




版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領
文檔簡介
一、身份基礎設施安全面臨挑戰1.1當今身份基礎設施現狀1.2企業存在身份風險痛點一、身份基礎設施安全面臨挑戰1.1當今身份基礎設施現狀1.2企業存在身份風險痛點1.2.1外部身份威脅1.2.2內部身份威脅1.2.3身份設施割裂無法集中監控21.2.4身份威脅監控能力不足,安全團隊人員不足或1.3攻擊趨勢逐步轉變為針對身份基礎設施345556678三、中安網星ITDR解決方案的技術架構3.1概述3.2事前階段3.3事中階段4.1三大核心能力4.2六大應用場景5.1基于業務視角5.1.1身份基礎設施統一監控5.1.2內部風險控制5.2基于攻防視角5.2.1黑客入侵5.2.2護網演習5.3基于運管視角D1當下隨著整個IT基礎架構逐漸云化及復雜化,身份成為了企業防護的新邊界。過去的IT架構相對簡單,傳統的安全防護模型是以邊界設計為核心,安全信任級別跟位置是強關聯的。邊界設計的網絡安全方法是先連接,后信任,在網絡邊界驗證用過去的很長一段時間內,企業通過對各類邊界層層防護擁有了強大的縱深防護能力,但如今IT架構的云化和復雜化,身份本身成為了企業新的邊界,傳統邊界類的防護方案開始捉襟見肘,無法防護新IT架構下新場景的威脅。承載企業身份相關的身份基礎設施通常具有保存密碼多、控制節點多、網絡權限廣的特點,對攻擊者而言企業復雜割裂身份體系,導致企業身份暴露面在爆炸式增長,例如一個員工有多身份是一個人在數字世界的映射,一旦內部出現心懷惡意的內鬼或疏忽大意的員工必然會出現失陷賬號與失陷主機導致的各種內部威脅;身份憑據濫用,賬號管理松對于企業內部而言,不同的供應商使用獨立的認證源,企業無法做到統一身份基礎設施,如企業的公有云、私有云、本地辦公設施等身份源存在必然的割裂;集團子企業使用不同的身份源;部分產品無法對接企業身份源,未來這一情況也無法得到根這造成企業內部統一認證身份設施割裂,內部多個身份源無法統一觀察與監控,且存在大量獨立的認證源存在監控死角,僅僅依靠身份設施自身的安全監控能力是無2之中。傳統的安全威脅是以漏洞為基礎,漏洞總是由攻擊者掌握,而防守者掌握并加因此通過對攻擊者行為的預測就顯得格外重要,身份檢測就是這樣一個范式,可以預測攻擊者行為。但企業身份威脅安全監控缺乏監控維度與規則,企業被攻擊之后為了順應新的IT架構變革,更好地應對云時代的到來,近幾年來企業開始應用和身份驗證,確保合適的人可以訪問他們需要的文件和應用資源,但卻疏忽了身份威伴隨著身份認證管理方案的普及,越來越多的攻擊者將攻擊目標轉向具有高攻擊價值的身份基礎設施。攻擊者通過竊取身份設施中的合法身份進行利用,在內網中橫向移動而不被發現,也能使用身份設施中訪問權限來竊取更有價值的數據,例如員工在大多數的攻擊案例中我們可以看出,攻擊者會針對企業內重要身份基礎設施進行定向攻擊,因為其權限及網絡權限的特殊性,此類基礎設施一旦被利用,將會成為引發重大安全事故的核心節點,而其中的每一個身份都會成為擴展新攻擊路徑的重要34Gartner認為創建ITDR這個新類別將有助于企業集中精力并更好地保護其身份系統。換而言之,基于身份的攻擊已經成為一種常見的網絡安全威脅,以至于需要一ITDR是一個新的安全類別,是指保護身份基礎設施免受惡意攻擊的工具和流程,云原生時代、企業邊界越發模糊和復雜,原有安全防御體系失靈,身份成為企今萬物互聯,身份成為企業的新邊界新的控制點,那身份威脅檢測一定是這個階段身份如今變得越來越重要,企業的身份基礎設施也開始多元化,例如生成網絡使用堡壘機、辦公網使用AD、隔離網用云桌面、服務器用vCenter、云上應用使用IDaas等。攻擊者越來越多地將目標對準身份基礎設施本身,組織必須更加專注比如遠程辦公場景,現在可能一個企業辦公軟件賬戶泄露,可能就會導致這個企業的大量業務數據丟失,一個業務應用設計有邏輯問題,可能就會導致被薅羊毛,這企業的安全需要,從防火墻、入侵檢測和殺毒軟件的傳統老三樣“標配”,逐漸向數據是新中心、情報是新服務、身份新邊界的新時代“立體化”網絡安全需求5能能能能能能能能第二個要素是要拿到一個身份信息,比如是一個密碼,是一個私同時能夠發現在現代化的攻擊過程中,攻擊者也更喜歡拿身份基礎設施作為鏈路中的關鍵攻擊對象,此類身過去我們已經看到國內大量攻擊案例中都會去攻擊AD、堡壘機、云平臺、vCenter、4a等身份基礎設施,甚至攻擊者會攻擊利用一些安全廠商的系統,隨著零信任在國內的逐步落地,針對零信任組件的攻擊在未來也會所有攻擊環節都能看到攻擊者使用身份類攻擊,攻擊者在不同的場景不同的過程都會使用不同的身份類攻擊Gartner今年發布的數份安全趨勢報告中曾提及身份優先安全,將其解讀為安全管理者在未來必須解決的重要趨勢之一。ITDR在Gartner《2022安全運營技術成熟度曲線》報告中被列為新興技術,其且在今年3月Gartner發布的2022年的七大安全與風險趨勢中,Gartner表示:攻擊者和訪問管理(IAM)基礎設施,通過憑證濫用發起攻擊。Gartner提出了“身份威脅檢測和響應ITDR(IdentityGartner預估,到2023年,“75%的安全故障將是由于對身份、訪問和特權的監控與管理不足”,而在2020經歷過與身份相關的攻擊。和其他許多攻擊一樣,最近的SolarWinds數字供應鏈攻擊同樣涉及了身份盜竊和特權訪問操縱。而在國內的護網行動場上甚至有超過50%的攻擊和弱口令相關,憑據竊取攻擊更是數不勝數,面ITDR技術在國外發展還是比較迅速的,涌現了一波獨角獸公司,國內ITDR發展還屬于起步階段;我們在提出ITDR解決方案的同時需要盡快實現在企業中的身份安全落地,要去結合國內企業安全現狀去思考實際解決方案,過去企業側已有的身份基礎設施,包括生產網用堡壘機,辦公網用AD,隔離網用云桌面,內部虛擬化用vCenter等,這些土壤足夠支撐ITDR方向企業現階段的發展;隨著零信任的落地浪潮,身份廠商的快速發展,從市場來看,身份設施是客戶側最基礎的管理工具,幾乎不存在沒有身份管理設施的企業,現在網絡安全覆終端、流量、身份形成了貫穿公司內行為的三層,終端檢測相應形成了EDR,流量檢測響應形成了NDR,9從運營視角來看,大多數情況下的應急響應或溯源分析過程中僅能碎片式地回答但這恰恰是企業安全人員所關注的核心。因此企業需要重視身份在分析與溯源過程中結合現有的身份認證體系構建統一ITDR平臺來進行落地應用,目標是集中分析ITDR數據集成階段通過主動或被動的方式采集各類身份數據,目前支持AD、我們認為企業需要構建覆蓋安全事件全生命周期的身份威脅檢測和響應能力,基):弱口令檢測:檢查身份基礎設施內的用戶密碼健盡管前期的加固工作我們已經做的足夠好了,但絕不能認為僅靠基本的預防性控制就足以阻止網絡攻擊,針對身份的威脅要做到實時監測與防護。威脅檢測能力參考MITREATT&CK和KillChain模型設計。身份的威脅遍布于殺傷鏈的各個階段,能否分辨攻擊所處的不同階段,是威脅檢測中重要的一環。精明的攻擊者往往可以隱藏自身繞過傳統的檢測機制,因此我們利用機器學習、欺騙防御、用戶和實體行為分析欺騙防御:通過在內網構造高權限蜜罐賬戶的認證憑據,利用攻擊者希望隱藏自身位置的心理,攻擊者在通過主動信息收集發現高權限憑據后,一般情況都會進行嘗試登錄或其他手段的利用,此時攻擊者對身份認證系統請求蜜罐賬戶認證,隨即暴露所在位置,安全人員即可定位到失陷主機。還可通過流量轉發技術,將攻擊者對真實業務系統的認證流量轉發到提前準備好的蜜罐主機,造成認證成功的假象,拖延攻擊進度。以此為安全人員提供充足的時間溯源攻擊路徑和入口并開展封堵工作,將攻擊機器學習:設置一定的學習周期,收集大量的身份行為數據,對每個用戶進行行):手動威脅阻斷:可添加阻斷策略,對指定用戶或IP進行阻斷指令,被阻斷的用自動威脅阻斷:可針對每一條檢測規則配置自動威脅阻斷策略,若規則配置內自動威脅阻斷開關打開,則在當前規則告警時,將當前規則告警中的用戶和IP自動添身份威脅響應模塊同時支持對接第三方安全防護產品,實現聯動處置,快速支持·第一能看到See:最大限度地提高企業各個位(通過對多個企業多個身份源的數據進行收集分析,通過大數據處理及圖計算技術最大程度的將身份可視化,梳理每一個身份的扭轉情況,能夠發現其中的影子(對身份設施的主動式掃描進行加固保護,基于大數據處理和機器學習的分析能夠實施感知到身份類的攻擊行為,同時聯動身份設施進行威脅誘捕,威脅誘捕一(通過提供自動化的技術和工具,減少需要企業安全人員手動操作的頻率和人為操作出錯的概率,提高安全運營效率,ITDR支持安全響應任務的編排能力,讓用戶對文件、權限、主機和網絡執行經過預先設計編排過的ITDR整體方案目標是垂直分析企業所有身份數據,集中企業所有身份數據達到統一審計、統一分析、統一第一部分ITDR數據集成階段通過主動或被動的方式采集各類身份數據,目前支第二部分會針對采集到的身份系統數據進行身份配置核查與攻擊面管理,通過國際規范與攻防經驗判斷配置第三部分故事線引擎會通過規則與機器學習結合將身份的多個數據日志結合分析將單個身份日志聚合為一個第五部分標記分析可以自定義檢測規則并參與到機器學習標記工作中第六部分響應模塊支持第三方集成與自定義劇本執行并能一鍵回滾,2022年10月Gartner發布ITDR詳細解讀,明確ITDR在整個網絡安全中的生態位。中安網星完全認可
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
- 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
- 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 保險行業人力資源管控制度與操作流程
- 律師轉行活動策劃方案
- 開學勵志活動方案
- 志愿者維持秩序活動方案
- 影院銷售活動方案
- 開展幫戰友活動方案
- 開展禁煙活動方案
- 微商活動新店活動方案
- 開心商店活動方案
- 征信云課堂活動方案
- 幼兒園《綱要》培訓
- 夏季安全行車培訓課件
- 語文九年級下冊文言文對比閱讀中考真題版共37篇(有翻譯有答)
- 政府保密協議范本格式3篇
- 2024年度智能工廠MES系統實施合同
- 四川省雅安市2024-2025學年高二數學下學期期末檢測試題理
- 財經基本技能-驗鈔技能
- CJT 313-2009 生活垃圾采樣和分析方法
- 2024大功率風電葉片回收技術
- 《酒店消防安全培訓》課件完整版
- 70歲以上的老年人駕考三力測試答案
評論
0/150
提交評論