ITDR身份威胁检测与响应白皮书.pdf

当下随着整个IT基础架构逐渐云化及复杂化，身份成为了企业防护的新边界。过去的IT架构相对简单，传统的安全防护模型是以边界设计为核心，安全信任级别跟位置是强关联的。边界设计的网络安全方法是先连接，后信任，在网络边界验证用户身份，如果用户被认定为是可信任的，就能访问该网络内的数据和资源。

过去的很长一段时间内，企业通过对各类边界层层防护拥有了强大的纵深防护能力，但如今IT架构的云化和复杂化，身份本身成为了企业新的边界，传统边界类的防护方案开始捉襟见肘，无法防护新IT架构下新场景的威胁。承载企业身份相关的身份基础设施逐渐成为主要的攻击对象，如IAM、AD、PAM、4A、vSphere等。这些身份基础设施通常具有保存密码多、控制节点多、网络权限广的特点，对攻击者而言是核心的攻击对象，对企业而言则需要重点防护。

1.2企业存在身份风险痛点

1.2.1外部身份威胁

企业复杂割裂身份体系，导致企业身份暴露面在爆炸式增长，例如一个员工有多个身份账户等。暴漏在企业外部的身份连接信息成为攻击者打开企业网络边界金钥匙，常常采集企业对外暴露的身份信息分析后针对其进行攻击。

1.2.2内部身份威胁

身份是一个人在数字世界的映射，一旦内部出现心怀恶意的内鬼或疏忽大意的员工必然会出现失陷账号与失陷主机导致的各种内部威胁；身份凭据滥用，账号管理松散，密钥管理混乱极易引发安全问题。

1.2.3身份设施割裂无法集中监控

对于企业内部而言，不同的供应商使用独立的认证源，企业无法做到统一身份基础设施，如企业的公有云、私有云、本地办公设施等身份源存在必然的割裂；集团子企业使用不同的身份源；部分产品无法对接企业身份源，未来这一情况也无法得到根本的改善。

这造成企业内部统一认证身份设施割裂，内部多个身份源无法统一观察与监控，且存在大量独立的认证源存在监控死角，仅仅依靠身份设施自身的安全监控能力是无法满足企业管控需要的，企业如果要进行安全分析与身份溯源往往力不从心。

1.2.4身份威胁监控能力不足，安全团队人员不足或能力有限

身份威胁监控能力不足，安全团队人员不足或能力有限，深陷不对称的“安全战争”

之中。传统的安全威胁是以漏洞为基础，漏洞总是由攻击者掌握，而防守者掌握并加入到企业防护体系中的周期往往是以月记的，这常常会陷入到攻防不对称的状态中。因此通过对攻击者行为的预测就显得格外重要，身份检测就是这样一个范式，可以预测攻击者行为。但企业身份威胁安全监控缺乏监控维度与规则，企业被攻击之后无法快速溯源，无法回答身份的调用过程是如何扭转的。

1.3攻击趋势逐步转变为针对身份基础设施

为了顺应新的IT架构变革，更好地应对云时代的到来，近几年来企业开始应用身份认证和管理类方案，如IAM、IGA、IDaaS和PAM等，此类方案主要侧重于授权和身份验证，确保合适的人可以访问他们需要的文件和应用资源，但却疏忽了身份威胁检测和响应的能力，同时这些设施本身也带来了巨大的攻击风险。

伴随着身份认证管理方案的普及，越来越多的攻击者将攻击目标转向具有高攻击价值的身份基础设施。攻击者通过窃取身份设施中的合法身份进行利用，在内网中横向移动而不被发现，也能使用身份设施中访问权限来窃取更有价值的数据，例如员工和客户的敏感个人信息或财务信息等。

在大多数的攻击案例中我们可以看出，攻击者会针对企业内重要身份基础设施进行定向攻击，因为其权限及网络权限的特殊性，此类基础设施一旦被利用，将会成为引发重大安全事故的核心节点，而其中的每一个身份都会成为扩展新攻击路径的重要媒介。