身份威胁检测和响应 (ITDR) 已成为有效检测和响应基于身份的攻击的关键组件。威胁行为者已经展示了他们破坏身份基础设施并横向移动到 IaaS、Saas、PaaS 和 CI/CD 环境的能力。身份威胁检测和响应解决方案可帮助组织更好地检测其环境中的可疑或恶意活动。ITDR 解决方案使安全团队能够帮助团队回答以下问题:“我的环境中现在正在发生什么 - 我的身份在我的环境中做了什么。
如《ITDR 解决方案指南》中所述,全面的 ITDR 解决方案涵盖人类身份和非人类身份。人类身份涉及劳动力(员工)、客人(承包商)和供应商。非人类身份包括令牌、密钥、服务帐户和机器人。多环境 ITDR 解决方案可以检测和响应所有身份实体风险,例如从 IdP 到 IaaS 和 SaaS 层,而不是在分散的层特定级别保护身份。
1、为所有实体开发通用身份配置文件,包括人类和非人类身份、跨云服务层的活动以及本地应用程序和服务。
2、将这些身份的静态分析、状态管理和配置与环境中这些身份的运行时活动配对。
3、监视和跟踪直接和间接访问路径,并监视环境中所有标识的活动。
4、编排跨身份提供商、IaaS、PaaS、SaaS 和 CI/CD 应用程序的多环境身份跟踪和检测,以便无论身份在环境中走到哪里都跟踪身份。
5、多环境高保真检测和响应,使组织能够对整个攻击面上出现的身份威胁采取行动,而不是对基于单一事件的大量原子警报做出反应。
有关 ITDR 功能的完整列表,您可以访问完整的身份威胁检测和响应解决方案指南。
为了有效防范身份攻击,组织必须选择具有高级功能的 ITDR 解决方案来检测和缓解攻击。这些功能应解决人类和非人类身份的一系列用例,包括但不限于:
-
帐户接管检测:检测表明身份已泄露的众多变体中的任何一种。 -
凭据泄露检测: 识别环境中使用被盗或泄露的凭据并发出警报。 -
权限提升检测:检测在系统和应用程序中未经授权升级权限的尝试。 -
异常行为检测:监视可能与正常用户行为的偏差,这些偏差可能表明存在恶意活动。 -
内部威胁检测:识别并响应内部用户的恶意或疏忽行为。
有关身份威胁用例的完整列表,您可以访问完整的身份威胁检测和响应解决方案指南。
-
全面清查所有环境中的人类和非人类身份。
-
有关每个标识在不同云和本地环境中具有的角色、组和特定权限的详细信息。
-
有关授予资源访问权限的角色/组和权限的详细信息。
-
识别最具风险的身份,并评估其入侵的潜在影响。
-
检测每个标识与正常行为模式的偏差,突出显示潜在的恶意活动。
-
有关在环境中使用被盗或泄露的凭据的警报。
-
跟踪所有身份(包括联合和非联合访问点)的身份验证方法和访问路径。
-
登录尝试的详细日志,包括 IP 地址、地理位置和设备信息。
-
监视环境中不同类型实体的访问模式。
-
评估在整个环境中实施和实施多重身份验证 (MFA) 的情况。
-
跟踪和报告最近的更改、负责的用户和跨层一致性。
-
监视和报告对敏感数据存储库、关键系统和高风险应用程序的身份访问。
-
跨 IdP、IaaS、PaaS、SaaS、CI/CD 和本地环境的身份活动和事件的关联,以提供统一的视图。
-
可操作的建议和自动响应选项,以缓解检测到的身份威胁并防止未来发生事件。
感谢您花时间阅读我们提供的这篇文章。我们非常重视您的时间和精力,并深知信息对您的重要性。 我们希望了解您对这篇文章的看法和感受。我们真诚地想知道您是否认为这篇文章为您带来了有价值的资讯和启示,是否有助于您的个人或职业发展。 如果您认为这篇文章对您非常有价值,并且希望获得更多的相关资讯和服务,我们愿意为您提供进一步的定制化服务。请通过填写我们提供的在线表单,与我们联系并提供您的邮箱地址或其他联系方式。我们将定期向您发送相关资讯和更新,以帮助您更好地了解我们的服务和文章内容。 |
END
原文始发于微信公众号(信息安全大事件):如何做好身份威胁检测和响应工作
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论