零信任的“免疫系统”：ITDR

身份是企业遭受攻击最多的安全边界之一，通过获得特权访问凭证，攻击者能够窃取大量高价值数据，包括员工和客户的身份以及财务信息等。如今，越来越多的网络攻击能够成功绕过身份访问管理(IAM)，在企业网络中横向移动而不被发现。

被盗凭证现在占企业所有数据泄露的61%，并且随着网络攻击者和更复杂的高级持续威胁(APT)组织不断寻找新方法来攻击或绕过IAM平台，安全态势正在不断恶化。

例如，SolarWinds漏洞始于攻击者获得公司全局管理员帐户的管理权限。然后，攻击者使用受信任的安全断言标记语言(SAML)令牌签名证书随时伪造SAML令牌，从而能够随意在SolarWinds的基础设施中移动。

Gartner预测，2022年75%的安全事故将归因于未能有效管理身份、访问和特权，高于2020年的50%——考虑到2022年发生了大量基于IAM的攻击，实际比例可能更高。

身份保护从强化IAM基础设施开始

即便在多云环境中，IAM和特权访问管理(PAM)的局限性依然很明显。

每个公共云提供商都依赖各自特定版本的IAM、PAM、策略管理、配置以及管理员和用户访问控制，导致云平台之间的安全差距，从而给网络攻击者留下机会。弥合多云安全漏洞和多云身份管理是网络安全初创公司急需创新的两个领域。

即使企业已经定义并开始部署其零信任框架，基础设施中以及IAM平台内部和之间仍然存在信任差距。零信任“永不信任”的不仅仅是用户（信任），还应将身份视为威胁。

应用程序、数据、设备、传输/会话和用户信任必须在所有强化IAM基础设施的零信任框架中得到解决。

身份威胁检测和响应(ITDR)弥补了不同IAM、PAM和身份治理和管理(IGA)系统之间的身份保护“空挡”。

鉴于多云架构的差距以及人和机器的身份呈指数级增长，CISO和安全团队为了优先强化IAM平台纷纷开始评估ITDR，尤其是那些部署在多云基础设施中的平台。

ITDR供应商则承诺，他们的平台可以对基于身份的攻击尝试进行更有效的调查，启用补救措施并终止RDP会话以防止管理员帐户受到损害，以及其他一些好处。

宣称能够提供ITDR解决方案或综合平台的领先厂商包括Authomize、CrowdStrike、Illusive、Microsoft、Netwrix、Quest、Semperis、SentinelOne(Attivo Networks)、Silverfort、SpecterOps、Tenable等。

零信任架构中的ITDR

零信任的核心原则是最低特权访问。这是当今领先的IAM、PAM和IGA系统的核心设计标准。这些系统旨在对每个最低特权访问会话的身份请求进行身份验证和授权，无论身份是属于人还是机器。

ITDR产品的设计思路是通过识别权限暴露、攻击者的特权提升来加强最低特权访问，在入侵发生之前识别凭证滥用。

ITDR被列为优先事项是必要的，因为多云和容器密集型基础设施是流行的攻击媒介，网络攻击者希望利用IAM、PAM和IGA系统相互独立的弱点。

通过入侵IAM，网络攻击者能够获取进入企业网络的钥匙，拥有接管企业网络所需的所有凭据。此外，企业还面临跨多云平台进行身份编排的问题，这个领域的解决方案也是IDTR和SIEM厂商关注的热点。

CISO需要从零信任的角度看待ITDR的价值，有以下几个原因：

首先，ITDR展示了帮助企业整合技术堆栈并减少遗留系统及其相关维护成本的潜力。

企业需要通过在用户身份之上实施额外的信任保护层来缩小多云基础架构中的安全差距。ITDR显示了消除跨基础设施和技术堆栈的影子信任的潜力。

今天，网络攻击者可以用恶意软件破坏Active Directory(AD)配置，获得对特权访问和身份管理数据的访问权限。CISO需要看到在零信任方案中实施ITDR的价值：无需再添加更多工具就可以解决网络上每个身份相关的威胁面。

最后，ITDR平台包含的技术和程序组合使其具备检测和阻止凭证盗窃和特权滥用的潜力。

CISO该如何行动？

Ericom的2021年零信任市场动态调查发现，83%的安全和风险专业人士认为零信任对其业务具有战略意义。

手握零信任预算的CISO追求能够快速见效可量化评估的项目，虚拟劳动力（例如bot）的多因素身份验证和端点安全就是两个常见的用例。同理，42%的安全和风险专业人员计划从身份和访问管理着手启动零信任计划。

2022年，几乎所有新的零信任计划都需要考虑保护这些新部署的IAM、PAM和IGA系统，因为针对（或绕过）此类系统的攻击正在增加。此外，考虑到企业有大量工作负载转移到多云基础设施中，缩小云服务商不同IAM和PAM系统之间的差距也是当务之急。因此，ITDR正是CISO下一步需要优先考虑的零信任预算。