身份威胁检测和响应(ITDR)保护身份基础设施本身,可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。作为近两年网络安全领域又一爆火的概念,吸引了微软、Palo Alto Networks 、谷歌、CrowdStrike等国外众多明星厂商纷纷布局,而在国内ITDR技术仍处于起步阶段。很多企业对于ITDR的了解还停留在思想和概念层面,只知道ITDR具备哪些核心能力,却不知道ITDR是如何解决实际问题的。
中安网星作为国内唯一实现ITDR技术落地的企业,从实战身份维度出发,推出的ITDR身份威胁检测与响应平台已适配主流应用的身份集权设施,在金融、交通、能源、科技、消费等领域超100家大型企业一侧实现落地实践。
下面通过一个案例——《某头部证券集权设施安全防护》,来看ITDR技术如何在具体的业务场景中,发挥其独特的价值。
一、项目背景
证券行业作为国家金融业的三大支柱产业之一,汇聚了大量的金融数据,其信息安全一直备受关注。此前国家已经接连出台十几部相关政策法规,例如《金融标准化“十四五”发展规划》、《证券期货业网络安全管理办法(征求意见稿)》,对证券行业的数据安全提出越来越高的要求。
本篇案例中的客户是国内十大证券公司之一,在过去的攻防演练期间,该公司AD 均受到不同程度的攻击,AD 域漏洞以及多个配置项存在大量风险,包括员工入域流程、特权账户管理不规范等问题。
基于上述的安全隐患,用户希望针对 AD 域安全问题展开风险评估与安全加固工作,并且希望可以实时的检测域控正在遭受哪些攻击,从而实现及时的处置。同时,公司信息化体系中存在大量类似 AD 的集权设施,如堡垒机,vCenter,k8s 等,考虑到未来 3-5 年的安全规划,希望可以针对集权设施构建整体的安全防护平台。
二、为证券行业构建系统安全防护体系
根据客户现面临的困境,中安网星通过ITDR来解决用户内网终端频繁失陷的问题。一期项目主要建设AD域安全,在项目二期接入其他集权设施,基于检测、监测、响应的技术框架,统一分析身份视角下的企业信息化安全威胁。
中安网星ITDR技术架构图
核心能力一:身份威胁评估
身份的威胁更侧重于规避、绕过或滥用身份系统,以实现网络攻击。想要降低身份威胁的风险首先要做好预防措施,通过如下手段开展前期的身份安全加固工作:减少暴露面、漏洞修复、基线核查、弱口令检测。
核心能力二:实时威胁监测
身份的威胁遍布于杀伤链,精明的攻击者往往可以通过各种手段绕过传统 的检测机制。ITDR 威胁检测能力参考 MITRE ATT&CK 和 Kill Chain 模型设计,利用机器学习、欺骗防御、用户和实体行为分析(UEBA)技术进一步加强了检测能力。
①欺骗防御:通过在内网构造高权限蜜罐账户的认证凭据,利用攻击者希望 隐藏自身位置的心理,攻击者在通过主动信息收集发现高权限凭据后,一般情况都会进行尝试登录或其他手段的利用,此时攻击者对身份认证系统请求蜜罐 账户认证,随即暴露所在位置,安全人员即可定位到失陷主机。还可通过流量 转发技术,将攻击者对真实业务系统的认证流量转发到提前准备好的蜜罐主机,造成认证成功的假象,拖延攻击进度。以此为安全人员提供充足的时间溯源攻 击路径和入口并开展封堵工作,将攻击者重新踢出边界防护的大门之外。
②机器学习:设置一定的学习周期,收集大量的身份行为数据,对每个用户进行行为建模,学习结束后形成新的规则模型,当行为超出模型基线便会产生告警。
③用户和实体行为分析(UEBA):将用户或实体行为、告警、风险等信息汇总后,通过算法得出用户或实体的风险评级,发现与用户或实体标准画像或 异常行为的活动,有效帮助运维人员发掘潜藏的身份威胁。
核心能力三:自动化响应
攻击实时阻断是完成威胁处置的最后一环,ITDR 可以对实施攻击的用户及 IP 进行封禁,同时依托于完整的告警与原始数据存储,供用户对威胁事件进行 深度溯源分析。
ITDR 通过对接身份认证基础设施实现阻断规则的配置下发,并且支持手动威胁阻断和自动威胁阻断两种方式。
①手动威胁阻断:可添加阻断策略,对指定用户或 IP 进行阻断指令,被阻断 的用户及 IP 将会被临时封禁。
②自动威胁阻断:可针对每一条检测规则配置自动威胁阻断策略,若规则配 置内自动威胁阻断开关打开,则在当前规则告警时,将当前规则告警中的用户和IP自动添加到威胁阻断页面的阻断策略中,并执行阻断命令对其进行临时封禁。
身份威胁响应模块同时支持对接第三方安全防护产品,实现联动处置,快速支持安全事件应急响应工作。
三、客户收益
• 提供了全面的网络安全威胁识别和管理能力,包括资产管理、漏洞扫描、安全分析和报告等,帮助企业实时发现和解决安全漏洞和威胁。
• 提供了实时监测能力,可有效的以身份为视角发掘网络安全风险与异常行为,结合蜜罐技术捕获入侵者。Ø
• 提供了自动化响应的能力,在发现高危风险后可执行自动处置,及时阻断安全风险,缩短处置时间,降低运维压力。
• 在攻防演练期间,通过产品对多台域控进行实时监控,并结合产品蜜罐功能,对域内终端进行联动分析,成功抵御了攻击者的攻击,保障了 AD 域的安全。
在万物互联时代,身份安全往往与企业的存亡休戚相关。虽然对于ITDR的探索实践仍处于探索阶段,但在未来,中安网星作为国内首家ITDR安全厂商将通过产业各界携手共建,持续推动企业网络安全架构的变革,根据中国的网络安全环境持续探索ITDR落地的“中国样本”,为各行各业数字化转型提供敏捷高效的安全支撑。