ITDR身份威脅檢測與響應(yīng)白皮書-2023.09_第1頁
ITDR身份威脅檢測與響應(yīng)白皮書-2023.09_第2頁
ITDR身份威脅檢測與響應(yīng)白皮書-2023.09_第3頁
ITDR身份威脅檢測與響應(yīng)白皮書-2023.09_第4頁
ITDR身份威脅檢測與響應(yīng)白皮書-2023.09_第5頁
已閱讀5頁,還剩9頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

身份基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)AITDR

白皮書一、身份基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)

1

四、中安網(wǎng)星ITDR1.1當(dāng)今身份基礎(chǔ)設(shè)施現(xiàn)狀24.1三大核心能力1.2企業(yè)存在身份風(fēng)險(xiǎn)痛1.2.1外部身份威脅1.2.2內(nèi)部身份威脅點(diǎn)2222234.2六大應(yīng)用場景4.3

ITDR與企業(yè)原1.2.3身份設(shè)施割裂無法集中監(jiān)控1.2.4身份威脅監(jiān)控能力不足,安全團(tuán)隊(duì)人員不足或能力有限1.3攻擊趨勢逐步轉(zhuǎn)變?yōu)獒槍ι矸莼A(chǔ)設(shè)施目錄二、ITDR技術(shù)應(yīng)運(yùn)而生4五、中安網(wǎng)星ITDRCONTENTS2.2

ITDR發(fā)展的雙輪驅(qū)動(dòng)55.1基于業(yè)務(wù)視角2.2.1驅(qū)動(dòng)一:身份是5.1.1身份基礎(chǔ)設(shè)企業(yè)防護(hù)新邊界52.2.2驅(qū)動(dòng)二:攻擊鏈路中身份是核心要素56675.1.2內(nèi)部風(fēng)險(xiǎn)控5.2基于攻防視角5.2.1黑客入侵5.2.2護(hù)網(wǎng)演習(xí)2.3

ITDR的市場認(rèn)可及趨勢2.3.1

Gartner眼中的ITDR:身份優(yōu)先安全2.3.2權(quán)威機(jī)構(gòu)對Gartner提出ITDR的認(rèn)可內(nèi)外的發(fā)展趨勢2.3.3

ITDR在國85.3基于運(yùn)管視角5.3.1

當(dāng)前運(yùn)管存5.3.2滿足合規(guī)的5.3.3檢測濫用的三、中安網(wǎng)星ITDR解決方案的技術(shù)架構(gòu)

9六、結(jié)語3.1概述1010113.2事前階段3.3事中階段3.4事后階段11BITDR

白皮書身份基礎(chǔ)設(shè)施安全面0DITDR

白皮書身份基礎(chǔ)之中。傳統(tǒng)的安全威脅是以漏洞為基礎(chǔ),漏洞總是由攻擊者掌握,而防守者掌握并加一、身份基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)入到企業(yè)防因此通過對攻擊者行為的預(yù)測就顯得格外重

,身份檢測就是這樣一個(gè)范式,可以預(yù)測攻擊者行為。但企業(yè)身份威脅安全監(jiān)控缺乏監(jiān)控維度與規(guī)則,企業(yè)被攻擊之后無法快速溯源,無法回答身份的調(diào)用過程是如何扭轉(zhuǎn)的。當(dāng)下隨著整個(gè)IT基礎(chǔ)架構(gòu)逐漸云化及復(fù)雜化,身份成為了企業(yè)防護(hù)體系中的周

期往往是以月記的,這常常會(huì)陷入到攻防不對稱的狀態(tài)中。要1.1當(dāng)今身份基礎(chǔ)設(shè)施現(xiàn)狀護(hù)的新邊界。過去的IT

架構(gòu)相對簡

單,傳統(tǒng)的安全防護(hù)模型是以邊界設(shè)計(jì)為核心,安全信任級別先連接,后信任,在網(wǎng)絡(luò)邊界驗(yàn)證用1.3攻擊趨勢逐步轉(zhuǎn)變?yōu)獒槍ι矸莼A(chǔ)設(shè)施跟位置是強(qiáng)關(guān)聯(lián)的。邊界設(shè)計(jì)的網(wǎng)絡(luò)安全方法是為了順應(yīng)新的IT

架構(gòu)變革,更好地應(yīng)對云時(shí)代的到來,近幾年來企業(yè)開始應(yīng)用戶身份,如果用戶被認(rèn)定為是可信任的,就能訪問該網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)和資源。身份認(rèn)證和管理類方案,如

IAM、IGA、IDaaS

PAM

等,此類方案主要側(cè)重

于授權(quán)過去的很長一段時(shí)間內(nèi),企業(yè)通過對各類邊界層層防護(hù)擁有了強(qiáng)大的縱深防護(hù)能和身份驗(yàn)證,確保合適的人可以訪問他們需要的文件和應(yīng)用資源,但卻疏忽了身份威力,但如今

IT

架構(gòu)的云化和復(fù)雜化,身份本身成為了企業(yè)新的邊界,傳統(tǒng)邊界類的護(hù)方案開始捉襟見肘,無法防護(hù)新IT

架構(gòu)下新場景的威脅。承載企業(yè)身份相關(guān)的的攻擊對象

,

IAM、AD、PAM、4A、vSphere

等。這些脅檢測和響應(yīng)的能力,同時(shí)這些設(shè)施本身也帶來了巨大的攻擊風(fēng)險(xiǎn)。防伴隨著身份認(rèn)證管理方案的普及,越來越多的攻擊者將攻擊目標(biāo)轉(zhuǎn)向具有高攻擊身份基礎(chǔ)設(shè)施逐漸成為主要價(jià)值的身份基礎(chǔ)設(shè)施。攻擊者通過竊取身份設(shè)施中的合法身份進(jìn)行利用,在內(nèi)網(wǎng)中橫身份基礎(chǔ)設(shè)施通常具有保存密碼多、控制節(jié)點(diǎn)多、網(wǎng)絡(luò)權(quán)限廣的特點(diǎn),對攻擊者而言向移動(dòng)而不被發(fā)現(xiàn),也能使用身份設(shè)施中訪問權(quán)限來竊取更有價(jià)值的數(shù)據(jù),例如員工是核心的攻擊對象,對企業(yè)而言則需要點(diǎn)防重護(hù)。和客戶的敏感個(gè)人信息或財(cái)務(wù)信息等。在大多數(shù)的攻擊案例中我們可以看行定向攻擊,因?yàn)槠錂?quán)限及網(wǎng)絡(luò)權(quán)限的特殊性,此類基礎(chǔ)設(shè)施一旦被利用,將會(huì)成為引發(fā)重

大安全事故的核心節(jié)點(diǎn),而其中的每一個(gè)身份都會(huì)成為擴(kuò)展新攻擊路徑的重媒介。出,攻擊者會(huì)針對企業(yè)內(nèi)重要身份基礎(chǔ)設(shè)施進(jìn)要1.2企業(yè)存在身份風(fēng)險(xiǎn)痛

點(diǎn)1.2.1外部身份威脅企業(yè)復(fù)雜割裂身份體系,導(dǎo)致企業(yè)身份暴個(gè)身份賬戶等。暴漏在企業(yè)外部的身份連接信息成為攻擊者打開企業(yè)網(wǎng)絡(luò)邊界金鑰匙,常常采集企業(yè)對外暴露的身份信息分析后針對其進(jìn)行攻擊。露面在爆炸式增長,例如一個(gè)員工有多1.2.2內(nèi)部身份威脅身份是一個(gè)人在數(shù)字世界的映射,一旦內(nèi)部出現(xiàn)心懷惡意的內(nèi)鬼或疏忽大意的員工必然會(huì)出現(xiàn)失陷賬號(hào)與失陷主機(jī)導(dǎo)致的各種內(nèi)部威脅

;

身份憑據(jù)濫用,賬號(hào)管理松散,密鑰管理混亂極易引發(fā)安全問題。1.2.3身份設(shè)施割裂無法集中監(jiān)控對于企業(yè)內(nèi)部而言,不同礎(chǔ)設(shè)施,如企業(yè)的公有云、私有云、本地辦公設(shè)施等身份源存在必然的割裂;集團(tuán)子企業(yè)使用不同的身份源;部分產(chǎn)品無法對接企業(yè)身份源,未來這一情況也無法得到根本的改善這造成企業(yè)內(nèi)部統(tǒng)一認(rèn)證身份設(shè)施割裂,內(nèi)部多個(gè)身份源無法統(tǒng)一觀察與監(jiān)控,且存在大量獨(dú)立的認(rèn)證源存在監(jiān)控死角,僅僅依靠身份設(shè)施自身的安全監(jiān)控能力是法滿足企業(yè)管控需要的,企業(yè)如果要進(jìn)行安全分析與身份溯源往往力不從心。的供應(yīng)商使用獨(dú)立的認(rèn)證源,企業(yè)無法做到統(tǒng)一身份基。無1.2.4身份威脅監(jiān)控能力不足,安全團(tuán)隊(duì)人員不足或能力有限身份威脅監(jiān)控能力不足,安全團(tuán)隊(duì)人員不足或能力有限,深陷不對稱的“安全戰(zhàn)爭”2ITDR

白皮書ITDR

技術(shù)應(yīng)運(yùn)而生二、ITDR技術(shù)應(yīng)運(yùn)而生2.1ITDR是什么?Gartner

于《2022

安全運(yùn)營技術(shù)成熟度曲線》報(bào)告中正式提出

ITDR

技術(shù)概念,Gartner

認(rèn)為創(chuàng)建ITDR

這個(gè)新類別將有助于企業(yè)集中精力并更好地保護(hù)其身份系統(tǒng)。換而言之,基種專門的、針對性的方法來對抗身份攻擊威脅。ITDR

即身份威脅檢測和響應(yīng)(Identity

Threat

Detection

and

Response),ITDR是一個(gè)新的安全類別,是指保護(hù)身份基礎(chǔ)設(shè)施免受惡意攻擊的工具和流程,監(jiān)測針對身份基礎(chǔ)設(shè)施的攻擊

,

通過結(jié)合異常身份請求、UEBA、身份欺騙等方式,于身份的攻擊已經(jīng)成為一種常見的網(wǎng)絡(luò)安全威脅,以至于需要一可以發(fā)現(xiàn)憑據(jù)竊取、特權(quán)濫用以及其他與身份相關(guān)的攻擊威脅和潛在風(fēng)險(xiǎn)。ITDR

技術(shù)應(yīng)運(yùn)而生022.2ITDR發(fā)展的雙輪驅(qū)動(dòng)2.2.1驅(qū)動(dòng)一:身份是云原生時(shí)代、企業(yè)邊界越發(fā)模糊和復(fù)雜,原有安全防御體系失靈,身份成為企業(yè)新邊界,也是企業(yè)的唯一控制點(diǎn)。過去

IT

架構(gòu)簡

單的時(shí)候,網(wǎng)絡(luò)邊界防火墻是剛需,發(fā)展到

Web2.0

時(shí)代用戶開始和大量的互聯(lián)網(wǎng)應(yīng)用進(jìn)行交互,此時(shí)

web

應(yīng)用防護(hù)墻(WAF)

開始成為標(biāo)配。如今萬物互聯(lián),身份成為企業(yè)的新邊界新的控制點(diǎn),那身份威脅檢測一定是這個(gè)階段的必然產(chǎn)物。身份如今變得越來越重使用堡壘機(jī)、辦公網(wǎng)使用

AD、隔離網(wǎng)用云桌面用

IDaas

等。攻擊者越來越多地將目標(biāo)對準(zhǔn)身份基礎(chǔ)設(shè)施本身,組織必須更加專注于保護(hù)其身份基礎(chǔ)設(shè)施。ITDR

技術(shù)將為身份基礎(chǔ)設(shè)施部署增加額外的安全層。云原生時(shí)代催生出很多新的業(yè)務(wù)及辦公場景,對應(yīng)被攻擊的場景也將更加豐富。比如遠(yuǎn)程辦公場景,現(xiàn)在可能一個(gè)企業(yè)辦公軟件賬戶泄露,可能就會(huì)導(dǎo)致這個(gè)企業(yè)的大量業(yè)務(wù)數(shù)據(jù)丟失,一個(gè)業(yè)務(wù)應(yīng)用設(shè)計(jì)有邏輯問題,可能就會(huì)導(dǎo)致被薅羊毛,這樣的案例再這幾年有很多,新業(yè)務(wù)場景下其實(shí)產(chǎn)生非常多種的風(fēng)險(xiǎn)攻擊面企業(yè)的安全需要,從防火墻、入侵檢測和殺毒軟件的傳統(tǒng)老三樣“標(biāo)配”,逐漸向數(shù)據(jù)是新中心、情報(bào)是新服務(wù)、身份新邊界的新時(shí)代“立體化”網(wǎng)絡(luò)安全需求演進(jìn)。企業(yè)防護(hù)新邊界要,企業(yè)的身份基礎(chǔ)設(shè)施也開始多元化,例如生成網(wǎng)絡(luò)、服務(wù)器用

vCenter、云上應(yīng)用使。45ITDR

白皮書ITDR

技術(shù)應(yīng)運(yùn)而生表一?典型的身份基礎(chǔ)設(shè)施分類

所有攻擊環(huán)節(jié)都能看到攻擊者使用身份類攻擊,攻擊者在不同的場景不同的過程都會(huì)使用不同的身份類攻擊身份設(shè)施對象設(shè)施應(yīng)用場景設(shè)施屬性特點(diǎn)設(shè)施主要功能

ITDR

能否保護(hù)手法。身份認(rèn)證和管理、多用于企業(yè)應(yīng)用資源IAM認(rèn)證管理提供給企業(yè)的應(yīng)用統(tǒng)一的身份認(rèn)證能網(wǎng)絡(luò)權(quán)限廣泛身份認(rèn)證和管理、POD

集中

對辦公網(wǎng)

/

服務(wù)器的終端提供認(rèn)證AD多用于辦公網(wǎng)區(qū)域認(rèn)證管理能控制、網(wǎng)絡(luò)權(quán)限廣泛和管控功能身份認(rèn)證和管理、POD

集中

能夠基多用于企業(yè)虛擬化資源控制、網(wǎng)絡(luò)權(quán)限廣泛

擬化辦公平臺(tái),支持多操作系統(tǒng)于用戶硬件資源快速構(gòu)建虛vCenter管理能PAM身份認(rèn)證和管理、POD

集中

多用于企業(yè)生產(chǎn)網(wǎng)絡(luò),能夠統(tǒng)一管多用于企業(yè)生產(chǎn)網(wǎng)資源認(rèn)證管理能(4A/

堡壘機(jī)

)控制、網(wǎng)絡(luò)權(quán)限廣泛理和登錄審計(jì)生產(chǎn)網(wǎng)的服務(wù)器企業(yè)的容器化管理方案,用于構(gòu)建企業(yè)的私有云方案,具備彈性伸縮的特點(diǎn)身份認(rèn)證和管理、POD

集中控制、網(wǎng)絡(luò)權(quán)限廣泛K8S多用于企業(yè)容器化資源能的認(rèn)證管理多用于企業(yè)的服務(wù)器運(yùn)維機(jī)器管理多用于企業(yè)云上應(yīng)用的身份認(rèn)證和管理身份認(rèn)證和管理、POD

集中

企業(yè)常用的服務(wù)器監(jiān)控方案,管理zabbix能控制、網(wǎng)絡(luò)權(quán)限廣泛企業(yè)的大多數(shù)生服務(wù)器有云方案,用于業(yè)務(wù)應(yīng)用的對外部CLOUD(IDAAS)/IDAAS身份認(rèn)證和管理、POD

集中控制、網(wǎng)絡(luò)權(quán)限廣泛署,提供對外訪問等,基于

IDASS

能2.3ITDR的市場認(rèn)可及趨勢的功能,實(shí)現(xiàn)內(nèi)外訪問的身份統(tǒng)一2.3.1Gartner眼中的ITDR:身份優(yōu)先安全身份認(rèn)證和管理、POD

集中控制、網(wǎng)絡(luò)權(quán)限廣泛基于虛擬化技術(shù),提供給用戶在辦云桌面多用于企業(yè)辦公隔離網(wǎng)的虛擬辦公平臺(tái)能Gartner

今年發(fā)布的數(shù)份安全趨勢報(bào)告中曾提及身份優(yōu)先安全,將其解讀為安全管理者在未來必須解決的重趨勢之一。ITDR

Gartner《2022

安全運(yùn)營技術(shù)成熟度曲線》報(bào)告中被列為新興技術(shù),其效益等級為高,目標(biāo)受眾有著5%

20%

的市場滲透率,這代表著Gartner

對這項(xiàng)技術(shù)應(yīng)用價(jià)值的潛在認(rèn)可。從技術(shù)成熟度上來看2.2.2驅(qū)動(dòng)二:攻擊鏈路中身份是核心要ITDR

技術(shù)本身成熟度較高,Gartner

預(yù)期未來

2-5

年即可達(dá)到主流應(yīng)用。頻繁的攻防演練、以

APT

為代表的新一代攻擊模式中身份攻擊利用已成為攻擊全鏈路中被高頻使用的技術(shù)手段。大量的攻防案例分析,無論多復(fù)雜的攻擊鏈路都離不開最核心的三個(gè)攻擊要素:第一個(gè)要素是知道攻擊對象是誰,比如是一個(gè)

IP

地址,是一個(gè)應(yīng)用系統(tǒng),是一個(gè)賬戶等;第二個(gè)要素是到一個(gè)身份信息,比如是一個(gè)密碼,是一個(gè)私鑰,是一個(gè)憑據(jù)或證書等第三個(gè)要素是進(jìn)行身份的登錄驗(yàn)證,驗(yàn)證登錄這個(gè)對象。三個(gè)要素不斷的循環(huán)其實(shí)就可以形成一個(gè)復(fù)雜攻擊鏈路。公外網(wǎng)的虛擬辦公平臺(tái)要,素要要拿同身份基礎(chǔ)設(shè)施作為鏈路中的關(guān)鍵攻擊對象,此類身時(shí)能夠發(fā)現(xiàn)在現(xiàn)代化的攻擊過程中,攻擊者也更喜歡拿份基礎(chǔ)對象都滿足三個(gè)特點(diǎn):第一保存的身份憑據(jù)多,攻破之后能夠拿到大量的身份密碼或憑據(jù)等;第二本身網(wǎng)絡(luò)權(quán)限廣,是攻擊很好的跳板;第三是控制機(jī)器多,能夠讓攻擊者以此快速拓展戰(zhàn)場。對攻擊者而言,這些對象有極高的攻擊價(jià)值,所以企業(yè)應(yīng)當(dāng)聚焦精力來保護(hù)這些身份基礎(chǔ)設(shè)施。過去我們已經(jīng)看到國內(nèi)大量攻擊案例中都會(huì)去攻擊AD、堡壘機(jī)、云平臺(tái)、vCenter、4a

等身份基礎(chǔ)設(shè)施,甚至攻擊者會(huì)攻擊利用一些安全廠商的系統(tǒng),隨著零信任在國內(nèi)的逐步落地,針對零信任組件的攻擊在未來也會(huì)有增長的趨勢。67ITDR

白皮書且在今年

3

Gartner

發(fā)布的

2022

年的七大安全與風(fēng)險(xiǎn)趨勢中,Gartner表示:攻擊者正在瞄準(zhǔn)針對身份和訪問管理(IAM)基礎(chǔ)設(shè)施,通過憑證濫用發(fā)起攻擊。Gartner

提出了“身份威脅檢測和響應(yīng)

ITDR(IdentityThreat

Detection

and

Response

)”這一術(shù)語來描述用于保護(hù)身份系統(tǒng)的工具和最佳實(shí)踐的集合。與此同時(shí),Gartner

預(yù)估,到

2023

年,“75%

的安全故障將是由于對身份、訪問和特權(quán)的監(jiān)控與管理不足”,而在2020年這一比例為疑活動(dòng)。2.3.2權(quán)威機(jī)構(gòu)對Gartner提出ITDR的認(rèn)可新威脅領(lǐng)域的一些例子,包括云控制臺(tái)訪問、云授權(quán)濫用以及嵌入式

DevOps

和應(yīng)用程序密鑰帶來的極端危險(xiǎn)。而攻擊者完全認(rèn)識(shí)到了這個(gè)機(jī)會(huì):國際身份安全聯(lián)盟

IDSA

的一項(xiàng)研究發(fā)現(xiàn),在過去兩年中,79%

的企業(yè)都經(jīng)歷過與身份相關(guān)的攻擊。和其他許多攻擊一樣,最近的

SolarWinds

數(shù)字供應(yīng)鏈攻擊同樣涉及了身份盜竊和特權(quán)訪問操縱。而在國內(nèi)的護(hù)網(wǎng)行動(dòng)場上甚至有超過

50%

的攻擊和弱口令相關(guān),憑據(jù)竊取攻擊更是數(shù)不勝數(shù),面對這些現(xiàn)代威脅,身份顯然已成為新的安全戰(zhàn)場。中安網(wǎng)星ITDR

解決方案的02.3.3ITDR在國ITDR

技術(shù)在國外發(fā)展還是比較迅速的,涌現(xiàn)了一波獨(dú)角獸公司,國內(nèi)ITDR

發(fā)展還屬于起步階段;我們在提出

ITDR

解決方案的同時(shí)需要盡快實(shí)現(xiàn)在企業(yè)中的身份安全落地,要去結(jié)合國內(nèi)企業(yè)安全現(xiàn)狀去思考實(shí)際解決方案,過去企業(yè)側(cè)已有的身份基礎(chǔ)設(shè)施,包括生產(chǎn)網(wǎng)用堡壘機(jī),辦公網(wǎng)用

AD,隔離網(wǎng)用云桌面,內(nèi)部虛擬化用vCenter

等,這些土壤足夠支撐

ITDR

方向企業(yè)現(xiàn)階段的發(fā)展;隨著零信任的落地浪潮,身份廠商的快速發(fā)展,客戶的身份設(shè)施同樣會(huì)更加多樣化,會(huì)讓

ITDR

有可預(yù)期的第二次業(yè)務(wù)爆發(fā)增長機(jī)會(huì)。從市場來看,身份設(shè)施是客戶側(cè)最基礎(chǔ)的管理工具,幾乎不存在沒有身份管理設(shè)施的企業(yè),現(xiàn)在網(wǎng)絡(luò)安全覆的萬余家企業(yè)一般都是已經(jīng)部署了

AD

域、堡壘機(jī)、4A

中的一種或幾種設(shè)施作為傳統(tǒng)的身份管理?,F(xiàn)在更多的應(yīng)用對接產(chǎn)生了更多的身份場景,衍生出

IAM、IDAAS

這些新興的身份設(shè)施。終端、流量、身份形成了貫穿公司內(nèi)行為的三層,終端檢測相應(yīng)形成了

EDR,流量檢測響應(yīng)形成了

NDR,而基于身份檢測相應(yīng)的

ITDR

則會(huì)成為未來身份這一層最重

的安全產(chǎn)品。未來無論是零信任方案還是XDR

方案內(nèi)外的發(fā)展趨勢蓋要都繞不開

ITDR

的支持。8ITDR

白皮書中安網(wǎng)星ITDR

解3.3事中階段三、中安網(wǎng)星ITDR解決方案的技術(shù)架構(gòu)盡管前期的加固制就足以阻止網(wǎng)絡(luò)攻擊,針對身份的威脅要做到實(shí)時(shí)監(jiān)測與防護(hù)。威脅檢測能力參考MITRE

ATT&CK

Kill

Chain

模型設(shè)計(jì)。身份的威脅遍布于殺傷鏈的各個(gè)階段,能階段,是威脅檢測中重

的一環(huán)。精明的攻擊者往往可以隱藏工作我們已經(jīng)做的足夠好了,但絕不能認(rèn)為僅靠基本的預(yù)防性控3.1概述否分辨攻擊所處的不同從運(yùn)營視角來看,大多數(shù)情況下的應(yīng)急響應(yīng)或溯源自身繞過傳統(tǒng)的檢測機(jī)制,因此我們利用機(jī)器學(xué)習(xí)、欺騙防御、用戶和實(shí)體行為分析某個(gè)來源IP

攻擊某個(gè)目標(biāo)

IP,無法確認(rèn)每一個(gè)網(wǎng)絡(luò)連接、端點(diǎn)、漏洞、設(shè)備背(UEBA)技術(shù)進(jìn)一步加強(qiáng)了檢測能力。但這恰恰是企業(yè)安全人員所關(guān)注的核心。因此企業(yè)需要視身份在分析與溯源欺騙防御:通過在內(nèi)網(wǎng)構(gòu)造高權(quán)限蜜罐賬戶的認(rèn)證憑據(jù),利用攻擊者希望隱藏自要分析過程中僅能碎片式地回答后的聯(lián)系,過程中重的串聯(lián)能力。身位置的心理,攻擊者在通過主動(dòng)信息收集發(fā)現(xiàn)高權(quán)限憑據(jù)后,一般情況都會(huì)進(jìn)行嘗于是試登錄或其他手段的利用,此時(shí)攻擊者對身份認(rèn)證系統(tǒng)請求蜜罐賬戶認(rèn)證,隨即暴我們?nèi)诤瞎襞c運(yùn)營視角建立了一套身份威脅解決方案露所在位置,安全人員即可定位到失陷主機(jī)。還可通過流量轉(zhuǎn)發(fā)技術(shù),將攻擊者對真實(shí)業(yè)務(wù)系統(tǒng)的認(rèn)證流量轉(zhuǎn)發(fā)到提前準(zhǔn)備好的蜜罐主機(jī),造成認(rèn)證成功的假象,拖延攻擊進(jìn)度。以此為安全人員提供充足的時(shí)間溯源攻擊路徑和入口并開展封堵工作,將攻擊者重

新踢出邊界防護(hù)的大門之外。機(jī)器學(xué)習(xí):設(shè)置一定的學(xué)習(xí)周

期,收集大量的身份行為數(shù)據(jù),對每個(gè)用戶進(jìn)行行為建模,學(xué)習(xí)結(jié)束后形成新的規(guī)則模型,當(dāng)行為超出模型基線便會(huì)產(chǎn)生告警。用戶和實(shí)體行為分析(UEBA):將用戶或?qū)嶓w行為、告警、風(fēng)險(xiǎn)等信息匯總后,通過算法得出用戶或?qū)嶓w的風(fēng)險(xiǎn)評級,發(fā)現(xiàn)與用戶或?qū)嶓w標(biāo)準(zhǔn)畫

像或異常行為的活動(dòng),有效幫助運(yùn)維人員發(fā)掘潛藏的身份威脅。3.4事后階段結(jié)合現(xiàn)有的身份認(rèn)證體系構(gòu)建統(tǒng)一

ITDR

平臺(tái)來進(jìn)行落地應(yīng)用,目標(biāo)是ITDR

解決方案中的響應(yīng)相比檢測顯得更為重

。事后我們對危險(xiǎn)用戶可以禁用,時(shí)依托于完整的告警與原始數(shù)據(jù)存儲(chǔ),我們能對威脅事件進(jìn)行詳細(xì)的溯源分析展示。ITDR

通過對接身份認(rèn)證基礎(chǔ)設(shè)施實(shí)現(xiàn)阻斷規(guī)則的配置下發(fā),并且支持手動(dòng)威脅阻集中分析要企業(yè)所有身份數(shù)據(jù),以此達(dá)到統(tǒng)一審計(jì)、統(tǒng)一分析、統(tǒng)一運(yùn)營的目的。ITDR

數(shù)據(jù)集成階段通過主動(dòng)或被動(dòng)的方式采集各類身份數(shù)據(jù),目前支持AD、IAM、PAM、vCenter、Cloud

等多個(gè)場景的數(shù)據(jù)采集。同斷和自動(dòng)威脅阻斷兩種方式。我們認(rèn)為企業(yè)需要構(gòu)建覆蓋

安全事件全生命周

期的身份威脅檢測和響應(yīng)能力,基手動(dòng)威脅阻斷:可添加阻斷策略,對指定用戶或IP

進(jìn)行阻斷指令,被阻斷的用戶及

IP

將會(huì)被臨時(shí)封禁。于安全事件的事前、事中、事后三個(gè)階段全方位的解決身份威脅問題。自動(dòng)威脅阻斷:可針對每一條檢測規(guī)則配置自動(dòng)威脅阻斷策略,若規(guī)則配置內(nèi)自動(dòng)威脅阻斷開關(guān)打開,則在當(dāng)前規(guī)則告警時(shí),將當(dāng)前規(guī)則告警中的用戶和IP

自動(dòng)添加到威脅阻斷頁面的阻斷策略中,并執(zhí)行阻斷命令對其進(jìn)行臨時(shí)封禁。3.2事前階段身份威脅響應(yīng)模塊同時(shí)支持對接第三方安全防護(hù)產(chǎn)品,實(shí)現(xiàn)聯(lián)動(dòng)處置,快速支持身份的威脅更側(cè)重

于規(guī)避、繞過或?yàn)E用身份系統(tǒng),以實(shí)現(xiàn)網(wǎng)絡(luò)攻擊。想要降低身份安全事件應(yīng)急響應(yīng)工作。威脅的風(fēng)險(xiǎn)首先要做好預(yù)防措施,我們通過如下手段,開展前期的身份安全加固工作:攻擊面漏洞修復(fù):修復(fù)身份基礎(chǔ)設(shè)施存在的漏洞線核查:核查身份基礎(chǔ)設(shè)施的基線配置弱口令檢測:檢查身份基礎(chǔ)設(shè)施內(nèi)的用戶密碼健壯性,設(shè)置密碼復(fù)雜度要管理(減少暴露面):刪除非必要的或過多、過高的權(quán)限基求10ITDR

白皮書中安網(wǎng)星ITDR

解決方案的落地實(shí)踐四、中安網(wǎng)星ITDR解決方案的落地實(shí)踐4.1三大核心能力ITDR

平臺(tái)功能構(gòu)建圍·第一能看到See:最大限度地提高企業(yè)各個(gè)位置的身份可見性(通過對多個(gè)企業(yè)多個(gè)身份源的數(shù)據(jù)進(jìn)行收集分析,通過大數(shù)據(jù)處理及圖計(jì)算技術(shù)最大程度的將身份可視化,梳理每一個(gè)身份的扭轉(zhuǎn)情況,能夠發(fā)現(xiàn)其中的影子賬號(hào)、賬號(hào)權(quán)限過高等隱藏威脅)繞著三大能力方向

/

向量進(jìn)行構(gòu)建中安網(wǎng)星ITDR

解決方案的落地實(shí)踐04·第二能保護(hù)Protect:高效、高速、實(shí)時(shí)監(jiān)測身份攻擊行為(對身份設(shè)施的主動(dòng)式掃描進(jìn)行加固能夠?qū)嵤└兄缴矸蓊惖墓粜袨?,同時(shí)聯(lián)動(dòng)身份設(shè)施進(jìn)行威脅誘捕,威脅誘捕一定程度上彌補(bǔ)可能因?yàn)閿?shù)據(jù)不全面、數(shù)據(jù)碎片化造成的檢測能力缺陷。保護(hù),基于大數(shù)據(jù)處理和機(jī)器學(xué)習(xí)的分析1213ITDR

白皮書中安網(wǎng)星ITDR

解決方案的落地實(shí)踐·第三能阻斷恢復(fù)Resolve:·在整個(gè)安全生態(tài)系統(tǒng)中支持自動(dòng)響應(yīng)(通過提供自動(dòng)化的技術(shù)和工具,減少需要企業(yè)安全人員手動(dòng)操作的頻率和人為操作出錯(cuò)的概率,提高安全運(yùn)營效率,ITDR

支持安全響應(yīng)任務(wù)的編排能力,讓用戶對文件、權(quán)限、主機(jī)和網(wǎng)絡(luò)執(zhí)行經(jīng)過預(yù)先設(shè)計(jì)編排過的

第三部分故事線引擎會(huì)通過規(guī)則與機(jī)器學(xué)習(xí)結(jié)合將身份的多個(gè)數(shù)據(jù)日志結(jié)合分析將單個(gè)身份日志聚合為一個(gè)手動(dòng)和自動(dòng)的補(bǔ)救措施,提高局部威脅發(fā)現(xiàn)、全局快速響應(yīng)的的能力)

個(gè)故事講述給客戶,達(dá)到威脅發(fā)現(xiàn)的目的第四部分圖計(jì)算通過把身份描述為點(diǎn),身份權(quán)限關(guān)系描述為邊構(gòu)建出一個(gè)網(wǎng)圖進(jìn)行數(shù)據(jù)分析與攻擊路徑管理,第二部分會(huì)針對采集到的身份系統(tǒng)數(shù)據(jù)進(jìn)行身份配置核查與攻擊面管理,通過國際規(guī)范與攻防經(jīng)驗(yàn)判斷配置錯(cuò)誤點(diǎn)并對其修復(fù)從而縮減身份攻擊面從而實(shí)現(xiàn)高級身份威脅狩獵與分析第五部分標(biāo)記分析可以自定義檢測規(guī)則并參與到機(jī)器學(xué)習(xí)標(biāo)記工作中持續(xù)運(yùn)營提高威脅檢出率第六部分響應(yīng)模塊支持第三方集成與自定義劇本執(zhí)行并能一鍵回滾,快速支持安全事件應(yīng)急響應(yīng)4.2六大應(yīng)用場景ITDR

整體方案目標(biāo)是垂直分析企業(yè)所有身份數(shù)據(jù),集中企業(yè)所有身份數(shù)據(jù)達(dá)到統(tǒng)一審計(jì)、統(tǒng)一分析、統(tǒng)一運(yùn)營等目標(biāo)。通過對企業(yè)身份的可見性、保護(hù)和響應(yīng)超越終端與流量的局限視角。4.3ITDR與企業(yè)原有基礎(chǔ)設(shè)施完美配合2022

10

Gartner

發(fā)布

ITDR

詳細(xì)解讀,明確

ITDR

在整個(gè)網(wǎng)絡(luò)安全中的生態(tài)位。中安網(wǎng)星完全認(rèn)可Gartner

的架構(gòu)分類。ITDR

XDR

以及零信任體系有交集,且作為底層支柱的身份亟需

ITDR

來增強(qiáng)安全性。ITDR模型架構(gòu)圖第一部分ITDR

數(shù)據(jù)集成階段通過主動(dòng)或被動(dòng)的方式采集各類身份數(shù)據(jù),目前支持AD、IAM、云、SIEM

等多個(gè)場景的數(shù)據(jù)采集1415ITDR

白皮書中安網(wǎng)星ITDR

解決方案的落地實(shí)踐ITDR

方案會(huì)與現(xiàn)有的

IT

基深防御

”,重

點(diǎn)放在身份上。如果企業(yè)采用IAM

這樣的單一工具,而不是針對非中國市場中的ITDR

市場的企業(yè)我們做了如下的分類,基于

ITDR

發(fā)展出了XDR

趨向、CIEM

趨向、ADDR

趨向、整體

ITDR

方案四大類,可以觀察出當(dāng)前

ITDR

在重

領(lǐng)域的應(yīng)用趨勢非??焖?,應(yīng)對此趨勢我們應(yīng)當(dāng)快速反應(yīng)與應(yīng)對。礎(chǔ)設(shè)施以及安全設(shè)備配合完成企業(yè)整體的安全防御任務(wù)。檢測和響應(yīng)(監(jiān)視攻擊并在攻擊進(jìn)行時(shí)阻斷攻擊)的分離。通過了解這種分離,企業(yè)可以制定更好的計(jì)劃來實(shí)施“縱綜合防御方法,他們存在的風(fēng)險(xiǎn)是較高的。要圖一?ITDR如何與基礎(chǔ)設(shè)施安全協(xié)作同時(shí),在身份層面ITDR

與已有的基礎(chǔ)設(shè)施互相協(xié)作,形成第二和第三層防御。圖三?具有ITDR能力的供應(yīng)商非詳盡列表身份是企業(yè)的基礎(chǔ)。企業(yè)依賴其身份基礎(chǔ)設(shè)施來實(shí)現(xiàn)協(xié)作、遠(yuǎn)程辦公和客戶對服務(wù)的訪問,這已將身份系統(tǒng)轉(zhuǎn)變?yōu)楣粽叩闹饕繕?biāo),而憑證濫用是近幾年最常見的安全漏洞途徑。圖二?ITDR作為預(yù)防后的第二層和第三層防御身份威脅可以繞過或破壞

IAM

預(yù)防性控制。因此,重要的是要了解預(yù)防(攻擊前進(jìn)行身份安全態(tài)勢監(jiān)控)與1617ITDR

白皮書中安網(wǎng)星ITDR

解決方案為企業(yè)帶來的價(jià)值體現(xiàn)五、中安網(wǎng)星ITDR解決方案為企業(yè)帶來的價(jià)值體現(xiàn)5.1基于業(yè)務(wù)視角5.1.1身份基礎(chǔ)設(shè)施統(tǒng)一監(jiān)控統(tǒng)一認(rèn)證身份設(shè)施割裂,內(nèi)部多個(gè)身份源5.1.2內(nèi)部風(fēng)險(xiǎn)控制大量企業(yè)在內(nèi)部威脅管控上常常頭疼,

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論