ITDR身份威脅檢測(cè)與響應(yīng)白皮書 2023

一、身份基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)1.1當(dāng)今身份基礎(chǔ)設(shè)施現(xiàn)狀1.2企業(yè)存在身份風(fēng)險(xiǎn)痛點(diǎn)一、身份基礎(chǔ)設(shè)施安全面臨挑戰(zhàn)1.1當(dāng)今身份基礎(chǔ)設(shè)施現(xiàn)狀1.2企業(yè)存在身份風(fēng)險(xiǎn)痛點(diǎn)1.2.1外部身份威脅1.2.2內(nèi)部身份威脅1.2.3身份設(shè)施割裂無(wú)法集中監(jiān)控21.2.4身份威脅監(jiān)控能力不足，安全團(tuán)隊(duì)人員不足或1.3攻擊趨勢(shì)逐步轉(zhuǎn)變?yōu)獒槍?duì)身份基礎(chǔ)設(shè)施345556678三、中安網(wǎng)星ITDR解決方案的技術(shù)架構(gòu)3.1概述3.2事前階段3.3事中階段4.1三大核心能力4.2六大應(yīng)用場(chǎng)景5.1基于業(yè)務(wù)視角5.1.1身份基礎(chǔ)設(shè)施統(tǒng)一監(jiān)控5.1.2內(nèi)部風(fēng)險(xiǎn)控制5.2基于攻防視角5.2.1黑客入侵5.2.2護(hù)網(wǎng)演習(xí)5.3基于運(yùn)管視角D1當(dāng)下隨著整個(gè)IT基礎(chǔ)架構(gòu)逐漸云化及復(fù)雜化，身份成為了企業(yè)防護(hù)的新邊界。過(guò)去的IT架構(gòu)相對(duì)簡(jiǎn)單，傳統(tǒng)的安全防護(hù)模型是以邊界設(shè)計(jì)為核心，安全信任級(jí)別跟位置是強(qiáng)關(guān)聯(lián)的。邊界設(shè)計(jì)的網(wǎng)絡(luò)安全方法是先連接，后信任，在網(wǎng)絡(luò)邊界驗(yàn)證用過(guò)去的很長(zhǎng)一段時(shí)間內(nèi)，企業(yè)通過(guò)對(duì)各類邊界層層防護(hù)擁有了強(qiáng)大的縱深防護(hù)能力，但如今IT架構(gòu)的云化和復(fù)雜化，身份本身成為了企業(yè)新的邊界，傳統(tǒng)邊界類的防護(hù)方案開(kāi)始捉襟見(jiàn)肘，無(wú)法防護(hù)新IT架構(gòu)下新場(chǎng)景的威脅。承載企業(yè)身份相關(guān)的身份基礎(chǔ)設(shè)施通常具有保存密碼多、控制節(jié)點(diǎn)多、網(wǎng)絡(luò)權(quán)限廣的特點(diǎn)，對(duì)攻擊者而言企業(yè)復(fù)雜割裂身份體系，導(dǎo)致企業(yè)身份暴露面在爆炸式增長(zhǎng)，例如一個(gè)員工有多身份是一個(gè)人在數(shù)字世界的映射，一旦內(nèi)部出現(xiàn)心懷惡意的內(nèi)鬼或疏忽大意的員工必然會(huì)出現(xiàn)失陷賬號(hào)與失陷主機(jī)導(dǎo)致的各種內(nèi)部威脅;身份憑據(jù)濫用，賬號(hào)管理松對(duì)于企業(yè)內(nèi)部而言，不同的供應(yīng)商使用獨(dú)立的認(rèn)證源，企業(yè)無(wú)法做到統(tǒng)一身份基礎(chǔ)設(shè)施，如企業(yè)的公有云、私有云、本地辦公設(shè)施等身份源存在必然的割裂；集團(tuán)子企業(yè)使用不同的身份源；部分產(chǎn)品無(wú)法對(duì)接企業(yè)身份源，未來(lái)這一情況也無(wú)法得到根這造成企業(yè)內(nèi)部統(tǒng)一認(rèn)證身份設(shè)施割裂，內(nèi)部多個(gè)身份源無(wú)法統(tǒng)一觀察與監(jiān)控，且存在大量獨(dú)立的認(rèn)證源存在監(jiān)控死角，僅僅依靠身份設(shè)施自身的安全監(jiān)控能力是無(wú)2之中。傳統(tǒng)的安全威脅是以漏洞為基礎(chǔ)，漏洞總是由攻擊者掌握，而防守者掌握并加因此通過(guò)對(duì)攻擊者行為的預(yù)測(cè)就顯得格外重要，身份檢測(cè)就是這樣一個(gè)范式，可以預(yù)測(cè)攻擊者行為。但企業(yè)身份威脅安全監(jiān)控缺乏監(jiān)控維度與規(guī)則，企業(yè)被攻擊之后為了順應(yīng)新的IT架構(gòu)變革，更好地應(yīng)對(duì)云時(shí)代的到來(lái)，近幾年來(lái)企業(yè)開(kāi)始應(yīng)用和身份驗(yàn)證，確保合適的人可以訪問(wèn)他們需要的文件和應(yīng)用資源，但卻疏忽了身份威伴隨著身份認(rèn)證管理方案的普及，越來(lái)越多的攻擊者將攻擊目標(biāo)轉(zhuǎn)向具有高攻擊價(jià)值的身份基礎(chǔ)設(shè)施。攻擊者通過(guò)竊取身份設(shè)施中的合法身份進(jìn)行利用，在內(nèi)網(wǎng)中橫向移動(dòng)而不被發(fā)現(xiàn)，也能使用身份設(shè)施中訪問(wèn)權(quán)限來(lái)竊取更有價(jià)值的數(shù)據(jù)，例如員工在大多數(shù)的攻擊案例中我們可以看出，攻擊者會(huì)針對(duì)企業(yè)內(nèi)重要身份基礎(chǔ)設(shè)施進(jìn)行定向攻擊，因?yàn)槠錂?quán)限及網(wǎng)絡(luò)權(quán)限的特殊性，此類基礎(chǔ)設(shè)施一旦被利用，將會(huì)成為引發(fā)重大安全事故的核心節(jié)點(diǎn)，而其中的每一個(gè)身份都會(huì)成為擴(kuò)展新攻擊路徑的重要34Gartner認(rèn)為創(chuàng)建ITDR這個(gè)新類別將有助于企業(yè)集中精力并更好地保護(hù)其身份系統(tǒng)。換而言之，基于身份的攻擊已經(jīng)成為一種常見(jiàn)的網(wǎng)絡(luò)安全威脅，以至于需要一ITDR是一個(gè)新的安全類別，是指保護(hù)身份基礎(chǔ)設(shè)施免受惡意攻擊的工具和流程，云原生時(shí)代、企業(yè)邊界越發(fā)模糊和復(fù)雜，原有安全防御體系失靈，身份成為企今萬(wàn)物互聯(lián)，身份成為企業(yè)的新邊界新的控制點(diǎn)，那身份威脅檢測(cè)一定是這個(gè)階段身份如今變得越來(lái)越重要，企業(yè)的身份基礎(chǔ)設(shè)施也開(kāi)始多元化，例如生成網(wǎng)絡(luò)使用堡壘機(jī)、辦公網(wǎng)使用AD、隔離網(wǎng)用云桌面、服務(wù)器用vCenter、云上應(yīng)用使用IDaas等。攻擊者越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)身份基礎(chǔ)設(shè)施本身，組織必須更加專注比如遠(yuǎn)程辦公場(chǎng)景，現(xiàn)在可能一個(gè)企業(yè)辦公軟件賬戶泄露，可能就會(huì)導(dǎo)致這個(gè)企業(yè)的大量業(yè)務(wù)數(shù)據(jù)丟失，一個(gè)業(yè)務(wù)應(yīng)用設(shè)計(jì)有邏輯問(wèn)題，可能就會(huì)導(dǎo)致被薅羊毛，這企業(yè)的安全需要，從防火墻、入侵檢測(cè)和殺毒軟件的傳統(tǒng)老三樣“標(biāo)配”，逐漸向數(shù)據(jù)是新中心、情報(bào)是新服務(wù)、身份新邊界的新時(shí)代“立體化”網(wǎng)絡(luò)安全需求5能能能能能能能能第二個(gè)要素是要拿到一個(gè)身份信息，比如是一個(gè)密碼，是一個(gè)私同時(shí)能夠發(fā)現(xiàn)在現(xiàn)代化的攻擊過(guò)程中，攻擊者也更喜歡拿身份基礎(chǔ)設(shè)施作為鏈路中的關(guān)鍵攻擊對(duì)象，此類身過(guò)去我們已經(jīng)看到國(guó)內(nèi)大量攻擊案例中都會(huì)去攻擊AD、堡壘機(jī)、云平臺(tái)、vCenter、4a等身份基礎(chǔ)設(shè)施，甚至攻擊者會(huì)攻擊利用一些安全廠商的系統(tǒng)，隨著零信任在國(guó)內(nèi)的逐步落地，針對(duì)零信任組件的攻擊在未來(lái)也會(huì)所有攻擊環(huán)節(jié)都能看到攻擊者使用身份類攻擊，攻擊者在不同的場(chǎng)景不同的過(guò)程都會(huì)使用不同的身份類攻擊Gartner今年發(fā)布的數(shù)份安全趨勢(shì)報(bào)告中曾提及身份優(yōu)先安全，將其解讀為安全管理者在未來(lái)必須解決的重要趨勢(shì)之一。ITDR在Gartner《2022安全運(yùn)營(yíng)技術(shù)成熟度曲線》報(bào)告中被列為新興技術(shù)，其且在今年3月Gartner發(fā)布的2022年的七大安全與風(fēng)險(xiǎn)趨勢(shì)中，Gartner表示：攻擊者和訪問(wèn)管理（IAM）基礎(chǔ)設(shè)施，通過(guò)憑證濫用發(fā)起攻擊。Gartner提出了“身份威脅檢測(cè)和響應(yīng)ITDR（IdentityGartner預(yù)估，到2023年，“75%的安全故障將是由于對(duì)身份、訪問(wèn)和特權(quán)的監(jiān)控與管理不足”，而在2020經(jīng)歷過(guò)與身份相關(guān)的攻擊。和其他許多攻擊一樣，最近的SolarWinds數(shù)字供應(yīng)鏈攻擊同樣涉及了身份盜竊和特權(quán)訪問(wèn)操縱。而在國(guó)內(nèi)的護(hù)網(wǎng)行動(dòng)場(chǎng)上甚至有超過(guò)50%的攻擊和弱口令相關(guān)，憑據(jù)竊取攻擊更是數(shù)不勝數(shù)，面ITDR技術(shù)在國(guó)外發(fā)展還是比較迅速的，涌現(xiàn)了一波獨(dú)角獸公司，國(guó)內(nèi)ITDR發(fā)展還屬于起步階段；我們?cè)谔岢鯥TDR解決方案的同時(shí)需要盡快實(shí)現(xiàn)在企業(yè)中的身份安全落地，要去結(jié)合國(guó)內(nèi)企業(yè)安全現(xiàn)狀去思考實(shí)際解決方案，過(guò)去企業(yè)側(cè)已有的身份基礎(chǔ)設(shè)施，包括生產(chǎn)網(wǎng)用堡壘機(jī)，辦公網(wǎng)用AD，隔離網(wǎng)用云桌面，內(nèi)部虛擬化用vCenter等，這些土壤足夠支撐ITDR方向企業(yè)現(xiàn)階段的發(fā)展；隨著零信任的落地浪潮，身份廠商的快速發(fā)展，從市場(chǎng)來(lái)看，身份設(shè)施是客戶側(cè)最基礎(chǔ)的管理工具，幾乎不存在沒(méi)有身份管理設(shè)施的企業(yè)，現(xiàn)在網(wǎng)絡(luò)安全覆終端、流量、身份形成了貫穿公司內(nèi)行為的三層，終端檢測(cè)相應(yīng)形成了EDR，流量檢測(cè)響應(yīng)形成了NDR，9從運(yùn)營(yíng)視角來(lái)看，大多數(shù)情況下的應(yīng)急響應(yīng)或溯源分析過(guò)程中僅能碎片式地回答但這恰恰是企業(yè)安全人員所關(guān)注的核心。因此企業(yè)需要重視身份在分析與溯源過(guò)程中結(jié)合現(xiàn)有的身份認(rèn)證體系構(gòu)建統(tǒng)一ITDR平臺(tái)來(lái)進(jìn)行落地應(yīng)用，目標(biāo)是集中分析ITDR數(shù)據(jù)集成階段通過(guò)主動(dòng)或被動(dòng)的方式采集各類身份數(shù)據(jù)，目前支持AD、我們認(rèn)為企業(yè)需要構(gòu)建覆蓋安全事件全生命周期的身份威脅檢測(cè)和響應(yīng)能力，基）：弱口令檢測(cè)：檢查身份基礎(chǔ)設(shè)施內(nèi)的用戶密碼健盡管前期的加固工作我們已經(jīng)做的足夠好了，但絕不能認(rèn)為僅靠基本的預(yù)防性控制就足以阻止網(wǎng)絡(luò)攻擊，針對(duì)身份的威脅要做到實(shí)時(shí)監(jiān)測(cè)與防護(hù)。威脅檢測(cè)能力參考MITREATT&CK和KillChain模型設(shè)計(jì)。身份的威脅遍布于殺傷鏈的各個(gè)階段，能否分辨攻擊所處的不同階段，是威脅檢測(cè)中重要的一環(huán)。精明的攻擊者往往可以隱藏自身繞過(guò)傳統(tǒng)的檢測(cè)機(jī)制，因此我們利用機(jī)器學(xué)習(xí)、欺騙防御、用戶和實(shí)體行為分析欺騙防御：通過(guò)在內(nèi)網(wǎng)構(gòu)造高權(quán)限蜜罐賬戶的認(rèn)證憑據(jù)，利用攻擊者希望隱藏自身位置的心理，攻擊者在通過(guò)主動(dòng)信息收集發(fā)現(xiàn)高權(quán)限憑據(jù)后，一般情況都會(huì)進(jìn)行嘗試登錄或其他手段的利用，此時(shí)攻擊者對(duì)身份認(rèn)證系統(tǒng)請(qǐng)求蜜罐賬戶認(rèn)證，隨即暴露所在位置，安全人員即可定位到失陷主機(jī)。還可通過(guò)流量轉(zhuǎn)發(fā)技術(shù)，將攻擊者對(duì)真實(shí)業(yè)務(wù)系統(tǒng)的認(rèn)證流量轉(zhuǎn)發(fā)到提前準(zhǔn)備好的蜜罐主機(jī)，造成認(rèn)證成功的假象，拖延攻擊進(jìn)度。以此為安全人員提供充足的時(shí)間溯源攻擊路徑和入口并開(kāi)展封堵工作，將攻擊機(jī)器學(xué)習(xí)：設(shè)置一定的學(xué)習(xí)周期，收集大量的身份行為數(shù)據(jù)，對(duì)每個(gè)用戶進(jìn)行行）：手動(dòng)威脅阻斷：可添加阻斷策略，對(duì)指定用戶或IP進(jìn)行阻斷指令，被阻斷的用自動(dòng)威脅阻斷：可針對(duì)每一條檢測(cè)規(guī)則配置自動(dòng)威脅阻斷策略，若規(guī)則配置內(nèi)自動(dòng)威脅阻斷開(kāi)關(guān)打開(kāi)，則在當(dāng)前規(guī)則告警時(shí)，將當(dāng)前規(guī)則告警中的用戶和IP自動(dòng)添身份威脅響應(yīng)模塊同時(shí)支持對(duì)接第三方安全防護(hù)產(chǎn)品，實(shí)現(xiàn)聯(lián)動(dòng)處置，快速支持·第一能看到See：最大限度地提高企業(yè)各個(gè)位（通過(guò)對(duì)多個(gè)企業(yè)多個(gè)身份源的數(shù)據(jù)進(jìn)行收集分析，通過(guò)大數(shù)據(jù)處理及圖計(jì)算技術(shù)最大程度的將身份可視化，梳理每一個(gè)身份的扭轉(zhuǎn)情況，能夠發(fā)現(xiàn)其中的影子（對(duì)身份設(shè)施的主動(dòng)式掃描進(jìn)行加固保護(hù)，基于大數(shù)據(jù)處理和機(jī)器學(xué)習(xí)的分析能夠?qū)嵤└兄缴矸蓊惖墓粜袨?，同時(shí)聯(lián)動(dòng)身份設(shè)施進(jìn)行威脅誘捕，威脅誘捕一（通過(guò)提供自動(dòng)化的技術(shù)和工具，減少需要企業(yè)安全人員手動(dòng)操作的頻率和人為操作出錯(cuò)的概率，提高安全運(yùn)營(yíng)效率，ITDR支持安全響應(yīng)任務(wù)的編排能力，讓用戶對(duì)文件、權(quán)限、主機(jī)和網(wǎng)絡(luò)執(zhí)行經(jīng)過(guò)預(yù)先設(shè)計(jì)編排過(guò)的ITDR整體方案目標(biāo)是垂直分析企業(yè)所有身份數(shù)據(jù)，集中企業(yè)所有身份數(shù)據(jù)達(dá)到統(tǒng)一審計(jì)、統(tǒng)一分析、統(tǒng)一第一部分ITDR數(shù)據(jù)集成階段通過(guò)主動(dòng)或被動(dòng)的方式采集各類身份數(shù)據(jù)，目前支第二部分會(huì)針對(duì)采集到的身份系統(tǒng)數(shù)據(jù)進(jìn)行身份配置核查與攻擊面管理，通過(guò)國(guó)際規(guī)范與攻防經(jīng)驗(yàn)判斷配置第三部分故事線引擎會(huì)通過(guò)規(guī)則與機(jī)器學(xué)習(xí)結(jié)合將身份的多個(gè)數(shù)據(jù)日志結(jié)合分析將單個(gè)身份日志聚合為一個(gè)第五部分標(biāo)記分析可以自定義檢測(cè)規(guī)則并參與到機(jī)器學(xué)習(xí)標(biāo)記工作中第六部分響應(yīng)模塊支持第三方集成與自定義劇本執(zhí)行并能一鍵回滾，2022年10月Gartner發(fā)布ITDR詳細(xì)解讀，明確ITDR在整個(gè)網(wǎng)絡(luò)安全中的生態(tài)位。中安網(wǎng)星完全認(rèn)可