测和响应能力。
所以当IAM被大多数企业广泛采用,集中的身份认证管理也带来更高的集权属性,因此一旦IAM系统本身受到攻击并失陷,受其管控的所有系统资源也将向攻击者所敞开,IAM的快速发展迅速使得针对这类重要身份基础设施的保护也越来越重要,因此技术及对应的攻击趋势快速推动了ITDR的出现。
Gartner对于IAM需要ITDR技术的保护指出,IAM团队通常花费太多精力保护其他集团的数字资产,而没有足够的精力保护自己的IAM基础设施。言外之意指的就是IAM系统本身易受到定向攻击,系统本身的安全性有待提升,ITDR技术以身份维度面向多级基础设施应用,IAM只是其强调的应用场景之一。
ITDR的核心则是保护用户身份及身份基础设施免受恶意攻击,在以IAM为核心的身份管理体系中,ITDR可以总揽全局,以IAM为原点动态分析企业内所有身份认证的流量,快速识别在海量身份认证数据中的异常及恶意认证请求。因此IAM可以与ITDR相辅相成,从管理与安全两个角度对企业身份认证进行全面防护。
不久前,美两大部门(NSA+CISA)联合发布《身份和访问管理最佳实践》一文,在阐述实施IAM最佳实践之余,同样指出关键基础设施组织有责任实现、维护和监控安全的IAM解决方案和流程,从而保护自身业务和数据。该文件强调了一点,组织需要主动采取适当的行动来防止攻击,而不是过早地处于部署基础的IAM能力应用。
这份文件给出的观点同样指出,IAM系统实现凭据管理、身份验证和授权功能,这些都是安全的基础,但IAM系统本身也存在漏洞,一个易受攻击的IAM解决方案可以促进跨组织访问多个系统和数据。因上,保护IAM基础设施的安全至关重要。
文件给出的应对方式提出IAM本身需要审计和监测,不仅检查合规性,还应监测威胁指标和异常活动。其强调的是如果没有有效的IAM审计和监控程序,诸如被盗凭证和滥用特权访问等攻击将无法被及时发现,如果有的话这些工具可以协调响应行动,以应对IAM攻击。不难发现的是,其提出的审计和监控能力要求与ITDR一致。
更具技术与实践优势 中安网星ITDR将持续接入多级身份认证源
中安网星援引大量实例告诉安全419,攻击者当下正积极通过利用诸如IAM等基础设施本身的漏洞,如从底层协议进行攻击,破坏攻击企业的集权设施,进而获取域控、服务器、工作站的访问权限,从而进行后续操作,如窃取数据或部署勒索软件等操作。
从技术应对角度,中安网星ITDR目前通过与国内主流IAM厂商进行对接,其ITDR解决方案可适配多种IAM的身份管理平台,可以从身份资产安全、身份认证安全等多个角度对企业内的身份数据进行全面分析及保护。
“ITDR解决方案可以从海量身份数据中挖掘出其中潜在的风险账户、后门账户、风险配置等,同时对所有的身份认证过程进行动态审计,发现如Token窃取、登录绕过、异常认证等多种针对身份认证的攻击方式。该方案同时可通过身份认证发现攻击者的攻击链条,如从哪个业务系统开始攻击,使用当前身份登录过哪些业务系统,获取了哪些敏感数据等。”
据悉,中安网星ITDR平台可面向多级身份基础设施,未来会持续接入多个IAM、IDaaS身份认证源,并提供基于LDAP、OAuth、OIDC、CAS等多种方式的协议层通用威胁分析能力,可以快速兼容定制化、复杂化的客户身份认证环境,为不同需求的客户提供专业化的身份威胁检测与响应能力。
中安网星将其ITDR在IAM等基础设施落地实现保护上归纳了两大优势,一个是技术,另一个是实践。在技术上中安网星从实战的身份维度出发,更了解身份维度的全攻击向量的检测和响应,同时中安网星也是国内最早落地ITDR技术的安全厂商,其ITDR产品和解决方案已在金融、交通、能源、科技、消费等领域超100家大型企业一侧实现落地实践,并取得了客户的高度认可。
全面系统了解显示,从整个身份安全维度定义ITDR,ITDR将填补攻击链路上的身份防护空白,这也意味着ITDR在未来将成为身份集权基础设施保护的标准答案。中安网星在落地ITDR技术时,除了不断集成各基础设施的身份数据源的采集能力,还能向行业用户交付融合价值,比如IAM厂商就可以利用集成该技术,进一步融合完善产品的安全能力。
尾声.
身份连接万物,身份已成为新的安全边界。
从攻击趋势上总结,Gartner就曾指出,企业部署ITDR的驱动力在于越来越多的攻击者正以身份基础设施本身为目标,其中基于底层的协议攻击、凭证滥用司空见惯,而身份基础设施本身不足以防止违规行为,同时现有的安全产品同样缺乏身份维度的检测和响应能力。
总结而言,当攻击者已准备就绪,而防守者体系化的防御能力尚未形成,攻防两端的天平将失去平衡,直到ITDR技术的出现。仍以IAM为例,企业需要认识到只部署应用是不够的,必须同步串联ITDR能力,才能建立更加安全的身份安全体系,从而夯实企业的网络安全能力。
京公网安备 11010802033237号
