2024 年身份威胁检测和响应 (ITDR)

在 2024 年动态的网络安全格局中，安全和身份与访问管理 (IAM) 领导者面临着前所未有的挑战。随着网络威胁的不断演变，IAM 在整个网络安全中始终发挥着重要作用。近年来，它已成为网络安全的基石，不仅支撑网络安全，而且其有效性将决定网络安全的成败。为了有效保护数字资产，IAM 和安全领导者必须在 2024 年战略性地优先考虑整合以身份为中心的威胁检测和响应实践。

2023 年 Verizon 数据泄露调查报告强调，49% 的泄露涉及凭证泄露，强调了 IAM 在风险缓解和泄露预防方面的关键作用。此外，2023 年 Microsoft 数字防御报告强调了这种紧迫性，显示基于密码的攻击增加了十倍，2023 年 4 月记录的每秒事件数为 11,000 起。

了解 IAM 格局

EDR 和 NDR 等传统威胁检测和响应工具虽然在其领域内有效，但并没有完全具备应对身份威胁的独特挑战的能力。随着安全边界日益转向身份，越来越需要盘点关键资产、对风险进行分类并持续监控身份系统是否存在错误配置和漏洞。

传统上，IAM 侧重于通过访问配置和身份验证进行预防性控制。然而，仅靠这种方法不足以应对复杂的身份威胁。虽然基础设施安全控制多种多样，但它们通常缺乏检测特定身份威胁的深度。身份威胁检测和响应 (ITDR) 弥补了这一差距，将威胁情报、工具和流程相结合，以有效保护身份系统。良好的 ITDR 策略不仅可以预防和检测，还可以调查和协调响应，以在身份违规时恢复完整性。

身份威胁的多面性

身份威胁多种多样且复杂。攻击者利用错误配置和漏洞，使用生成式人工智能等复杂策略进行社会工程，甚至从暗网市场购买被盗的凭证。为了应对这些威胁，IAM 领导者必须采取主动、多方面的方法，确保针对各种身份威胁提供全面的保护。

为什么 2024 年应优先考虑 ITDR？

凭证滥用现象依然存在

根据 Verizon 的 2022 年和 2023 年数据泄露调查报告，滥用（定义为将委托的组织资源或特权用于任何与预期相反的目的或方式）仍然是网络安全中的一个关键问题。这种滥用，特别是以凭证滥用的形式，是 2022 年约 40% 的安全漏洞的一个重要因素，到 2023 年这一比例将增加到 49%。这一趋势强调了身份和访问管理 (IAM) 领导者迫切需要优先考虑并解决这种普遍的攻击形式。

窃取凭证的暗网市场

最近发现的“数据泄露之母”(MOAB) 是一个包含 260 亿被盗用户凭证的大型数据库，凸显了在 2024 年优先考虑 ITDR 的至关重要性。MOAB 包括来自 Twitter/X、LinkedIn 等主要平台的数据、微博和腾讯强调了暗网市场对被盗凭证构成的日益严重的威胁。 由于存在身份盗窃、复杂的网络钓鱼计划、有针对性的网络攻击以及未经授权访问个人和敏感帐户的可能性，企业必须投资于强大的 ITDR 策略来保护其数字资产。此外，MOAB 数据库中存在来自各个政府组织的记录引起了对国家安全的严重担忧。这一事件以及最近另一次包含 7100 万个唯一凭证的数据转储强调，面对不断升级的网络安全威胁，迫切需要进行全面的 ITDR 规划。

复杂的攻击技术

网络犯罪分子正在迅速改进他们的方法。 SANS Institute 发现，到 2023 年，入侵的平均时间减少到 79 分钟，用于攻击的合法远程监控工具增加了 312%。 FireCompass 注意到更高级的网络钓鱼，包括复杂的欺骗。生成式人工智能进一步升级了这些威胁，使通过电子邮件、文本和网站进行的网络钓鱼更具说服力。 LastPass 和 CSO Online 报道了生成式人工智能在有效、可扩展的网络钓鱼攻击中的作用，以及人工智能在几分钟内生成的网络钓鱼电子邮件。 Darktrace 强调，使用先进语言技术的诈骗电子邮件增加了 135%，这些技术可能与 OpenAI 的 ChatGPT 等 AI 工具有关。

不断变化的攻击面

数字化转型正在扩大攻击面，引入新的漏洞。远程工作的兴起、云服务的日益使用以及物联网 (IoT) 设备的激增扩大了攻击的可能性。到 2023 年，62% 的组织报告网络安全团队人手不足，并且超过 60% 的企业数据位于云端，因此显然需要强大的身份威胁检测和响应 (ITDR) 策略。此外，虽然网络安全中的人工智能可以提供预测性见解并自动执行任务，但它也带来了被恶意行为者利用的风险。组织必须平衡人工智能的好处和风险，并培训员工安全使用人工智能技术。这种不断变化的形势需要不断调整和增强 ITDR 战略，以跟上网络安全变化的步伐。

混合 Active Directory 的流行

2022 年，微软身份安全副总裁 Alex Weinert 在亚特兰大举行的专家会议 (TEC) 上表示，“Active Directory 是我们遭受攻击的地方。”这个已有 25 年历史的 IAM 系统仍在继续据《福布斯》报道，以惊人的 90% 实施率主导企业组织。此旧系统继续在 Microsoft 365 客户的 IAM 中发挥关键作用。虽然 Active Directory 现在在企业组织内资源访问的身份配置中应降级为次要角色，但它继续被用作横向移动到云或 Microsoft 365 以获得更大访问权限的攻击媒介。

保护身份基础设施

网络攻击，特别是勒索软件攻击，可能会导致严重的运营中断。根据 Statista 2022 年的一份报告，美国企业和组织遭受勒索软件攻击后的平均中断时间为 24 天。这凸显了攻击对身份基础设施的潜在影响，强调了 IAM 领导者在保护业务运营、远程工作和客户访问方面的关键作用。组织必须投资强大的安全措施来保护其身份基础设施并最大程度地减少潜在的停机时间。

2024 年 IAM 领导者的主要优先事项

1. 放弃万能钥匙的密码

2024 年 IAM 领导者必须优先采用万能钥匙，这对于无密码之旅和取代传统密码至关重要。 Microsoft 的 Erik Dauner 在 Ignite 2023 上强调，每天观察到的超过 3 亿次密码攻击使得这一转变刻不容缓。密钥使用加密密钥对进行安全、用户友好的身份验证，有助于减少漏洞。

在 FIDO2 和 WebAuthn 标准的支持下，可以轻松跨平台集成，苹果、谷歌和微软等主要科技巨头都采用了密码，确保无需密码即可无缝访问。此举增强了安全性并简化了访问，标志着行业的重大转变。

IAM 领导者需要更新策略、对用户进行密钥教育并确保在技术领导者的支持下顺利过渡。此策略增强了安全性并改善了身份验证体验，消除了密码的麻烦。

2. 欢迎采用零信任和身份优先的安全措施

随着组织越来越多地采用零信任安全模型，值得注意的是，80% 的 IT 和安全专业人员将零信任列为优先事项。 此外，63% 采用零信任的组织这样做是为了改善身份和访问管理，45% 的受访者优先考虑零信任，重点关注身份和访问管理控制。这些统计数据强调了加强身份安全作为零信任的基本组成部分的重要性，从而使 ITDR 变得更加重要。

3. 制定 ITDR 策略

通过评估所涵盖的全方位攻击向量和遥测来确定 ITDR 能力中的差距。计划使用相互补充的工具组合来构建强大的 ITDR 计划。 最重要的是，指定一位得到所有安全领导层同意的 ITDR 所有者，负责领导 ITDR 混合团队，其目标是保护身份基础设施并确保凭证完整性。混合团队是一个多学科团队，融合了技术或分析和业务领域的专业知识，并共同承担业务和技术成果的责任。

4. 启动卫生措施和库存程序

首先对您现有的预防性控制措施进行彻底清查，并审核您的 IAM 基础设施是否存在错误配置、漏洞和暴露情况。实施适当的卫生措施以防止错误配置并减少攻击面。

5. 现代化您的 IAM 基础设施

通过定期更新、修补和整合来简化和增强您的 IAM 基础设施。通过整合 IAM 工具和流程、提高效率并减少冗余系统来降低复杂性。采用零信任模型，在无固有信任的原则下运行，即使在网络边界内也是如此。这种现代化方法不仅增强了安全性，而且还确保与当代最佳实践和不断变化的威胁形势保持一致。

6. 建立控制平面

您的库存流程应包括识别关键资产的连续收集，有时在 IAM 系统中称为“零层”，这些资产被视为特权的瓶颈。在这种情况下，“阻塞点”通常是指组织身份基础设施内的关键节点或控制点，它在管理用户身份、身份验证和资源访问方面发挥着关键作用。这些瓶颈对于执行安全策略和确保只有授权个人才能访问特定系统、应用程序或数据至关重要。

7. 加强检测控制

选择身份警报关联和检测逻辑的焦点。将身份策略、技术和程序 (TTP) 置于其他检测机制之上。由于攻击者不断发展他们的策略，因此要保持敏捷地检测新的攻击技术。

8. Excel 在响应阶段

在您的响应策略中开发或更新 IAM 实施的剧本和自动化。使用安全运营中心 (SOC) 中的现有安全控制将 IAM 事件集成到响应和威胁搜寻流程中。 

通过 ITDR 加强 IAM：决定性战略

当我们应对 2024 年不断变化的网络安全格局时，优先考虑身份威胁检测和响应 (ITDR) 的重要性怎么强调也不为过。前面强调的统计数据和趋势明确呼吁 IAM 领导者采取行动：将重点转向主动的、以身份为中心的安全策略。网络安全的未来不仅在于防御当今的威胁，还在于预测和应对明天的挑战。

我们正处于一个关键时刻，采用创新技术（例如使用密钥、采用零信任架构以及培育安全第一文化）不仅是值得推荐的，而且是必不可少的。跨行业的合作和对持续改进的承诺将是我们在这一努力中最强大的盟友。

让我们把这些知识作为变革的催化剂。通过整合先进的 ITDR 策略、优先开展有关新出现威胁的教育并鼓励共同承担网络安全责任的环境，我们可以更有效地保护我们的数字资产。前进的道路是明确的：通过拥抱这些原则，我们可以确保所有人拥有一个更安全、更有弹性的数字未来。现在是采取行动的时候了。