身份威胁检测与响应(Identity Threat Detection and Response)是为了保护组织的身份账户和组织目录,降低身份安全风险,针对各种威胁活动进行身份的识别、检测、响应的来抵御网络威胁攻击。Gartner于2022年首次提出的技术理念,国外已经有知名的CrowdStrike、CyberArk、Microsoft、Zscaler、Okta AI 等公司产品发布了ITDR解决方案,而且据相关市场预测到2029年的企业组织网络的威胁检测都将使用ITDR技术。
Gartner 发布的“2024年网络安全的三大趋势之一”中又一次提出了ITDR,国内和国际厂商和研究机构根据以往的客户信息泄露安全事件和实战的攻防对抗,发现APT组织、商业攻击团伙、黑客和内鬼在进行攻击和渗透过程中都需要一个关键的步骤,即利用应用系统的身份账户、登录凭证来控制应用系统后台和服务器,完成数据的窃取或勒索加密。
从2024开年至今,美国电信巨头AT&T泄露7千多万客户账户信息;美国保险巨头联合健康集团的Change Healthcare泄露了全国一亿人口的医疗信息和账户凭证;美国Snowflake云存储科技公司泄露票务公司巨头Ticketmaster 5.6亿数据;汽车零件商Advance Auto Parts的7900万条数据。在中国进行的相关国家级HVV行动和行业地方性HVV行动,甚至集团模拟的小HVV行动中,都取得的“重大级成果”,通过各种手段获取了相应应用系统的账户密码和凭证权限,并取得靶标单位的核心数据。
大量的数据泄露安全事件和实战化攻防的成果表明,控制或窃取企业组织的核心数据机密必须要通过身份账户权限这把“钥匙”来打开企业的“核心数据库”。在现有安全体系下已经建设了一套由网络安全边界、应用安全边界、终端安全边界共同组成的网络防护体系,但是面对安全事件和攻击威胁,需要在身份认证过程中进行身份威胁检测与响应的能力,共同建设完善的网络安全边界、应用安全边界、身份安全边界、终端安全边界四道安全边界。
免身份改造--ITDR网关
随着时代发展,大型企业或单位的IT系统变得日益庞大且复杂。新旧应用系统和设备的混合使得保障所有系统的身份安全变得极具挑战。此外,还有员工的身份角色、身份权限、访问环境、地域等各种复杂性的问题。在这种情况下,大范围改造身份认证系统不仅对普通用户,对负责系统开发的技术人员来说也是一项艰巨的任务。
安全419了解到,为了应对大型企业在身份安全方面面临的多重挑战,无胁科技全新发布了WuThreat高级身份威胁检测网关平台。该平台具备以下功能和优势:
免身份改造的集成能力:设备能够在不改变企业现有身份认证和授权系统的情况下集成,实现快速部署,减少对现有业务流程的影响;
全程无感的认证检测:充当用户和后台服务之间的中间层,自动处理身份认证请求;
无缝兼容遗留系统:支持与各种旧系统和应用的兼容,避免了对这些系统进行身份认证方面的改造;
第三方身份桥接:为供应商和合作伙伴提供安全的接入方式,而不需要他们更改自身的身份认证机制;
细粒度的权限管理:在不改变用户身份的情况下,实现对用户行为的精细化管理和监控;
威胁检测与溯源分析:在每次访问过程中实时各种威胁检测并可实时处置,且可以通过多维信息进行溯源分析定位。
免身份改造保护应用类型广泛
在身份安全技术发展的过程中,经历了简单认证、SSO、IAM、IDaaS、身份编织网络(Gartner 定义的下一代身份安全技术),同时包括很多如生物指纹、虹膜、令牌、短信、动态口令、证书等双因素的认证技术;这些技术的应用都需要进行应用的各种改造对接,无疑需要大量的改造和部署成本;这些身份安全技术的使用仅是加强身份认证因素,但是并没有解决身份安全的威胁现状。
WuThreat高级身份威胁检测网关平台是基于ITDR技术,便捷、免身份改造,通过代理发布各种网站应用系统,来实现应用访问检测身份ID和威胁行为。在大量的企业组织中已经建设了身份认证类:SSO、IAM、IDaaS系统等;业务系统类:财务、OA、邮件、综合业务系统等;重要基础设施类:虚拟化平台、Kubernetes、堡垒机、监控系统、运维系统、安全设备等系统,这些业务系统在存储和支撑了企业组织的数字化的业务和机密数据,通过大量的攻防实战化,可以轻易获取身份凭证和控制权限,且很多攻击都是无法进行有效的快速威胁检测、访问行为和威胁溯源定位。
WuThreat高级身份威胁检测网关平台支持的应用类型广泛且免身份改造:
全方位应用安全防护:身份认证类:SSO、IAM、IDaaS系统等;业务系统类:财务、OA、邮件、综合业务系统等;重要基础设施类:虚拟化平台、Kubernetes、堡垒机、监控系统、运维系统、安全设备等系统;
领先的ITDR检测技术:利用先进AI身份威胁检测技术,实时分析和检测每次访问的身份账户、设备指纹、网络环境、客户端工具的变化,分析用户的业务操作行为,结合大量实战化攻防对抗经验、千万级的威胁情报数据、各种自动化Bots攻击、黑客工具武器库等,实时对每次的应用访问进行身份检测与响应处置;
全面掌控身份账户资产:统计分析多应用的身份账户的活跃情况,精细化梳理业务访问,有效管理全网身份账户资产,建立有效的重要应用身份账户台账;
全面的身份凭证保护:有效防止已泄露凭证的使用,通过多因素认证和行为分析技术,即使攻击者持有合法的用户名和密码,也能准确识别并阻止非法访问。
搭建身份的威胁检测与响应新边界
在大量的实战化的攻防和安全事件面前,身份安全的边界是缺失,基于身份优先的原则基于ITDR技术理念的高级身份威胁检测网关平台可以在网络安全体系中建设一套身份的威胁检测与响应的新边界安全能力。通过搭建身份的威胁检测与响应新边界,可以实现:
便捷地保护互联网业务、内网业务、重要基础设施系统的网站应用
访问者和攻击者访问业务系统必须经过身份安全新边界的威胁检测
账户攻击手段、NDay攻击手段、欺诈攻击手段等联合千万情报共同检测
轻松实现身份账户的状态管理、IP管理、可信设备管理、用户组管理等精细化管控
该平台已经在医疗、教育、企业、央企多行业客户建设了一道“身份安全边界”,在不同应用环境帮忙客户有效的监控应用身份现状、威胁行为的检测与响应、威胁溯源和定位。
身份威胁检测与响应(ITDR)技术是网络防护体系中的关键补充,它通过实时监控、分析和响应身份相关的安全威胁,加强了对组织核心数据的保护。ITDR不仅提高了对身份账户攻击的防御能力,还通过自动化响应机制加快了对安全事件的处理速度,同时支持合规性要求,并与现有的安全措施相结合,构建了一个多层次的防御体系,从而有效提升了组织面对复杂网络威胁的整体安全防护能力。