ITDR 系统持续监控企业网络中与用户身份相关的异常或可疑活动。一旦 ITDR 解决方案检测到潜在恶意行为,即刻向安全团队告警并触发自动响应(如立即阻断账户对敏感数据的访问)。
ITDR 系统通过整合多重功能实现全面防护。ITDR 核心功能包括:
ITDR 系统需先认知正常授权活动模式方能识别可疑行为。
ITDR 从以下来源采集信息:
ITDR 运用行为模式分析与关系映射技术处理数据,为用户账户及其访问系统建立正常行为基准模型。
当 ITDR 系统检测到潜在入侵时,即刻向安全运营中心 (SOC) 告警并触发实时响应机制。响应措施包括:隔离受攻击系统、停用泄露账户、要求附加用户认证等阻断未授权或可疑活动的手段。
在暴力攻击中,黑客试图通过反复尝试来获取帐户访问权;他们会尝试多个登录凭据,直到找到一个有效的。
权限升级是一种网络攻击技术,在这种技术中,威胁参与者更改或提升他们在系统中的权限,例如从低权限的用户帐户转移到更高级别的管理员帐户。
横向移动是网络罪犯在获得未经授权的访问后用来深入组织网络的一种计策。从广义上讲,横向移动攻击分为两部分:初始突破,然后是内部移动。
身份风险和威胁并不总是来自恶意行为者。配置错误、简单疏忽、人为失误和授权用户滥用权限都会危及身份安全。风险包括:
随着身份攻击日益普遍及身份系统日趋复杂,ITDR 工具可助力企业提升 安全态势,增强对身份基础设施的管控能力。
对于许多组织来说,软件即服务 (SaaS) 解决方案、混合多云架构和远程办公是常态。他们的网络包含多供应商的基于云和本地的应用程序和资产,为不同地点的不同用户提供服务。这些应用程序通常有自己的身份系统,这些系统可能不容易相互整合。
结果,许多组织碎块化的身份环境存在漏洞,威胁参与者可以而且确实利用这些漏洞达到恶意目的。
通过监控身份而不是设备或资产,iTDR 可以增强对云环境、SaaS 工具和本地系统的用户活动的可见性。虽然不同的应用程序和资产可能具有不同的身份系统,但 ITDR 使组织能够在一个位置对所有身份进行监控。
ITDR 不仅可以检测主动攻击,还可以检测有潜在危险的错误配置和漏洞。例如,一些 ITDR 工具可以检测到薄弱的身份验证机制、不活跃的帐户,甚至某些影子 IT 资产的使用。
通过持续监控身份基础设施,ITDR 工具可以在黑客造成实际损害之前检测到网络攻击。
除了为安全团队标记这些攻击之外,ITDR 还可以自动实时响应,阻止黑客和恶意内部人员继续攻击。因此,ITDR 能够更快地缓解威胁并在漏洞被利用之前进行修复。
组织需要应对大量相互重叠的威胁检测和响应技术。虽然这些工具可能具有类似的功能,但它们会为企业网络的不同方面提供不同的保护。在多层次纵深防御网络安全战略中,它们通常互为补充。
身份和访问管理 (IAM) 工具负责用户身份全生命周期管理——从账户创建到注销。ITDR 重在检测并阻止未授权用户的恶意活动,而 IAM 则确保授权用户获得恰当权限并规范使用。
IAM 核心功能包括创建用户身份、分配权限、执行访问策略及清理旧身份。IAM 与 ITDR 系统常协同运作。IAM 为合法用户提供访问通道,ITDR 则监控用户活动中的账户盗用或权限滥用等威胁。
特权访问管理 (PAM) 系统管控并保护特权账户(如系统管理员)及其操作行为。ITDR 工具监控所有身份,PAM 工具则聚焦特权身份。
PAM 工具配置特权账户,管理权限提升的时机场合,并监控特权活动中的可疑行为与违规操作。
作为早于 ITDR 确立的网络安全实践,PAM 通常被视为独立类别。但在某些层面 PAM 可视为 ITDR 的特定版本。ITDR 防护全体用户身份威胁,PAM 则专项守护特权账户。二者协同可为网络提供进阶安全防护。
终端检测与响应 (EDR) 和 ITDR 的核心差异在于:EDR 工具守护终端设备,而 ITDR 工具防护数字身份。
EDR 监控服务器、PC 等终端设备的活动,检测设备层面的恶意行为。ITDR 则聚焦身份威胁,在用户与账户层级识别恶意活动。
ITDR 系统和 EDR 系统构成企业安全运维的互补体系。例如,当 EDR 发现终端异常时,ITDR 可协助关联至特定身份。
相较于 ITDR 对用户身份的专注,扩展检测与响应 (XDR) 解决方案整合所有安全层级(用户/终端/应用/网络/云负载/数据)的工具与运营。
XDR 工具促使本不互通的安防系统无缝协同,实现威胁预防、检测与响应的联动。除其他工具外,ITDR 与 XDR 协同运作,将身份数据汇入统一安全架构。
ITDR 和 XDR 结合可为企业提供更全面的网络态势感知,推动建立更高效的安全措施与身份治理模型。