身份威胁检测和响应ITDR白皮书

身份基础设施安全面临挑战 A ITDR白皮书目录 目CON录TENTS 一、身份基础设施安全面临挑战1 1.1当今身份基础设施现状2 1.2企业存在身份风险痛点2 1.2.1外部身份威胁2 1.2.2内部身份威胁2 1.2.3身份设施割裂无法集中监控2 1.2.4身份威胁监控能力不足，安全团队人员不足或能力有限2 1.3攻击趋势逐步转变为针对身份基础设施3 二、ITDR技术应运而生4 2.2ITDR发展的双轮驱动5 2.2.1驱动一：身份是企业防护新边界5 2.2.2驱动二：攻击链路中身份是核心要素5 2.3ITDR的市场认可及趋势6 2.3.1Gartner眼中的ITDR：身份优先安全6 2.3.2权威机构对Gartner提出ITDR的认可7 2.3.3ITDR在国内外的发展趋势8 三、中安网星ITDR解决方案的技术架构9 3.1概述10 3.2事前阶段10 3.3事中阶段11 3.4事后阶段 四、中安网星ITDR解决方案的落地实践12 4.1三大核心能力13 4.2六大应用场景15 4.3ITDR与企业原有基础设施完美配合15 五、中安网星ITDR解决方案为企业带来的价值体现18 5.1基于业务视角19 5.1.1身份基础设施统一监控19 5.1.2内部风险控制19 5.2基于攻防视角19 5.2.1黑客入侵19 5.2.2护网演习19 5.3基于运管视角19 5.3.1当前运管存在相关痛点19 5.3.2满足合规的需求19 5.3.3检测滥用的权限19 六、结语20 ITDR白皮书 B 身份基础设施安全面临挑战 C 11 ITDR白皮书 身份基础设施安全面临挑战 ITDR白皮书 D 01 身份基础设施安全面临挑战 1 ITDR白皮书身份基础设施安全面临挑战 一、身份基础设施安全面临挑战 1.1当今身份基础设施现状 当下随着整个IT基础架构逐渐云化及复杂化，身份成为了企业防护的新边界。过去的IT架构相对简单，传统的安全防护模型是以边界设计为核心，安全信任级别跟位置是强关联的。边界设计的网络安全方法是先连接，后信任，在网络边界验证用户身份，如果用户被认定为是可信任的，就能访问该网络内的数据和资源。 过去的很长一段时间内，企业通过对各类边界层层防护拥有了强大的纵深防护能力，但如今IT架构的云化和复杂化，身份本身成为了企业新的边界，传统边界类的防护方案开始捉襟见肘，无法防护新IT架构下新场景的威胁。承载企业身份相关的身份基础设施逐渐成为主要的攻击对象,如IAM、AD、PAM、4A、vSphere等。这些身份基础设施通常具有保存密码多、控制节点多、网络权限广的特点，对攻击者而言是核心的攻击对象，对企业而言则需要重点防护。 1.2企业存在身份风险痛点 1.2.1外部身份威胁 企业复杂割裂身份体系，导致企业身份暴露面在爆炸式增长，例如一个员工有多个身份账户等。暴漏在企业外部的身份连接信息成为攻击者打开企业网络边界金钥匙，常常采集企业对外暴露的身份信息分析后针对其进行攻击。 1.2.2内部身份威胁 身份是一个人在数字世界的映射，一旦内部出现心怀恶意的内鬼或疏忽大意的员工必然会出现失陷账号与失陷主机导致的各种内部威胁;身份凭据滥用，账号管理松散，密钥管理混乱极易引发安全问题。 1.2.3身份设施割裂无法集中监控 对于企业内部而言，不同的供应商使用独立的认证源，企业无法做到统一身份基础设施，如企业的公有云、私有云、本地办公设施等身份源存在必然的割裂；集团子企业使用不同的身份源；部分产品无法对接企业身份源，未来这一情况也无法得到根本的改善。 这造成企业内部统一认证身份设施割裂，内部多个身份源无法统一观察与监控，且存在大量独立的认证源存在监控死角，仅仅依靠身份设施自身的安全监控能力是无法满足企业管控需要的，企业如果要进行安全分析与身份溯源往往力不从心。 1.2.4身份威胁监控能力不足，安全团队人员不足或能力有限 身份威胁监控能力不足，安全团队人员不足或能力有限，深陷不对称的“安全战争” 之中。传统的安全威胁是以漏洞为基础，漏洞总是由攻击者掌握，而防守者掌握并加入到企业防护体系中的周期往往是以月记的，这常常会陷入到攻防不对称的状态中。因此通过对攻击者行为的预测就显得格外重要，身份检测就是这样一个范式，可 以预测攻击者行为。但企业身份威胁安全监控缺乏监控维度与规则，企业被攻击之后无法快速溯源，无法回答身份的调用过程是如何扭转的。 1.3攻击趋势逐步转变为针对身份基础设施 为了顺应新的IT架构变革，更好地应对云时代的到来，近几年来企业开始应用身份认证和管理类方案，如IAM、IGA、IDaaS和PAM等，此类方案主要侧重于授权和身份验证，确保合适的人可以访问他们需要的文件和应用资源，但却疏忽了身份威胁检测和响应的能力，同时这些设施本身也带来了巨大的攻击风险。 伴随着身份认证管理方案的普及，越来越多的攻击者将攻击目标转向具有高攻击价值的身份基础设施。攻击者通过窃取身份设施中的合法身份进行利用，在内网中横向移动而不被发现，也能使用身份设施中访问权限来窃取更有价值的数据，例如员工和客户的敏感个人信息或财务信息等。 在大多数的攻击案例中我们可以看出，攻击者会针对企业内重要身份基础设施进行定向攻击，因为其权限及网络权限的特殊性，此类基础设施一旦被利用，将会成为引发重大安全事故的核心节点，而其中的每一个身份都会成为扩展新攻击路径的重要媒介。 23 02 ITDR白皮书ITDR技术应运而生 二、ITDR技术应运而生 2.1ITDR是什么？ Gartner于《2022安全运营技术成熟度曲线》报告中正式提出ITDR技术概念，Gartner认为创建ITDR这个新类别将有助于企业集中精力并更好地保护其身份系统。换而言之，基于身份的攻击已经成为一种常见的网络安全威胁，以至于需要一 ITDR技术应运而生 种专门的、针对性的方法来对抗身份攻击威胁。 ITDR即身份威胁检测和响应（IdentityThreatDetectionandResponse），ITDR是一个新的安全类别，是指保护身份基础设施免受恶意攻击的工具和流程，监测针对身份基础设施的攻击,通过结合异常身份请求、UEBA、身份欺骗等方式，可以发现凭据窃取、特权滥用以及其他与身份相关的攻击威胁和潜在风险。 2.2ITDR发展的双轮驱动 2.2.1驱动一：身份是企业防护新边界 云原生时代、企业边界越发模糊和复杂，原有安全防御体系失灵，身份成为企业新边界，也是企业的唯一控制点。 过去IT架构简单的时候，网络边界防火墙是刚需，发展到Web2.0时代用户开始和大量的互联网应用进行交互，此时web应用防护墙（WAF)开始成为标配。如今万物互联，身份成为企业的新边界新的控制点，那身份威胁检测一定是这个阶段的必然产物。 身份如今变得越来越重要，企业的身份基础设施也开始多元化，例如生成网络使用堡垒机、办公网使用AD、隔离网用云桌面、服务器用vCenter、云上应用使用IDaas等。攻击者越来越多地将目标对准身份基础设施本身，组织必须更加专注于保护其身份基础设施。ITDR技术将为身份基础设施部署增加额外的安全层。 云原生时代催生出很多新的业务及办公场景，对应被攻击的场景也将更加丰富。比如远程办公场景，现在可能一个企业办公软件账户泄露，可能就会导致这个企业的大量业务数据丢失，一个业务应用设计有逻辑问题，可能就会导致被薅羊毛，这样的案例再这几年有很多，新业务场景下其实产生非常多种的风险攻击面。 企业的安全需要，从防火墙、入侵检测和杀毒软件的传统老三样“标配”，逐渐向数据是新中心、情报是新服务、身份新边界的新时代“立体化”网络安全需求演进。 45 ITDR白皮书ITDR技术应运而生 表一典型的身份基础设施分类 身份设施对象 设施应用场景 设施属性特点 设施主要功能 ITDR能否保护 IAM 多用于企业应用资源认证管理 身份认证和管理、网络权限广泛 提供给企业的应用统一的身份认证 能 AD 多用于办公网区域认证管理 身份认证和管理、POD集中控制、网络权限广泛 对办公网/服务器的终端提供认证和管控功能 能 vCenter 多用于企业虚拟化资源管理 身份认证和管理、POD集中控制、网络权限广泛 能够基于用户硬件资源快速构建虚拟化办公平台，支持多操作系统 能 PAM(4A/堡垒机) 多用于企业生产网资源认证管理 身份认证和管理、POD集中控制、网络权限广泛 多用于企业生产网络，能够统一管理和登录审计生产网的服务器 能 K8S 多用于企业容器化资源的认证管理 身份认证和管理、POD集中控制、网络权限广泛 企业的容器化管理方案，用于构建企业的私有云方案，具备弹性伸缩的特点 能 zabbix 多用于企业的服务器运维机器管理 身份认证和管理、POD集中控制、网络权限广泛 企业常用的服务器监控方案，管理企业的大多数生服务器 能 CLOUD（IDAAS）/IDAAS 多用于企业云上应用的身份认证和管理 身份认证和管理、POD集中控制、网络权限广泛 有云方案，用于业务应用的对外部署，提供对外访问等，基于IDASS的功能，实现内外访问的身份统一 能 云桌面 多用于企业办公隔离网的虚拟办公平台 身份认证和管理、POD集中控制、网络权限广泛 基于虚拟化技术，提供给用户在办公外网的虚拟办公平台 能 2.2.2驱动二：攻击链路中身份是核心要素 频繁的攻防演练、以APT为代表的新一代攻击模式中身份攻击利用已成为攻击全链路中被高频使用的技术手段。大量的攻防案例分析，无论多复杂的攻击链路都离不开最核心的三个攻击要素： 第一个要素是要知道攻击对象是谁，比如是一个IP地址，是一个应用系统，是一个账户等；第二个要素是要拿到一个身份信息，比如是一个密码，是一个私钥，是一个凭据或证书等第三个要素是进行身份的登录验证，验证登录这个对象。 三个要素不断的循环其实就可以形成一个复杂攻击链路。 同时能够发现在现代化的攻击过程中，攻击者也更喜欢拿身份基础设施作为链路中的关键攻击对象，此类身份基础对象都满足三个特点： 第一保存的身份凭据多，攻破之后能够拿到大量的身份密码或凭据等；第二本身网络权限广，是攻击很好的跳板； 第三是控制机器多，能够让攻击者以此快速拓展战场。 对攻击者而言，这些对象有极高的攻击价值，所以企业应当聚焦精力来保护这些身份基础设施。 过去我们已经看到国内大量攻击案例中都会去攻击AD、堡垒机、云平台、vCenter、4a等身份基础设施，甚至攻击者会攻击利用一些安全厂商的系统，随着零信任在国内的逐步落地，针对零信任组件的攻击在未来也会有增长的趋势。 所有攻击环节都能看到攻击者使用身份类攻击，攻击者在不同的场景不同的过程都会使用不同的身份类攻击手法。 2.3ITDR的市场认可及趋势 2.3.1Gartner眼中的ITDR：身份优先安全 Gartner今年发布的数份安全趋势报告中曾提及身份优先安全，将其解读为安全管理者在未来必须解决的重要趋势之一。ITDR在Gartner《2022安全运营技术成熟度曲线》报告中被列为新兴技术，其效益等级为高，目标受众有着5%至20%的市场渗透率，这代表着Gartner对这项技术应用价值的潜在认可。从技术成熟度上来看，ITDR技术本身成熟度较高，Gartner预期未来2-5年即可达到主流应用。 67 03 ITDR白皮书中安网星ITDR解决方案的技术架构 且在今年3月Gartner发布的2022年的七大安全与风险趋势中，Gartner表示：攻击者正在瞄准针对身份和访问管理（IAM）基础设施，通过凭证滥用发起攻击。Gartner提出了“身份威胁检测和响应ITDR（IdentityThreatDetectionandResponse）”这一术语来描述用于保护身份系统的工具和最佳实践的集合。与此同时，Gartner预估，到2023年，“75%的安全故障将是由于对身份、访问和特权的监控与管理不足”，而在2020年这一比例为50%。考