隨著數位身份數量激增,如何加強身份保護和管理成為許多資安人員關注的焦點。據IDSA聯盟發佈的《2022年數位身份安全趨勢》報告調查顯示:
- 84%的受訪企業在過去一年遇到過身份洩露;
- 78%的受訪企業表示,身份洩露會對業務開展造成影響,比如聲譽受損和洩露後恢復成本;
- 96%的受訪企業表示,希望加強身份安全防護措施,儘量減少身份洩露事件的發生。
資安人員表示,由於身份的攻擊活動不斷增長,以IAM(統一身份管理)、PAM(特權存取管理)以及IGA(統一身份管理和治理)等為代表的現有身份管理方案已經不足以保護企業遠離數位化時代的身份安全威脅,組織應該考慮結合「新一代身份威脅檢測和回應(ITDR)」策略,以進一步降低身份安全的風險隱患。
數位身份安全的挑戰
在過去幾年,數位身份的數量(包括人類身份和機器身份)不斷增加。每個新身份的產生都意味著一條潛在的新攻擊途徑,而許多身份在生成時缺乏應有的保護或監控。這些唾手可得的身份對攻擊者來說無疑是非常誘人的目標。
在以往,攻擊者主要使用暴力破解、密碼噴射和撞庫等攻擊手段來竊取身份帳號和密碼。但是目前,駭客組織透過憑證竊取、網路釣魚攻擊和APT攻擊以獲取用戶ID和密碼。此外,多因素身份驗證(MFA)技術也開始受到攻擊挑戰。
在IAM、PAM和IGA等現有的身份保護解決方案中,主要側重於確保用戶存取行為的安全與可控,授權和驗證是這類的技術方案關注的重點,但它們往往難以幫助用戶及時掌握身份攻擊活動中的其他一些關鍵因素:帳號是否濫用、風險暴露面以及許可權提升等異常行為。
身份安全不僅僅是管理用戶存取、監管治理或保護特權使用者,企業需要從一個更大的身份安全角度評估現有防護體系中的不足和漏洞。這意味著需要更加主動的尋找威脅原因,並及時挫敗基於身份的攻擊活動以免釀成重大的安全事件。
由於數位身份已經成為企業最常受攻擊的路徑,因此在現有的身份存取管理基礎上,進一步增強主動身份安全威脅監測和防禦能力非常重要。身份安全威脅檢測解決方案可以更準確的檢測與身份相關的攻擊指標,並及時阻止針對身份的攻擊活動。
主動式身份威脅防護
數位身份安全防護是一個系統化的工作,企業需要將主動端點防禦、即時事件回應、零信任架構和其他防護措施結合起來,構建更強大的新型身份管理解決方案。
在Gartner發佈的《2022安全運營技術成熟度曲線》報告當中,正式提出了身份威脅檢測和回應(Identity Threat Detection and Response, ITDR)技術。Gartner認為ITDR可以幫助企業填補在身份威脅監測與回應領域的防護空白,不僅可以在企業現有的身份管理模式基礎上實現能力增強,還可以與EDR、NDR以及XDR等威脅監測解決方案互為補充。
當企業實施應用ITDR後,可以獲得以下收益:
- 主動檢測基於身份的威脅
ITDR技術可以主動尋找針對身份的攻擊,檢測憑據盜竊、濫用特權和 AD(Active Directory)上的惡意行為。
- 阻止身份攻擊活動
攻擊者在開展身份攻擊活動時,會在企業的網路、資料中心、雲端、遠端網站或分支機搆內部橫向移動。ITDR技術可以將攻擊者重新定向到預先設置的誘餌,自動隔離受影響的系統,並阻止其橫向移動企圖,從而為企業環境增添一道保護層。
- 增強數位身份的彈性
ITDR技術有助於企業取證並分析資料。技術團隊可以使用收集資訊來進一步優化薄弱的防護策略和流程。
- 將保護範圍擴大到雲端
雲端應用常常助長身份許可權散亂現象,使許多安全團隊難以管理太多的應用程式、容器和伺服器。ITDR技術可以讓用戶可以深入瞭解可能為潛在攻擊者提供便利的高風險身份和許可權,並將保護範圍擴大到雲端環境。
本文節錄自SentinelOne部落格。