ITDR何以成为IAM的最佳搭档?

news2025/3/15 1:26:23

摘 要

❖随着零信任方案的逐渐落地,身份成为企业的新边界。同时,身份基础设施成为了攻击焦点。

❖最近的身份攻击变得更加巧妙和复杂,甚至可以绕过MFA。

❖当前的IAM解决方案只能起到预防作用。

❖企业更需要一个能够检测和响应身份威胁的 ITDR 解决方案。

❖ITDR 供应商目前被收购和整合发展迅速。

❖选择 ITDR 解决方案时需要考虑两点:

(1) 能够接入多场景,不限于AD。

(2) 从不同的供应商处分别购买 IAM 和 ITDR,以避免锁定的风险。

零信任时代到来,身份是新的边界和漏洞

零信任作为新安全框架,在日本推广进度迅猛,其核心思想是基于传统身份边界的身份验证和授权的转变。

另一方面,随着组织转向零信任并越来越依赖以身份基础设施为中心的环境,意味着身份基础设施成为攻击者的最佳目标。事实上,我们还发现,凭据滥用这一攻击手段正在被黑客广泛利用。

近年来不断增加的身份威胁和攻击是什么?

特定的身份威胁会潜入目录服务器(如 Active Directory)、基于云的标识和访问管理 (IAM) 解决方案(如 Okta 和 Azure AD)以及身份基础设施(如证书颁发机构)。它是指通过跟踪易受攻击的设置来获取特权身份等凭据信息并进行渗透的网络攻击。

由于它在没有像过去那样使用恶意软件进行远程控制的情况下入侵,因此无法被 EDR 等恶意软件检测引擎检测到。

近来,安全研究人员发现即便启用了多因素身份认证保护措施,用户仍可能收到钓鱼攻击的侵害,并且针对身份的攻击变得越来越复杂。

现有的身份管理方案(IGA、PAM、CIEM)只是预防

那么,是否有可能使用我们目前使用的各种身份和访问管理工具(如IAM,IGA,PAM和CIEM)来应对这些攻击?

像Savyint这样的IGA(身份治理和管理)和像CyberArk这样的PAM(特权访问管理)也具有防止不必要的特权身份过度配置的功能。对于 AWS 和 Azure 等云基础设施环境,使用以CIEM为代表的云基础设施授权管理功能,可以发现并防止过多的云身份权限颁发和脆弱的IAM设置。

此外,通过在云上或者本地应用IAM 提供的 MFA(多因素认证),可以最大程度地减少管理员权限被利用的机会(例如,更改为每次执行 SSH 或 RDP 时都需要 MFA 的定时设置)。

但是,如上所述的身份管理解决方案本身所提供的功能,只是预防身份攻击,并不能在IAM基础设施被入侵后进行相应的检测与阻断。

ITDR——身份威胁检测与响应

即使您能够使用IAM等尽可能适当地设置公司的身份基础设施环境,毫不夸张地说,想要完全阻止攻击者通过巧妙的方法入侵您的身份基础设施是不可能的。基于身份基础设施将受到威胁的假设,有必要单独考虑在其遭到入侵后如何检测和响应对身份基础设施的威胁。

我们可以通过新的解决方案——ITDR(身份威胁检测与响应)来实现。

ITDR 是一种与EDR(端点检测和响应)、NDR(网络威胁检测和响应 )相邻的新解决方案。具体而言,正如 EDR 对端点设备的行为进行分析,ITDR通过AI 和机器学习技术,对以Active Directory 和 Okta为代表的身份基础设施上交换的身份验证流量的行为进行分析。

ITDR能够检测与异常行为或威胁情报相一致的可疑身份,并实现各种“响应”,例如阻止来自相应ID 的身份验证以及与IAM一起请求额外的 MFA,例如 Okta。

正在被快速收购和整合的ITDR供应商

过去几年中,对身份基础设施的攻击快速增长以及XDR多种检测技术的日益集成导致EDR供应商(如CrowdStrike和SentinelOne)迅速收购和整合ITDR供应商。

像Proofpoint这样的安全供应商已收购威胁管理提供商ObserveIT,意在加强公司的企业网络安全产品组合。ITDR目前是一个新兴类别,许多供应商仍然保持独立研发运营,并且头部安全供应商对ITDR这条赛道的前景十分认可,预计对ITDR供应商的收购还将持续很长一段时间。

一些头部安全供应商的收购新闻

2020年9月,CrowdStrike 以9600万美元的价格收购零信任网络安全初创公司Preempt Security。

2022年3月,SentinelOne宣布达成6.165亿美元交易,收购身份安全供应商Attivo Networks。

选择ITDR,你应该注意这两点

ITDR是一个新兴类别的解决方案,目前已有10多种ITDR解决方案,每个公司的方案各有特点。以下是选择 ITDR 解决方案时需要考虑的几个关键点:

(1)能够接入多场景,不限于AD

作为身份基础设施的核心,Active Directory被广泛使用。此外,在多AD和域环境中实现灵活的身份访问管理的Okta等各种IAM解决方案的采用和引入,以及向Azure AD的迁移以及SSO向SaaS的迁移也在逐步发展。

因此,不仅要全面保护Active Directory,各种IAM解决方案都需要作为企业应该保护的身份基础设施进行全面保护。选择能够支持多场景的ITDR解决方案非常重要。某些ITDR解决方案只支持AD,有时被称为“ADTR”而不是“ITDR”。

(2)从不同的供应商处分别购买 IAM 和 ITDR

随着ITDR重要性的增加,IAM供应商将以选项或子集的形式提供ITDR功能。

企业所使用的IAM解决方案并非只有一种,可以使用多家供应商的解决方案。由于使用特定 IAM 供应商提供的 ITDR 功能存在供应商锁定的风险,因此我们建议您购买来自不同供应商的 IAM 和ITDR解决方案。

国际上,Silverfort、Authomize等安全厂商已经探索出了相对成熟的ITDR解决方案。而国内对ITDR技术的探索实践刚刚起步。

中安网星依托于多年的攻防经验,率先在国内拓展ITDR解决方案。中安网星ITDR(身份威胁检测与响应)平台主要围绕Identity及Infrastructure为核心进行防护,涵盖主流身份基础设施及集权设施,从攻击的事前加固、事中监测、事后阻断出发,产品的设计思路覆盖攻击者活动的全生命周期。

基于身份的攻击活动不断增长,攻击手段越来越难以防范,对企业网络安全的管理者提出更加严苛的要求。中安网星将继续立足于用户的根本需求,通过对ITDR技术的深度钻研与应用实践,助力客户构建起更加主动的身份威胁检测和响应能力。

*本文部分节选自MACNICA公司发表的《ITDRとは?~ID脅威を検知・対応する注目の新ソリューション~》一文。

原文链接:

https://mnb.macnica.co.jp/2023/01/zerotrust/itdr.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/762982.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Mysql 备份与还原

目录 一 数据库备份的重要性与分类 1.数据备份的重要性 2. 造成数据丢失的原因 3.从物理与逻辑的角度,备份分为 4.从数据库的备份策略角度,备份可分为 二、常见的备份方法 1.物理冷备 2.专用备份工具mydump或mysqlhotcopy 3.启用二进制日志进行增量…

上手vue2的学习笔记5之在vue2项目中调用elment-ui

前言 上手vue2的学习笔记4之搭建vue环境 参考链接:vue2.0项目引入element-ui 一、安装elment-ui 进入搭建的vue项目中 cd vue_bing_test 安装 element npm i element-ui二、引入elment-ui elment官方教程 将main.js改成如下内容: import Vue fro…

详解C语言自定义类型

目录 一,结构体 1.结构体的基础知识 2.结构体的声明 一般的声明 ‍特殊的声明(匿名结构体类型) 3.结构体的自引用 4.结构体变量的定义和初始化 ‍结构体变量的定义 结构体变量的初始化 结构体变量的嵌套初始化 5.结构体内存对齐 …

240-960MHz带编码器的单片OOK 发射器CMT2157B

CMT2157B 是一款真正意义上的单芯片、高灵活性、超低功耗、带编码器的OOK 射频发射芯片,非常适合于240 至960 MHz 的无线应用场 合。该芯片可实现完全兼容市面上最常用的527、1527、2262 和2240 等编码格式。此外,还支持用户各种自定义编码。该芯片支持4…

c数据类型相关的关键字

变量的相关关键字 charshortintlongfloatdoublestructunion:与共用体相关的关键字enum:枚举signed:定义有符号的,可以保存正数,也可以保存负数unsigned:定义无符号,只能保存正数和0&#xff1b…

【知识点汇总】

罗曼罗兰说:“世界上只有一种真正的英雄主义,那就是在看清生活的真相之后,依然热爱生活。” JAVA开发知识点汇总 JAVAJVM垃圾标记算法三色标记法可达性分析法引用计数法 可以作为GCroots的对象有哪些?GC的种类和触发机制年轻代触…

1、nacos配置中心

一、配置中心存的意义 1、微服务中配置文件的问题 配置文件的问题: 配置文件的数量会随着服务的增加持续递增单个配置文件无法区分多个运行环境配置文件内容无法动态更新,需要重启服务 引入配置文件:刚才架构就会成为这样。是由配置中心统…

openvpnas安装,可视化远程连接控制

本次安装环境为 centos7.9 本次安装软件为 openvpnas, 默认是两个连接授权,可以通过代码注入实现多连接授权 1.基础环境以及Python36安装 yum install python36 python36-devel wget -y 2.安装 openvpnas 1.在线安装 yum -y install https://as-repository.openv…

ASEMI快恢复二极管MURF2080CT怎么看芯片的第一脚

编辑-Z MURF2080CT是一款高压、高速二极管,常用于电源、逆变器、电机驱动器等领域。该二极管具有以下特点: 1. 高压承受能力:MURF2080CT的最大反向电压可达800V,能够承受较高的电压。 2. 快速开关速度:该二极管的开关…

二叉树Morris遍历改写成后序遍历(java)

Morris 遍历 Morris 遍历改写成后序遍历解题思路代码演示 Morris 遍历 Morris 遍历改写成后序遍历 通过Morris遍历的顺序,将其调整为后序遍历的顺序, 解题思路 不明白morris 遍历,先查看上期 遍历二叉树的神级方法–Morris遍历 morris 遍历改…

ros2 foxy robot-localization 里程计 imu多传感器融合踩坑指南

前言 Robot_localization是一个基于卡尔曼滤波 ROS的包,可以对里程计 imu gps多种传感器进行数据融合,进而完成机器人的定位的算法。对于不懂卡尔曼滤波的小伙伴,通过修改配置文件就能顺利的使用大佬们造好的轮子,极大的降低了使…

【雕爷学编程】Arduino动手做(163)---大尺寸8x8LED方格屏模块7

37款传感器与模块的提法,在网络上广泛流传,其实Arduino能够兼容的传感器模块肯定是不止37种的。鉴于本人手头积累了一些传感器和执行器模块,依照实践出真知(一定要动手做)的理念,以学习和交流为目的&#x…

Appium+python自动化(八)- 初识琵琶女Appium- 下(超详细)

​简介 通过上一篇给各位小伙伴们的引荐,大家移动对这位美女有了深刻的认识,而且她那高超的技艺和婀娜的身姿久久地浮现在你的脑海里,是不是这样呢???不要害羞直接告诉说:是,就对了。…

开启慢SQL设置long_query_time=0.1为啥会统计的sql却存在小于100毫秒的sql

文章目录 问题描述我的使用场景描述结论本人其他相关文章链接 问题描述 开启慢SQL设置long_query_time0.1为啥会统计的sql却存在小于100毫秒的sql? 我的使用场景描述 我采用执行sql修改配置文件,也就是采用“临时生效操作步骤”开启慢SQL,比…

使用Mybatis-plus-join做多表查询

使用Mybatis-plus-join做多表查询 我们做多表查询都是要自己写sql的,还是比较麻烦的,下面介绍一种不用自己写sql的方式来完成多表查询。 这个第三方工具是一个大佬封装的一个jar包,即mybatis-plus-join架包,这个架包可以支持MyB…

实训平台场景一(培训)

过程:黑客通过内网攻击拿到了web服务器的权限,然后发现还有邮件服务器,通过双网卡一些漏洞攻击进来之后,业务双网卡通内网,通过他拿到了内网服务器。 #使用御剑目录扫描 现在流量传感器里面上传和流量表,…

python 抓取页面图片并保存到本地

1 直接上代码了 下面再做说明 今天就拿抓取这个页面的这块的图片为例 https://sc.chinaz.com/tupian/beijingtupian_2.html #分页下载所有的图片 完整例子 参考文档 https://blog.csdn.net/Monster_No17/article/details/106277822 import requests,lxml,re #发出…

Linux网络基础 — 网络层

目录 IP协议 IP协议报头格式 网段划分 特殊的IP地址 IP地址的数量限制 私有IP地址和公网IP地址 路由 补充 网络层 在复杂的环境中确定一个合适的路径。 IP协议 ip具有将数据从 主机A 跨网络送到 主机B 的能力。 主机: 配有IP地址,但是不进行路由控制的设备…

AI实时交互和实时动捕驱动数字人各有何优势?企业该怎么选择?

在元宇宙时代下 虚拟数字人作为虚拟偶像、虚拟代言人 数字员工、虚拟主播等身份 逐渐出现于大众视野 品牌通过虚拟数字人 实现跨领域、跨圈层营销 虚拟数字人 到底是什么? 是企业赋予品牌的一个可视化虚拟形象 是通过长时间的经营,可以形成品牌资…

6!Xshell全版本密码一键恢复工具

工具介绍 Xshell全版本凭证一键恢复工具,针对Xshell全版本在本地保存的密码进行解密,包括最新的7系列版本,可自动寻找或指定Sessions路径。 关注【Hack分享吧】公众号,回复关键字【230608】获取下载链接 .\SharpXDecrypt.exe .\S…