身份保护与XDR:应对现代网络威胁
关键要点
- 随着组织增强网络和终端的保护,身份被攻破已成为渗透组织的重点。
- 身份攻击快速上升,近80%的攻击利用身份来破坏合法凭证。
- 许多XDR供应商未能有效整合身份保护,造成安全隐患。
- 安全团队需要实时全方位的可见性,以识别和应对身份攻击。
- 全面的XDR解决方案,结合终端、身份和威胁情报,是解决此类安全问题的关键。
随着组织对其网络和终端的保护力度加大,攻击者越来越多地将身份作为渗透组织的目标。近年来,身份攻击的发生率迅速上升,几乎有 80%
的攻击都是利用身份来侵入组织,攻击者使用横向移动等手段迅速规避检测。为了有效应对这些威胁,组织必须更好地理解对手及其动机。
Gartner建议选择一个至少包括下列功能的XDR工具:终端,数据湖,编排,身份数据来源的关联,以及威胁情报 。
然而,我们发现大多数XDR供应商未能以有意义的方式整合身份保护。虽然身份和访问管理(IAM)非常重要,但它并不能完全防止基于身份的攻击。大多数IAM供应商从一开始就没有包含必要的遥测,无法在混合环境、远程工作者和多个身份存储中实时识别现代身份攻击,而又不打扰用户。
IAM的不足之处
威胁行为者总是试图获取对关键数据的访问权限,通常以特权用户的身份隐身活动。IAM供应商在数字身份生命周期管理方面非常有效,从用户配置到去配置,帮助组织管理用户的数字身份,确保每位用户都能访问和履行其职责所需的资源。许多组织在其零信任(Zero
Trust)安全战略中依赖这些供应商。
不幸的是,这些IAM产品长时间处于“孤岛”状态,可能导致潜在的盲点。在一些情况下,IAM提供商自己在安全其基础设施方面也存在挑战。当攻击者使用被攻破的凭证时,他们能够渗透网络,绕开组织现有的安全解决方案。这一盲点直到近期才引起人们的充分重视。组织需要无缝结合检测与执行,以防止此类活动。
身份保护:提出正确的问题
基于身份的攻击使对手获取并横向移动于组织内部的速度大幅提升。据统计,攻击者在组织内部进行横向移动平均耗时 一小时二十四分钟
,通常利用身份攻击。如果对手使用有效凭证,就很难判定其恶意性。安全团队需要在其安全堆栈中实现实时全透明,以识别潜在的恶意行为并迅速采取行动。
安全团队能否检测并防御基于身份的攻击?可以询问以下几个问题:
问题 | 描述
—|—
组织是否拥有足够的信息来自原生和第三方来源,包括行为分析? |
团队是否能实时处理发生的事件并加以阻止?是否可以利用基于风险的条件访问来减少误报? |
组织是否能看到和保护公司环境中的一切,包括未管理或旧版系统? |
安全团队是否能主动采取措施来遏制违规?这可能包括使用风险评分来阻止被攻破身份在其他终端的使用,或确保分段以防止横向移动。 |
目前,许多XDR和IAM产品缺乏帮助组织回答这些问题的能力。我们观察到大多数XDR供应商在某一特定领域具有专业知识,无论是从网络入手,还是让SIEM或SOAR产品看起来更具吸引力。但根据Gartner的定义,他们必须全面应对,才可称为XDR。
XDR能够扩展对所有环境的检测和响应,但安全专业人员不能忽视个人及其身份,也绝不能忘记威胁情报的方面。较新的XDR产品在关联攻击模式以判断身份是否被攻破方面存在困难(例如,实时识别一个未知终端,但身份已知)。要了解何时发生攻击,安全团队需要终端和身份的
