如何做好身份威胁检测和响应工作

admin 2024年8月16日20:18:04评论14 views字数 2067阅读6分53秒阅读模式

身份威胁检测和响应 (ITDR) 已成为有效检测和响应基于身份的攻击的关键组件。威胁行为者已经展示了他们破坏身份基础设施并横向移动到 IaaS、Saas、PaaS 和 CI/CD 环境的能力。身份威胁检测和响应解决方案可帮助组织更好地检测其环境中的可疑或恶意活动。ITDR 解决方案使安全团队能够帮助团队回答以下问题:“我的环境中现在正在发生什么 - 我的身份在我的环境中做了什么。

人类和非人类身份

如《ITDR 解决方案指南》中所述,全面的 ITDR 解决方案涵盖人类身份和非人类身份。人类身份涉及劳动力(员工)、客人(承包商)和供应商。非人类身份包括令牌、密钥、服务帐户和机器人。多环境 ITDR 解决方案可以检测和响应所有身份实体风险,例如从 IdP 到 IaaS 和 SaaS 层,而不是在分散的层特定级别保护身份。

核心 ITDR 功能
ITDR 解决方案的基本功能包括:

1、为所有实体开发通用身份配置文件,包括人类和非人类身份、跨云服务层的活动以及本地应用程序和服务。

2、将这些身份的静态分析、状态管理和配置与环境中这些身份的运行时活动配对。

3、监视和跟踪直接和间接访问路径,并监视环境中所有标识的活动。

4、编排跨身份提供商、IaaS、PaaS、SaaS 和 CI/CD 应用程序的多环境身份跟踪和检测,以便无论身份在环境中走到哪里都跟踪身份。

5、多环境高保真检测和响应,使组织能够对整个攻击面上出现的身份威胁采取行动,而不是对基于单一事件的大量原子警报做出反应。

有关 ITDR 功能的完整列表,您可以访问完整的身份威胁检测和响应解决方案指南。

身份威胁使用案例

为了有效防范身份攻击,组织必须选择具有高级功能的 ITDR 解决方案来检测和缓解攻击。这些功能应解决人类和非人类身份的一系列用例,包括但不限于:

  • 帐户接管检测:检测表明身份已泄露的众多变体中的任何一种。
  • 凭据泄露检测: 识别环境中使用被盗或泄露的凭据并发出警报。
  • 权限提升检测:检测在系统和应用程序中未经授权升级权限的尝试。
  • 异常行为检测:监视可能与正常用户行为的偏差,这些偏差可能表明存在恶意活动。
  • 内部威胁检测:识别并响应内部用户的恶意或疏忽行为。

有关身份威胁用例的完整列表,您可以访问完整的身份威胁检测和响应解决方案指南。

有效的 ITDR 解决方案应回答的问题
1. 身份清单和访问管理
我们的环境中存在哪些实体身份?
  • 全面清查所有环境中的人类和非人类身份。
这些身份具有哪些角色和权限?
  • 有关每个标识在不同云和本地环境中具有的角色、组和特定权限的详细信息。
哪个角色/组为特定用户提供了对资源的访问权限?该访问权限的权限范围是多少?
  • 有关授予资源访问权限的角色/组和权限的详细信息。
2. 风险评估和异常检测
我的云服务层中风险最高的 10 个身份是什么?如果其中一个身份被泄露,爆炸半径会是多少?
  • 识别最具风险的身份,并评估其入侵的潜在影响。
身份行为中是否存在任何异常?
  • 检测每个标识与正常行为模式的偏差,突出显示潜在的恶意活动。
是否有任何凭据被泄露?
  • 有关在环境中使用被盗或泄露的凭据的警报。
3. 身份验证和访问模式
如何对身份进行身份验证和访问?
  • 跟踪所有身份(包括联合和非联合访问点)的身份验证方法和访问路径。
登录尝试的来源和位置是什么?
  • 登录尝试的详细日志,包括 IP 地址、地理位置和设备信息。
不同类型的实体(人类和非人类)如何访问我当前的环境?
  • 监视环境中不同类型实体的访问模式。
在我的环境中,在应用程序和云服务层中实施 MFA 的范围有多大?
  • 评估在整个环境中实施和实施多重身份验证 (MFA) 的情况。
4. 活动监控和变更跟踪
刚刚在我的环境中进行了哪些更改,谁负责这些更改,以及其他云服务层中是否进行了类似的更改?
  • 跟踪和报告最近的更改、负责的用户和跨层一致性。
哪些身份访问了敏感数据或关键系统?
  • 监视和报告对敏感数据存储库、关键系统和高风险应用程序的身份访问。
5. 事件关联和响应
与身份相关的事件如何在不同环境中关联?
  • IdP、IaaS、PaaS、SaaS、CI/CD 和本地环境的身份活动和事件的关联,以提供统一的视图。
应采取哪些措施来缓解已识别的威胁?
  • 可操作的建议和自动响应选项,以缓解检测到的身份威胁并防止未来发生事件。
尊敬的读者:
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。
我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。
如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。
如何做好身份威胁检测和响应工作
                               扫描二维码,参与调查

END

点击下方,关注公众号
获取免费咨询和安全服务
如何做好身份威胁检测和响应工作
安全咨询/安全集成/安全运营
专业可信的信息安全应用服务商!
http://www.jsgjxx.com

原文始发于微信公众号(信息安全大事件):如何做好身份威胁检测和响应工作

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月16日20:18:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   如何做好身份威胁检测和响应工作http://cn-sec.com/archives/3071476.html

发表评论

匿名网友 填写信息