在過去二十年中，身份安全領域最為成功的供應商（每家收入均接近10億美元）主要圍繞身份訪問管理（IAM）、身份治理與管理（IGA）以及特權訪問管理（PAM）構建業務。這一趨勢孕育了Microsoft Identity、Okta、CyberArk和SailPoint等巨頭領導者，其中SailPoint正籌備IPO。

下一代身份安全企業將整合IAM、PAM和IGA，解決隨著企業技術堆棧發展而出現的身份孤島和安全差距問題。隨著組織規模的擴大，身份（包括人類身份和非人類身份（NHI））已成為網絡安全領域最容易被利用且常被忽視的攻擊面之一。

本報告深入剖析了身份攻擊面，揭示了威脅行為者如何利用身份弱點，以及企業必須采取哪些措施來防御這些弱點。

1.關鍵摘要

本報告深入探討了企業如何通過多種方法保護其身份攻擊面。雖然我已撰寫了大量關于身份治理生態系統和非人類身份（NHI）的文章，但本報告的核心聚焦于企業如何通過三種關鍵方法監控、管理和保護其身份攻擊面。

身份攻擊的日益增多正促使組織意識到縮小現有身份解決方案中差距的重要性。本報告旨在討論企業如何通過以下三個步驟實現這一目標：

1. 可見性：提供對身份環境的基礎性理解。
2. ISPM：通過主動實施衛生措施和適當配置，減少潛在漏洞。
3. ITDR：在威脅出現時主動監控和緩解威脅，從而補充主動管理策略。

1.1 為什么選擇 Identity？

• 為什么選擇身份攻擊面？攻擊面的概念早已在安全領域得到認可。但是，它應用于身份安全是一個相對較新的發展，并且勢頭越來越強勁。身份攻擊面管理 （IASM） 的出現是為了應對傳統身份供應商內部日益意識到的差距。目標是讓企業能夠全面了解其傳統身份堆棧、實施態勢控制、保護身份，并根據明智的見解推動補救工作。
• IASM 如何成為身份安全的下一個前線：在過去十年中，組織主要專注于管理訪問控制 （IAM）、身份治理 （IGA） 和權限管理 （PAM） 解決方案。這些解決方案擁有大量的身份，但它們都在各種架構中提供了截然不同的解決方案。這些解決方案不容易相互集成。這導致組織存在孤島和許多失敗的身份項目，從而導致大量違規行為。下一個安全平臺將具有強大的可見性、態勢和保護機制。
• 由于身份系統的弱點，多年來，身份攻擊的頻率和流行率激增，這凸顯了對 IASM 的需求。攻擊者越來越多地利用繞過現有控制的技術，迫使企業采用更高級的安全措施。
• 90% 的組織在過去一年中經歷了與身份相關的泄露，其中 93% 的泄露可以通過改進控制措施來預防。
• 37% 的組織報告說，為所有用戶實施 MFA 有助于防止或減輕事件的影響。其他有效措施包括定期審查敏感數據的訪問 （42%） 和特權訪問 （50%）。
• MITRE ATT&CK 框架顯示，在野生目標身份中觀察到的 50% 的攻擊策略，強調了統一安全可見性的必要性。
• 75%的檢測是無惡意軟件的（無惡意軟件的攻擊使攻擊者能夠在雷達下作，并在端點和云域之間無縫導航）。
• 關鍵報告要點：更強的可見性使組織能夠采取主動、協調的補救措施。通過打破安全團隊之間的孤島，組織可以采用最安全且面向未來的策略來修復漏洞。
• 身份安全問題就是數據問題：身份安全從根本上取決于數據完整性。盡管 OCSF、IPSIE 和 CAEP 等框架提高了互作性，但它們無法跨 HR 系統、傳統 IAM 解決方案和云原生身份平臺完全規范和關聯身份數據。這種碎片化削弱了安全態勢，使企業容易受到基于身份的威脅。組織必須主動建立統一的身份數據基礎，確保無縫關聯和治理。隨著這些標準的發展，優先考慮結構化身份數據管理的企業將能夠更好地增強安全性并簡化合規性。
• 本報告將討論和重點介紹主要代表性供應商。這些供應商代表了這個市場生態系統以及向可見性、態勢和保護的演變。市場上有更多的供應商提供類似或相鄰的東西。最成功的其中之一是 CrowdStrike 在 400 年收購 Prempt 后，在不到 4+ 年的時間內實現了 $2020M+ 的收入。然而，SACR 在經過全面的產品審查后選擇了這些供應商，并與他們合作，成功地將研究推向市場。
  • Hydden

• Silverfort

• Authmind

• Acalvio

• SlashID

• Axiad

2.當今身份認同中的孤立差距

您所看到的僅是冰山一角——在表象之下，企業實際管理著成千上萬個隱藏的身份，這些身份從人類用戶延伸至非人類實體，每一個都可能成為潛在的攻擊媒介。表面上，企業依賴身份訪問管理（IAM）、特權訪問管理（PAM）和身份治理與管理（IGA）來管控身份，但在這些工具的背后，一個由多種身份構成的龐大且碎片化的網絡仍然處于不可見的狀態。服務賬戶、API密鑰、機器身份、影子IT和臨時憑證在暗處運行，將身份攻擊面擴展到傳統控制手段之外。如果無法洞察這些隱藏的層級，組織將被暴露于潛伏于表象之下的隱匿威脅之中。

3.現代攻擊面以身份為中心
為了幫助我們更好地了解身份在現代攻擊面中的作用。我們需要剖析和分析——兩者都是：

1. 身份安全管理
2. 攻擊面管理

讓我們首先將身份分解為其基本原則。

身份是企業中可以進行身份驗證和授權以在 IT 系統中執行作的任何實體。我們有兩個主要類別：

• 人類身份（“人員”）
• 非人類身份（“機器”）

現代身份安全管理應采用整體方法，確保人類和非人類身份都得到適當的身份驗證、授權和監控，以防止未經授權的訪問、特權濫用和基于身份的威脅。它包括三個關鍵領域：

1.人類身份，包括員工、承包商和合作伙伴，他們需要強身份驗證、最低權限訪問和治理，以降低憑據盜竊和內部威脅等風險。

2.非人類身份 （NHI），例如服務賬戶、機器人和 API 密鑰，通常具有過多的權限，需要強大的密鑰管理、輪換策略和機器身份保護來防止漏洞利用。

3.數字身份，包括定義訪問權限的用戶帳戶、角色、權限和憑證，如果管理不當，容易受到權限提升、錯誤配置和蔓延的影響。

3.1 現代身份生態系統不斷擴展。

身份生態系統繼續爆炸式增長，從下面的市場地圖中可以看出：

我撰寫了大量關于身份治理生態系統和非人類身份 （NHI） 的文章。但是，我們希望深入研究當今圍繞這個生態系統構建的攻擊面。

4.攻擊面管理 （ASM）

攻擊面管理 （ASM） 涉及對組織的數字資產進行持續發現、清點、分類和風險評估，以最大限度地減少潛在網絡攻擊的風險。它包括識別可能被攻擊者利用的所有外部和內部點，了解其漏洞，并采取主動措施來保護它們。從歷史上看，ASM 分為以下類型：

1.EASM（外部攻擊面管理）：主要關注公司面向 Internet 的資產，持續發現和監控錯誤配置、影子 IT 和漏洞，以最大限度地減少外部暴露。

2.傳統 ASM（攻擊面管理）：專注于內部網絡、端點和身份，檢測內部威脅、橫向移動風險和未修補的漏洞，以增強內部安全性。

3.CAASM （Continuous Attack Facing Management）：通過集成安全工具、確定風險優先級和自動修復，提供組織整個攻擊面的統一、實時視圖。

5.整合在一起：Identity Centric （ASM）

在回顧了關鍵身份類別之后，很明顯，現代企業架構的很大一部分是人類和機器身份的身份驅動的。傳統的攻擊面管理 （ASM） 側重于外部和內部資產，例如服務器、應用程序、云環境和端點。然而，身份已成為現代網絡威脅的主要攻擊媒介，跨越了所有邊界。此外，身份是新的邊界，即專注于網絡和端點的傳統 ASM，但在云和混合環境中，攻擊者繞過這些邊界，直接針對憑證、權限和身份配置錯誤。

撞庫、網絡釣魚、會話劫持和權限提升攻擊現在是現代漏洞（例如 Okta 和 Uber 漏洞）的主導。

例如，基于身份的攻擊已成為 MITRE ATT&CK 框架的核心，其近一半的策略依賴于利用身份漏洞。從通過憑證盜竊進行初始訪問到權限提升、持久性和橫向移動，攻擊者越來越多地將弱身份驗證、過多權限和身份管理不善作為目標。憑證訪問是一種完全以身份為中心的策略，凸顯了憑證被盜、破解或攔截的風險越來越大。攻擊者利用基于身份的偵查、中間對手攻擊和權限濫用來大規模入侵組織。隨著身份成為新的邊界，SOC團隊必須集成身份風險管理（IdRM）和身份威脅檢測與響應（ITDR），以實時映射和緩解這些攻擊向量。加強身份安全對于在漏洞被利用之前縮小差距至關重要。

傳統 ASM 與身份攻擊面管理 （IASM） 之間的主要相似之處包括：

1. 資產發現→身份發現：正如 ASM 映射公開的 IT 資產一樣，IASM 在云、SaaS 和本地環境中映射身份及其權利。
2. 攻擊路徑分析 → 身份風險分析：傳統 ASM 跟蹤可利用的攻擊路徑;而 IASM 映射身份攻擊路徑以識別權限提升風險。
3. 持續監控→身份漂移和暴露：ASM跟蹤資產變化，而IASM監控身份和權限變化以防止意外暴露。

6.身份攻擊面管理 （IASM） 簡介
IASM 是發現、監控和管理組織內所有與身份相關的漏洞和風險的過程。隨著新員工的加入和應用程序創建新身份，攻擊面不斷擴大，企業難以有效管理它們，從而增加了攻擊的可能性。身份 ASM 或 IASM 擴展了對身份的可見性，使 ASM 更加全面和適應現代威脅。

IASM 的最終目標是通過防止未經授權的用戶泄露身份和獲得訪問權限來主動限制暴露。正如 ASM 解決方案分析潛在的攻擊路徑并識別攻擊者可能追求的關鍵目標一樣，IASM 提供對所有身份的集中可見性，無論它們存在于何處，都專注于保護與身份相關的資產免受利用。

6.1 使用案例

IASM 通過以下方式跨越傳統界限：

1. 提供完整的身份生命周期，識別所有身份類型（B2E、B2C、Machine）的配置狀態和衛生狀況。
2. 在解決方案中實施安全策略，以協調所有現有產品的安全策略。
3. 盡早主動識別威脅，同時提供整體風險評估。
4. 檢測暴露的憑據、有風險的訪問模式以及惡意行為者可能利用的潛在基于身份的攻擊媒介。
5. 識別云服務、第三方應用程序和開發環境中的休眠賬戶、過多權限和公開的憑證。
6. 根據身份數據源上下文和遙測確定基于身份的風險的優先級并解決這些風險。

6.2 現有身份安全框架

6.2.1 預防、檢測和響應

隨著基于身份的攻擊已成為網絡威脅的主要切入點，許多行業框架都強調預防技術、檢測機制和響應能力，以實現全面的身份安全策略。雖然這些框架共同有助于減少攻擊面，但需要更結構化的方法來應對特定于身份的威脅。

6.3 IASM 與現有身份類別互連

許多現有的身份解決方案側重于身份安全的孤立方面：

• IAM，專注于身份驗證層
• IGA，專注于賬戶生命周期管理
• PAM，專注于特權用戶、密鑰和保險庫

雖然傳統的 IAM 工具提供了一些身份管理功能，但它們通常獨立運行，并且存在很大的限制?，F代身份安全需要更全面的方法。傳統解決方案面臨幾個關鍵挑戰：它們無法有效地聚合和規范不同平臺的身份數據，它們缺乏企業范圍的上下文感知以進行明智的補救，并且它們無法在整個組織中提供標準化的風險評估。最重要的是，它們無法提供組織身份攻擊面的整體視圖，并且無法有效地確定可能導致重大安全漏洞的身份相關風險的優先級。

這些解決方案中的大多數仍然是孤立的，只專注于它們旨在保護的關鍵領域。IASM 充當跨 IAM、IGA、PAM 和 ZTNA 的基礎層，使團隊能夠采取補救措施并加強現有的身份安全實施。

基本的 Identity Security 問題是數據問題。盡管努力通過 OCSF、RISC、IPSIE 和 CAEP 等框架提高互作性，但身份安全領域仍然存在重大差距。雖然這些標準促進了 IAM 系統之間的一些集成，但它們缺乏在整個現代企業生態系統（涵蓋人力資源系統、傳統 IAM 解決方案和云原生身份管理平臺）中完全規范和關聯身份數據所需的全面功能。隨著這些框架和標準在行業中越來越受歡迎，組織將需要遵守。為了保持強大的安全態勢，他們還必須采用正確的技術來保護其基礎設施中的所有身份，確保每個身份都得到適當的管理和保護。

7.IASM 的組成部分

1.發現和可見性

2.姿勢和衛生

3.保護和修正

7.1 發現與可見性

可見性是 IASM 的基本支柱，因為您無法保護您看不到的東西。身份發現和清單至關重要，因為保護攻擊面取決于使組織生態系統中的所有身份可見，包括人類和非人類身份 （NHI）。

缺乏身份可見性會導致影子身份、孤立賬戶、特權過高的訪問和擴大的攻擊面。Visibility 為組織提供了所有身份、其關系及其關聯權限的實時清單。因此，可見性應包括以下內容：

• 發現和識別所有人類和機器身份，以清晰、實時地了解誰在訪問哪些資源。
• 清點和編目所有 IT 資產的身份類型、權限及其關聯屬性。
• 映射每個身份的訪問權限，以實施最低權限原則并檢測權限過高的帳戶和未使用的權限。
• 映射權限和關系：了解身份與其可以訪問的資產（例如云資源、應用程序或數據存儲）之間的關系。
• 持續監控所有身份，包括正在創建的新身份，而不是像市場上的大多數解決方案那樣依賴靜態可見性。

IASM 流程遵循全面的結構化工作流程，從發現到可見性，最終到控制。與傳統的靜態評估不同，這種方法可確保在企業分散的身份基礎設施中持續、持續地發現。該系統為不同的利益相關者提供詳細的報告和儀表板，所有這些都建立在統一的數據基礎上，該基礎整合和分析了所有與身份相關的信息。

其中許多解決方案側重于：

1. 使用目標系統和應用程序的 API 查詢目標系統和應用程序
2. 系統和身份日志解析和分析
3. 事件驅動的數據捕獲

然后，這些數據用于持續監控和跟蹤配置和權限更改，以檢測基于身份的威脅。

7.2 評估供應商在提高身份可見性方面的能力

全面的身份發現：IASM 解決方案的首要任務是從整個企業中發現和攝取身份信息。此過程需要與創建、存儲和管理用戶身份和身份信息的各種系統集成。

示例案例研究：Cloud Identity Exposure 一家財富 500 強公司在其 AWS 和 Azure 環境中發現了數千個孤立的服務賬戶。通過利用自動身份發現工具，它在三個月內將其暴露的攻擊面減少了 40%。

1、集成和連接器的廣度到深度

• 該解決方案應通過強大的連接器與各種應用程序和服務集成，包括：
• 人力資源管理系統 （HRMS） – 管理員工身份和訪問權限。
• Enterprise 和 Cloud Identity 目錄 – 用于用戶身份驗證和授權的集中式存儲庫。
• 流量監控和目錄日志 提供對身份使用情況和異常的可見性。
• 特權訪問管理（PAM）和身份治理和管理（IGA） 控制和審計特權和一般用戶訪問。
• 身份提供商 （IdP） – 支持跨基于云的和傳統的本地環境進行數字身份管理和單點登錄 （SSO）。
• 安全和網絡解決方案 – 包括 XDR、SASE 和其他集成身份數據以增強安全性的邊界防御工具。
• SIEM & SOAR 平臺 – 聚合和關聯與身份相關的安全事件，以進行威脅檢測和響應。
• 機器身份管理解決方案 – 管理機器人、工作負載和服務賬戶等非人類實體。
• 證書生命周期管理服務 – 確保加密憑證的完整性和更新。
• SaaS和基于API的服務 將身份治理擴展到云和本地應用程序

2.身份掃描功能

有效的解決方案必須：

• 持續監控云、本地和混合環境中的身份。
• 檢測和清點來自 Microsoft、Okta 和 JumpCloud 等提供商的 IAM 賬戶。
• 識別人類和非人類身份，包括 API 密鑰、機器人和服務賬戶。
• 發現影子身份和未經授權的接入點，降低身份攻擊面中的隱藏風險。

3.所有身份的清單

全面的身份清單使團隊能夠：

• 識別風險最高的組、部門、平臺、應用程序和區域，幫助確定根本原因并有效地確定資源的優先級。
• 規范化數據：數據規范化對于與各種信息源集成的 Identity and Risk Management （IdRM） 解決方案至關重要。雖然 HRMS、企業目錄和 PAM 解決方案等系統可能以不同的方式存儲用戶數據（例如，姓名、地址、職務、業務部門、位置），但規范化將其轉換為標準格式。這種標準化對于關聯、聚合和分析不同來源的身份數據至關重要。

4.用于關聯和映射身份到資產關系的身份圖

• 為了提高可見性，組織必須能夠映射哪些身份可以訪問哪些資源。使用基于圖形的安全模型，供應商應使組織能夠可視化基于身份的攻擊路徑，并說明身份、組、角色、權利、憑證、密鑰和其他實體之間的關系。
• 利用外部標準作為上下文：解決方案應與行業框架和標準集成，包括開放式網絡安全架構框架 （OCSF）、風險識別和站點關鍵性工具包 （RISC） 以及持續訪問評估協議 （CAEP）。此外，應考慮新興標準，例如企業中安全身份的互作性配置文件 （IPSIE）。

5.分析和分配風險評分

• 風險評分功能：風險評分功能在身份安全中至關重要，因為它們提供了身份泄露或構成安全風險可能性的可量化度量。通過根據行為分析、歷史活動和上下文因素為用戶、服務賬戶和訪問請求分配風險評分，組織可以確定其安全工作的優先級。風險評分支持實施動態的、基于風險的訪問控制。例如，高風險評分可能會觸發額外的身份驗證措施、限制權限或啟動自動化事件響應工作流程，從而減少身份濫用的機會。
• 實時身份監控：強大的數據庫應該能夠掃描、捕獲和映射身份。此功能可幫助組織檢測登錄模式、權限更改和訪問行為中的異常情況。
• 檢測孤立和未使用的賬戶：系統也應該能夠進行定期審計并刪除不活躍的賬戶。它還應該識別不再需要訪問權限的外部身份（例如，承包商、供應商）。

可見性不能是靜態的，而是恒定的

對身份的可見性必須是連續的和動態的，而不是靜態的。隨著新身份和開發流程的不斷引入，組織需要實施經常監控存儲庫的掃描機制。持續、自動化的賬戶發現功能對于檢測何時創建新賬戶至關重要。其中一些功能可以與云提供商集成，以識別新創建的身份。

7.3 態勢與衛生

此子類別強調通過評估和改進標識的配置和衛生來維護可靠的安全基線。ISPM 確保身份得到正確配置、定期更新，并符合最低權限原則。

IAM 和 Identity 項目面臨的挑戰

身份安全方面的一些主要挑戰可能與 Bojan Simic 的觀點有關：

“每一份主要的網絡安全報告都清楚地指出，身份驗證和身份驗證攻擊占了絕大多數違規行為。不幸的是，我們仍然看到大多數 InfoSec 團隊通過投資于更多的警報和問題發現來“吃藥”，而不是真正努力消除問題的根源。有時這需要一些手術。好消息是，防網絡釣魚身份驗證可以部署在企業內的所有用戶組中。這可以使組織大幅提高安全性和用戶體驗。這也將幫助他們實現 Zero Trust/BeyondCorp 身份保證目標。-完整帖子在這里

（https://www.linkedin.com/posts/bojansimic_every-major-cybersecurity-report-clearly-activity-7285294680299229184-eEZK?utm_source=share&utm_medium=member_desktop&rcm=ACoAABm6E8ABtiCcsuZvwW-hZP4j_UtGFiJRHg8）”

如何防止身份問題——關鍵組件

• 身份配置錯誤檢測：識別角色過于寬松、密碼較弱和訪問策略不一致等問題。
• 合規性和治理：確保身份符合內部政策和監管要求（例如 NIST、GDPR、HIPAA）。
• 生命周期管理：定期停用過時或孤立的賬戶，以最大限度地減少風險。
• 訪問評審：執行定期評審以驗證權限是否與工作角色一致。

7.3.1 為什么將可見性與態勢分開

將可見性與身份安全態勢管理 （ISPM） 分開對于有效的身份安全至關重要。這種區別使組織能夠在實施安全策略和控制 （ISPM） 之前，首先徹底識別和了解其身份環境和關系 （Visibility）。Visibility 側重于發現和意識，提供對組織內所有身份及其相互聯系的全面了解。同時，ISPM 以治理和執行為中心，通過最大限度地減少錯誤配置、實施最低權限訪問和消除過度配置來確保身份環境的安全。

通過優先考慮可見性，組織可以根據對其身份環境的深入了解采取主動和協調的補救措施。打破安全團隊之間的孤島可促進協作，從而產生提供安全且面向未來的補救措施的全面解決方案。

7.3.2 身份安全態勢管理 （ISPM）

身份安全態勢管理 （ISPM） 已成為企業的關鍵方法。ISPM 是一個主動框架，旨在增強和維護組織身份基礎設施的安全態勢，防止違規和未經授權的訪問。它涉及對整個數字生態系統中的身份、訪問權限和身份驗證流程的持續監控和分析。

與云安全態勢管理 （CSPM） 類似，但在身份環境中，ISPM 主動識別漏洞并最大限度地減少人類和非人類身份的身份攻擊面。由于擔心噪音和誤報，客戶會優先解決已知的安全漏洞，過度普遍的威脅檢測。來自可見性組件的見解應推動采取行動來糾正態勢問題并加強對身份風險的防御。示例案例研究：防止特權過高的訪問 醫療保健提供商檢測到超過 5,000 個特權過高的帳戶可以訪問敏感的患者數據。在部署身份態勢管理解決方案后，它將過多的權限減少了 70%，從而降低了內部威脅的風險。

7.3.3 組織應如何解決身份、態勢和衛生問題

身份安全態勢管理 （ISPM） 為組織提供了一種系統化的方法，以持續評估、管理和修復身份風險。這可確保在安全漏洞被利用之前主動解決這些漏洞。通過將 ISPM 集成到其身份安全策略中，組織可以自動進行訪問審查、實施最低權限策略、檢測錯誤配置并消除身份蔓延。ISPM 加強了身份驗證控制，監控非人類身份，并實施了基于風險的訪問策略，最終減少了攻擊面并改善了整體安全狀況。

有了 ISPM，組織可以有效應對以下身份衛生挑戰：

1. 檢測并修復身份錯誤配置：ISPM 解決方案可幫助安全團隊主動檢測和修復可能導致意外權限提升或橫向移動的身份錯誤配置。這包括識別配置錯誤的 IAM 角色、過于寬松的策略以及授予過多訪問權限的通配符權限。除非明確要求，否則組織應實施網絡分段策略，以防止未經授權的身份訪問敏感資產。定期 IAM 審計會在漏洞利用之前發現潛在的弱點。
2. 嚴格執行多重身份驗證 （MFA）：對于所有特權賬戶和外部賬戶以及轉向實施更強大的身份驗證流程的公司，強制進行 MFA 至關重要。網絡犯罪分子不斷利用弱憑據或被盜憑據，使 MFA 成為防止未經授權訪問的重要保護措施。組織應超越傳統的 MFA 實施，并盡可能采用無密碼身份驗證，以減少基于網絡釣魚的憑據盜竊的攻擊面。隨著攻擊者改進其策略，應優先考慮考慮基于風險的信號的自適應身份驗證機制。
3. 最小權限原則 （PoLP）：組織加強其身份安全態勢的最有效方法之一是實施最低權限原則 （PoLP）。身份蔓延和權限過高的賬戶使組織容易受到權限提升攻擊。安全團隊必須確保每個身份（人類或非人類）都只具有執行其功能所需的必要權限，僅此而已。實施 Just-in-Time （JIT） 訪問可進一步最大限度地減少長期特權，從而降低持續過度暴露的風險。應利用動態訪問控制框架，例如基于角色的訪問控制 （RBAC） 和基于屬性的訪問控制 （ABAC），根據上下文信號而不是靜態權利來授予權限。
4. 管理、監控和減少身份蔓延：未經檢查的身份蔓延會導致數千個不必要或重復的帳戶，從而增加攻擊面。為了降低這種風險，企業應主動合并重復賬戶，刪除未使用的角色，并停用非活動身份。自動化工具應持續掃描和標記過度配置的賬戶，確保隨著業務需求的發展，訪問受到嚴格控制。

ISPM 的案例研究結果：框架控制映射到以下框架

1. NIST 它可以鏈接到 NIST AC-2（3）（d） 以禁用未使用的帳戶，或鏈接到 AC-2（11）、AC-6-7 以刪除未使用的權限
2. 還有其他圍繞 SOX |SOC2 系列 |PCI-DSS 技術 |ISO 27001 認證 |順式

Okta ISPM 由其收購的 Spera 提供支持，在 解決 ISPM 合規性問題方面擁有強大的資源和能力。

保護和補救

橫向移動案例研究

71% 的勒索軟件攻擊利用憑據訪問策略，超過 80% 的網絡攻擊涉及憑據泄露。這使得橫向移動成為一種常見的攻擊方法，突出了攻擊者如何利用被盜的身份在網絡中移動而不被發現。

即使擁有可見性和強大的身份衛生，攻擊者也會不斷改進他們的技術，以繞過安全控制并破壞企業內部的身份。這凸顯了持續監控身份及其活動的重要性，因為行為監控和異常檢測可實現早期威脅識別。這些信號可幫助管理員及早發現潛在的危害，并在出現可疑模式時觸發警報。

橫向移動已成為網絡攻擊中使用最廣泛的技術之一。此方法使攻擊者能夠將局部漏洞升級為全面的組織入侵。為了解決這個問題，企業必須實施分層保護機制。本報告重點介紹現代身份保護的兩項主要技術：

1. 身份威脅檢測和響應 （ITDR）
2. 利用蜜標的欺騙性技術

8.1 身份威脅檢測和響應 （ITDR）

現實情況是，端點檢測和響應 （EDR）、特權訪問管理 （PAM） 和網絡分段等傳統安全解決方案無法阻止橫向移動。這些解決方案要么缺乏對身份驗證活動的可見性，要么只保護特權帳戶，從而使標準用戶帳戶容易受到攻擊。此外，Active Directory （AD） 本身就信任有效的憑據，因此無法區分合法用戶和使用被盜憑據的攻擊者。這一基本限制使組織面臨基于身份的威脅。

進入 ITDR。ITDR 通過持續監控身份驗證請求、檢測用戶行為異常、實施實時多因素身份驗證 （MFA） 驗證以及在攻擊者轉向其他資源之前阻止未經授權的訪問，直接解決這些盲點。ITDR 解決方案分析用戶行為異常、身份驗證協議更改和外部風險信號，以檢測身份威脅。一些解決方案利用 IPC、TTP、MIT&RE 框架和風險分析來區分正?；顒雍蛺阂饣顒印Ｍㄟ^與 IAM 基礎設施原生集成，ITDR 直接與 IAM 集成，并在授予訪問權限之前主動阻止威脅。ITDR 確保對所有身份驗證協議的全面保護，包括 PsExec 和 Remote PowerShell 等命令行訪問工具，這些工具經常被濫用于橫向移動。鑒于 240 億個泄露的憑據在暗網上流通，主動實時檢測和中斷橫向移動攻擊不再是可有可無的，而是強大的身份安全策略的必要條件。

此外，MFA 和 ITDR 協同工作以增強安全性。強大的 MFA 由態勢和衛生解決方案提供支持，使 ITDR 能夠自動驗證訪問嘗試，最大限度地減少誤報并減少 SecOps 工作負載。借助 MFA，ITDR 可以實時阻止身份威脅，確保僅允許經過驗證的訪問嘗試。

在選擇身份威脅檢測和響應 （ITDR） 解決方案時，組織必須評估其覆蓋范圍、檢測準確性和響應能力。有效的 ITDR 平臺應與所有身份和訪問管理 （IAM） 解決方案無縫集成，無論是在本地還是在云中，確?？?Active Directory （AD）、云身份提供商 （IdP）、VPN 和 SaaS 應用程序的全面保護。它必須準確識別廣泛的身份威脅，包括憑據盜竊、橫向移動和權限提升，同時提供實時緩解，而不是僅僅依賴被動警報。

實時威脅檢測利用機器學習和異常檢測來識別異常的身份驗證模式，例如不可能的旅行登錄、撞庫攻擊和混合環境中未經授權的橫向移動。高特權帳戶的行為分析通過持續監控特權用戶會話和實施基于風險的條件訪問控制來進一步增強安全性。

8.2 欺騙性技術和 ITDR

蜜標和蜜糖賬戶等欺騙性技術通過提供與身份相關的攻擊的早期檢測，在身份威脅檢測和響應 （ITDR） 中發揮著關鍵作用。企業利用欺騙來保護本地和多云環境中的身份，從而解決傳統 ITDR 方法中的關鍵差距。

傳統的檢測方法難以區分合法和惡意使用有效帳戶，從而在 Active Directory （AD） 日志、域控制器和端點檢測響應 （EDR） 系統中留下盲點。攻擊者經常利用被盜的憑據，包括 SAML/JWT 令牌和 Kerberoasting 等離線攻擊，以及繞過傳統安全措施的新興零日身份威脅。通過在憑證緩存中部署欺騙性身份并創建蜂蜜帳戶，組織可以引誘對手透露他們的存在，而無需僅僅依賴日志關聯。

美國國家安全局 （NSA） 和五眼聯盟 （Five Eyes） 情報機構建議將蜜標作為檢測 AD 泄露的有效策略，因為它們提供了未經授權訪問的有力指標。像 Acalvio 的 Identity Protection 這樣的供應商通過部署對攻擊者仍然有吸引力的蜜標來增強 ITDR，同時與安全運營無縫集成。這種方法從 AD 擴展到多云環境，其中身份仍然是主要攻擊媒介?；谠频墓粽咴絹碓蕉嗟乩?IAM 錯誤配置、基于 API 的攻擊和權限提升技術來獲得未經授權的訪問。

越來越多的企業正在部署蜜標陷阱以及他們的 ITDR 解決方案。云環境中的蜜標（包括 IAM 角色和欺騙性訪問密鑰）通過在攻擊升級之前提醒安全團隊未經授權的活動來提供實時威脅情報。例如，CrowdStrike 與 Acalvio 合作，通過將傳統檢測方法與欺騙技術相結合的縱深防御策略實現全面的 ITDR。他們的自主欺騙農場簡化了大規模部署，保護了具有數千個端點和復雜身份環境的企業。一個真實的案例研究強調了蜜標如何暴露了試圖縱用戶配置腳本的惡意內部人員，這種攻擊繞過了其他安全控制，但立即通過欺騙檢測到。

8.3 修復功能

有效的補救是身份保護的關鍵組成部分，可確保檢測到的威脅不會升級為全面的安全漏洞。

補救是安全流程中最后也是最重要的一步，包括可見性、態勢和保護。所有身份安全技術都應包含強大的修復功能。檢測到身份泄露后，自動事件響應機制應立即采取行動，例如鎖定被盜用賬戶，通過 MFA 觸發升級身份驗證，以及與 SOC 和 SIEM 平臺集成以進行威脅關聯和響應編排。對于 ITDR 供應商來說，向 SIEM 或數據湖發送警報通常被視為賭注。此外，取證分析和事件后報告通過提供詳細的審計日志，使安全團隊能夠調查攻擊模式并主動緩解未來風險，從而在加強身份安全方面發揮著關鍵作用。

例如，在實際的 ITDR 部署中，一家金融機構的安全系統在凌晨 5 點檢測到來自外部位置的未經授權的管理員登錄嘗試。ITDR 平臺立即標記了異常情況，觸發了自動帳戶鎖定，并強制執行 MFA 重新身份驗證，從而有效防止了權限提升攻擊。如前所述，有效 ITDR 響應的其他關鍵方面包括自動威脅遏制和安全態勢調整。在檢測到可疑的身份驗證嘗試后，ITDR 解決方案必須立即通過會話終止、通用注銷和權限撤銷等機制來破壞主動身份威脅。本案例重點介紹了 ITDR 的實時監控、自動化和身份分析如何使組織能夠在基于身份的攻擊升級之前主動阻止這些攻擊。

除了立即緩解之外，ITDR 還通過將威脅情報反饋到身份衛生和風險管理實踐中來增強長期安全態勢。它使組織能夠通過撤銷過多的權限、調整基于角色的訪問以及確保持續的身份監控來減少 IAM 攻擊面。

8.4 Identity Attack Surface 代表供應商

8.4.1 可見性和姿態

• Hydden
• Axiad
• Silverfort

8.4.2 保護和補救

• Silverfort
• Authmind
• SlashID
• Acalvio

注意：這不是一個完整的整體列表，其中包含提供相鄰解決方案的數百家供應商，而是選擇了一些供應商作為代表性供應商。

9.代表性供應商：姿勢和保護平臺

10.Silverfort 高級姿勢和保護平臺

隨著基于身份的攻擊激增，對實時可見性、自適應身份驗證和自動實施的需求從未如此強烈。Silverfort 建立了堅實的基礎，幫助企業跨不同堆棧實時保護其 IAM 基礎設施，但主要是在 Active Directory 中，并通過多因素身份驗證實現及時實施，以防止未經授權的訪問。

多年來，他們進一步將平臺從威脅檢測和響應擴展到多個領域，包括無代理通用 MFA和權限訪問管理 （PAM）。他們平臺的下一次迭代是利用他們的優勢，在組織的整個身份基礎設施中擴展實時可見性、基于風險的身份驗證和動態策略實施。他們已成功擴展到 ISPM 類別，以強調對靜態風險的發現和持續發現。由于 Silverfort 直接集成到 IAM 基礎設施中，因此他們可以查看每一次身份驗證，為 ISPM 創建完整的可見性基礎，更具體地說，是身份威脅暴露管理。這自然補充了他們的 ITDR 實時功能。

傳統的 IAM 解決方案通常止步于身份驗證，使安全團隊只能看到，但沒有真正的執行能力。Silverfort 通過主動阻止有風險的身份驗證嘗試并在身份層實施安全控制來改變這一點。安全團隊可以：

• 自動對高風險身份（員工、非人類、特權等）應用多重身份驗證 （MFA）。
• 在不安全的身份驗證請求到達關鍵系統之前阻止它們。
• 根據實時風險評估和行為指標限制訪問

Silverfort 的平臺支持自定義策略驅動的實施，允許安全團隊根據權限級別或風險用戶行為有選擇地應用 MFA。

Rezonate 如何將 Silverfort 的業務范圍擴展到云 IAM

Silverfort 長期以來一直在本地 AD 帳戶方面表現出色，并為云身份構建了一些良好的功能。混合環境會產生身份碎片化，而傳統的 IAM 解決方案難以解決所有這些問題。借助 Rezonate 的云原生身份功能，Silverfort 現在將其可見性、監控和實時實施模型擴展到多云環境、SaaS 應用程序和混合 IAM 生態系統中，從而消除任何盲點。這適用于人類和非人類身份 （NHI）。

Silverfort（由 Rezonate 提供支持）使安全團隊能夠實時檢測和響應云身份威脅，在它們被利用之前識別權限提升嘗試、橫向移動策略和錯誤配置。該集成使 Silverfort 能夠在每個身份驗證層（無論是在本地、AWS、Google Cloud 還是 Azure）實施基于風險的策略，從而確保身份安全保持連續性和適應性。

事實證明，這種集成可以有效地阻止現實世界的身份威脅。記錄中的一個值得注意的案例描述了企業如何使用 Silverfort 的拒絕訪問策略（由 Rezonate 啟用）來阻止試圖進行的權限提升攻擊。攻擊者試圖利用 NTLM v1 身份驗證，這是攻擊者通常以憑據中繼攻擊為目標的傳統協議。Silverfort 借助 Rezonate 的云可見性，將身份驗證請求與基于云的身份活動相關聯，從而識別異常的權限訪問行為。該平臺實時實施了拒絕策略，在攻擊者提升權限并在環境中橫向移動之前阻止了攻擊者。

Silverfort 將 ITDR 和 ISPM 融合在一起，創建了一個統一的防御層，使組織能夠識別有風險的配置，同時還可以實時檢測、緩解和防止身份威脅，防止它們變成全面的漏洞。這使 Silverfort 成為該市場的領導者之一，為主動身份威脅預防和態勢管理的新標準鋪平了道路。

11.代表性供應商

11.1 Hydden：身份識別專注于身份表面保護

Hydden 是一家新興供應商，在增強當今現有身份解決方案中所有身份的可見性和發現方面具有強大的能力。他們通過映射整個企業中的非人類身份 （NHI） 和人類身份，專注于身份攻擊面管理。Hydden 可幫助組織識別多云、本地和混合環境中的孤立帳戶、配置錯誤的身份和安全漏洞。

該系統根據預定義的安全規則和框架（例如 NIST CSF v2.0）自動進行威脅檢測和風險評分。用戶可以對身份風險進行 1 到 10 級的分類，并根據歷史威脅（例如密碼噴灑、孤立賬戶）進行自定義。

11.2 風險分類和威脅評分

報告前面確定的動態風險評分對于產生結果驅動結果的成功供應商至關重要。Hydden 在分配上下文身份風險評分、根據暴露、錯誤配置和訪問模式對身份進行分類方面表現出了令人印象深刻的能力。

這通過根據攻擊可能性和影響確定安全響應的優先級來增強威脅建模功能。如果檢測到異常，系統會標記可疑活動，例如未經授權的旅行登錄或權限過多。Hydden 的風險引擎不僅分配威脅評分，還提供置信度和上下文關系（例如，將身份鏈接到 SaaS 應用程序、AD 授權和 MFA 狀態）。

11.3 Hydden 和 CyberArk 合作伙伴關系

Hydden 最近與 CyberArk 就特權訪問管理 （PAM） 和保險庫憑證達成了合作伙伴關系。

Hydden 通過提供對整個身份攻擊面的 100% 可見性來增強 CyberArk 特權訪問管理器 （PAM）。通過創建統一的數據層，Hydden 持續跟蹤和分析身份安全狀況和威脅指標，確保每個特權身份都得到安全管理、保管和實時監控。借助 Hydden 的特權身份發現功能，CyberArk 客戶可以自動檢測和保管所有應該在 CyberArk Safes 中受到保護但尚未受到保護的帳戶。

CyberArk Privileged Access 客戶利用此分析來確保每個身份都得到安全管理，并持續監控 Hydden 的任何外部更改。此次合作的一些值得注意的事情包括：

1. 自動帳戶分類?– Hydden 對特權帳戶（例如，以標記為 Dual Admin Accounts 結尾的帳戶）進行分類，以確定是否應對其進行保管
2. 人類和非人類可見性和映射?Hydden為每個賬戶提供完整的上下文和風險評分，幫助將CyberArk用戶、機器賬戶和服務身份與其合法所有者聯系起來。這也有助于簡化金庫決策。
3. 安全衛生和風險評估?– Hydden 識別孤立、陳舊和受損的帳戶，以及沒有 MFA 或過度權利的特權身份。

這種集成的突出關鍵優勢是 Hydden 能夠跨平臺、系統和應用程序發現通常超出 CyberArk 標準發現范圍的帳戶。除了 PAM 之外，Hydden 還為 IGA、PAM 和安全平臺提供了“可見性基礎”。他們在多云和混合環境中構建了廣泛的集成。

自動化和修復

Hydden 與自動安全響應工作流程集成，允許基于觸發器的自動化（例如，根據安全違規行為自動標記和停用帳戶）。該平臺可自動執行身份狀況管理，并提醒用戶注意待處理的 MFA 設置、錯誤配置和可疑活動。

12.Axiad 領先的身份風險管理
Axiad Security 是一家成熟的憑證管理公司，已戰略性地將其能力擴展到身份驅動風險管理 （IdRM） ——它幫助定義的一個類別。Axiad Mesh 中內置的 IdRM 使安全和身份團隊能夠協作管理身份風險。這種方法圍繞三個核心支柱：

1. 識別與身份相關的風險
2. 量化這些風險以確定修復的優先級，
3. 強化身份識別功能，抵御當前和未來的威脅。

Axiad 的綜合框架為組織提供了一種主動大規模管理身份風險的方法。有關這種方法的更深入分析，請參閱其深入的 IdRM 報告。

Axiad的Axiad Mesh解決方案已成為關鍵角色，它填補了身份安全態勢管理（ISPM）和身份威脅檢測與響應（ITDR）之間的差距。Axiad 競爭差異化的核心是其應用的風險量化和評分引擎，該引擎提供了對身份相關威脅的全面評估。

通過集成高級風險建模，該平臺提供了對以下方面的見解：

• 身份泄露的爆炸范圍 – 了解身份漏洞如何在系統之間傳播。
• 業務影響評估 – 根據受影響的角色、權限和系統評估身份風險的重要性。

這些是身份領導者和團隊在評估其身份系統的運行狀況時的關鍵目標。此外，Axiad 還有助于識別 IDP、IGA 和 PAM 解決方案中身份訪問方面的分析差距。這些功能使身份團隊能夠量化身份風險的實際安全影響，使企業能夠從靜態安全態勢轉變為風險優先的身份安全方法。

Axiad 以強大的可視化和風險分析能力而著稱。其氣泡圖和控制面板視圖為安全團隊提供了按地理位置、業務部門和應用程序細分的身份風險的清晰、高級概覽。這種實時、直觀的界面使 CISO、安全分析師和身份團隊能夠更輕松地理解、情境化和應對身份風險。鑒于不斷增長的監管和合規性要求（包括 NIST 800-63、CIS 控制、GDPR 和 SOC 2），Axiad 的風險評分模型提供了寶貴的優勢，幫助企業滿足治理要求，同時增強整體安全態勢。

Axiad 的 IDRM 解決方案在 ISPM 的交叉點上具有獨特的優勢，ISPM 專注于改善身份衛生和安全態勢，確保組織實施強大的身份驗證機制，消除錯誤配置差距，并為企業提供主動的安全解決方案。

13.代表性保護和態勢供應商

14.AuthMind：通過可觀察性實現身份安全

AuthMind 通過以可觀察性為中心的方法而不是靜態規則執行來應對 ISPM 和 ITDR 的挑戰。其身份訪問圖將網絡流量與身份事件相關聯，為組織提供對訪問的實時上下文理解 — 不僅包括誰在訪問什么，還包括他們如何訪問。

這種方法使 AuthMind 能夠發現身份盲點（影子資產、缺少 MFA、未經授權的本地帳戶）、表面衛生問題和身份基礎設施漏洞（身份泄露、暴力攻擊等），并檢測影子和可疑活動、安全繞過、特權訪問控制違規、MFA 規避等。身份基礎設施的完整上下文（發生的情況、原因以及如何管理）對于有效識別和快速修復與身份相關的風險和威脅至關重要。

憑借在 Palo Alto Networks 和 McAfee 等主要網絡安全公司積累的豐富經驗，AuthMind 團隊強調集成網絡流流量、云流流量和身份事件，將它們關聯起來，以提供所有身份和訪問路徑的完全上下文化視圖。該平臺建立在底層基礎設施之上，該基礎設施收集大量數據并通過機器學習來豐富這些數據。

身份可觀測性是核心支柱

身份可觀察性是通過監控跨網絡、云和 SaaS 應用程序的訪問流，圍繞跟蹤誰在訪問什么、何時以及如何構建的。AuthMind 不再僅僅依賴日志和預設策略，而是圍繞分析訪問路徑構建了他們的架構，顯示用戶是否繞過了 MFA、避免了 VPN 控制或以不尋常的方式訪問了資產。該平臺具有身份訪問流圖，可持續分析人類、機器、托管和非托管身份的訪問路徑。通過關聯網絡、身份和云事件，AuthMind 提供了對傳統 IAM 和安全工具經常錯過的身份行為的實時洞察。其專利技術（美國專利 11,895,144 B2）進一步驗證了其強大的訪問圖功能，該技術涵蓋了連續身份訪問流映射。

解決“盲點”

大多數組織都有影子身份、孤立賬戶和非托管憑證，這會在其安全狀況中造成重大盲點。AuthMind 的 ISPM 會自動識別并修復這些隱藏的風險，檢測權限提升嘗試、配置錯誤的 MFA 策略和未經授權的服務賬戶使用。

AuthMind 不僅僅是記錄登錄事件，它們還說明了身份采取的實際作順序，幫助團隊了解威脅是如何出現的。這也使機器學習模型能夠分析隨時間變化的訪問趨勢，檢測人類與非人類身份行為的異常情況。AuthMind 提供了身份狀況、衛生和威脅的整體視圖。通過將可觀測性、安全態勢管理和威脅檢測集成到單個平臺中，消除了對孤立身份安全工具的需求。

AuthMind 的可觀察性優先方法令人信服。真正的考驗將是企業是否認識到可觀測性是身份安全的重要組成部分。最終，該平臺旨在消除身份盲點，并在所有身份中提供更深入的情境化可見性。

該平臺與主要身份提供商（Okta、Active Directory、Ping、OneLogin）、SIEM 解決方案（Splunk、IBM QRadar、Exabeam）、網絡安全工具（Zscaler、SASE、VPN）和端點安全平臺（CrowdStrike、SentinelOne）集成。一個值得注意的成功案例涉及一家擁有數千名員工的大型北美環境服務提供商，該提供商面臨著關鍵的身份安全挑戰，包括影子訪問、MFA 不一致、非托管 SaaS 應用程序以及針對 Active Directory 管理員的持續枚舉攻擊。通過部署 AuthMind 平臺，該公司實現了企業范圍的可觀察性，識別了數千個 MFA 錯誤配置，檢測并阻止了實時身份威脅，并保護了 300 多個高風險用戶身份。AuthMind 在 2022 年被公認為 Gartner Cool Vendor，并繼續擴大其作為關鍵身份安全解決方案提供商的影響力。

14.代表性保護供應商

14.1 Acalvio Security：使用 Honey Token 進行主動檢測

Acalvio 的創新在于其能夠動態、大規模地創建和部署蜂蜜代幣。這些虛假憑證、服務賬戶和訪問密鑰旨在看起來與組織身份生態系統中的真實資產沒有區別。它們的目的很簡單：當它們被訪問或交互時，它們會立即發出惡意信號。

14.1.1 這個怎么運作：

1. 自動蜂蜜令牌部署：使用 AI 驅動的自動化，Acalvio 生成針對組織獨特環境量身定制的蜂蜜令牌。這些令牌模擬真實賬戶，遵守特定于目標系統的命名約定和屬性，無論是 Active Directory （AD） 還是 AWS IAM 或 Azure AD 等云身份平臺。
2. 跨身份層的放置：
   1. AD 和本地：創建虛假服務帳戶、影子管理員和特權用戶配置文件來誘捕利用 AD 漏洞的攻擊者。
   2. 終端節點：令牌嵌入在 Windows RDP、瀏覽器會話和身份驗證保管庫等憑據緩存中。
   3. Cloud Identity 系統：在 AWS、Azure 和 GCP 環境中部署欺騙性的 IAM 用戶、角色和 API 密鑰，以檢測未經授權的云活動。
3. 高保真警報：與這些令牌的任何交互都會觸發即時、可作的警報，從而消除誤報的噪音。安全團隊可以自信地做出響應，因為他們知道警報是惡意活動的信號。

14.1.2 個案研究

例如，Acalvio 幫助一家大型企業挫敗了內部威脅。一名流氓 IAM 團隊成員利用合法訪問權限，使用 Provisioning Server 禁用 Active Directory 中的用戶賬戶。盡管采用了 PAM、EDR 和 AD 日志分析等傳統安全工具，但該組織未能檢測到惡意活動。

然而，Acalvio 的欺騙平臺在 AD 內部植入了蜂蜜代幣。當流氓內部人員試圖禁用其中一個欺騙性帳戶時，會觸發警報，使組織能夠在發生重大損害之前攔截攻擊。這種主動檢測不僅防止了潛在的災難，而且凸顯了傳統安全方法中的重大差距。

14.1.3 集成

Acalvio 通過與 CrowdStrike 和 Microsoft 的戰略合作伙伴關系進一步取得成功：

• CrowdStrike Falcon 身份保護：Honey 代幣警報無縫集成到 CrowdStrike 的控制臺中，無需額外的代理或軟件部署。這種合作關系可確?？焖俨捎煤秃喕瘷z測。
• Microsoft Defender for Identity （MDI）：同樣，Acalvio 與 MDI 集成，自動創建蜂蜜令牌并在 Microsoft 的本機安全工具中啟用檢測。

這些集成使欺騙技術易于訪問，從而減少了企業的運營開銷，并使安全團隊能夠在其現有的管理控制臺中接收高保真警報。認識到向云原生環境的轉變，Acalvio 還擴展了其蜂蜜令牌方法以保護多云身份系統。

14.1.4 為什么欺騙對身份安全很重要

欺騙技術具有明顯的優勢：它不依賴于攻擊者策略或技術的先驗知識。相反，它以攻擊者的目標為目標 — 使用旨在暴露惡意意圖的陷阱。在攻擊者利用 DeepSeek 等生成式 AI 開發新技術的時代，欺騙提供了一個先發制人的安全層，是對傳統檢測方法的補充。

正如 NSA 和 Gartner 研究所強調的那樣，欺騙不再是可有可無的，它是現代安全堆棧的關鍵組成部分，也是身份威脅檢測和響應 （ITDR） 的重要支柱。Acalvio 的蜂蜜令牌方法提供了一種主動、可擴展且高保真的方法來保護身份攻擊面。傳統的防御措施（例如基于日志的檢測和網絡流量檢查）無法抵御復雜的身份攻擊。Kerberoasting 或 Silver Ticket 漏洞利用等離線攻擊在 SIEM 工具的可見性之外運行，而內部威脅（披著合法權限的外衣）繞過了基于異常的檢測。

16.SlashID
SlashID 是該市場上最早的供應商之一，它提供了一些最強大的功能來保護身份攻擊面，特別是通過對非人類身份 （NHI） 的態勢管理和實時威脅檢測。該平臺提供對人類和機器身份的可見性，尤其適用于云環境。

SlashID 旨在識別安全態勢問題和出現的活躍威脅，持續流式傳輸與身份相關的日志和事件數據，以檢測不斷展開的威脅。通過利用 AI 驅動的異常檢測，該平臺可以識別可疑活動，例如未經授權的權限提升、跨云環境的橫向移動以及 NHI 濫用。

通過集中式控制面板，SlashID 提供跨環境可見性，允許安全團隊跨多個云提供商和身份提供商 （IdP） 管理身份并監控安全事件。其可定制的策略框架和修復 API 圍繞安全檢測和自動響應而設計，從而縮短了檢測和修復的平均時間。此外，SlashID 的架構使用源自硬件安全模塊 （HSM） 支持的主服務器的唯一密鑰加密用戶信息，從而防止敏感數據的大規模泄露，從而確保強大的數據保護。

SlashID 的可自定義檢測框架映射到 MITRE ATT&CK 框架，使組織能夠根據其風險承受能力和合規性要求微調安全規則。該平臺與 SIEM 和 SOAR 解決方案無縫集成，確保安全團隊收到高保真警報，而不會產生過多的噪音。通過主動實時監控和檢測基于身份的威脅，SlashID 幫助企業在漏洞升級之前緩解漏洞，使其成為現代 ITDR 策略的重要組成部分。

主要功能：

1. 強調實時：SlashID 提供實時事件流、態勢管理和自動修復，使組織能夠檢測和緩解基于身份的威脅。該平臺持續實時流式傳輸身份事件日志，在異常發生時進行檢測，并為跨云提供商、IdP 和本地基礎設施監控身份提供跨環境可見性。SlashID 的行為異常檢測功能持續監控身份使用模式，以檢測可能表明憑據泄露或權限提升嘗試的偏差。雖然處于早期階段，但自動化威脅響應有一些很好的功能可以實施實時修復工作流程，例如會話終止、強制 MFA 重新身份驗證或動態訪問限制。
2. 身份態勢管理和合規對齊：SlashID有效地識別了可能被攻擊者利用的錯誤配置、過多權限和休眠賬戶，這些攻擊者將安全風險映射到合規框架。
3. 保護非人類身份 （NHI）：SlashID 將保護范圍從人類用戶擴展到 API 密鑰、服務賬戶和機器身份，從而降低與自動化流程和 CI/CD 管道相關的風險。它們可以檢測未經授權的 API 令牌濫用，防止攻擊者利用泄露的憑據在云環境中橫向移動。
4. 自適應訪問控制和零信任集成：SlashID 根據風險評分實施自適應訪問策略，在檢測到異常時強制重新進行身份驗證或撤銷訪問權限。其風險評分功能持續評估身份狀況、行為偏差和外部威脅情報，并幫助區分正?；顒雍涂梢苫顒?。權限過多、異常登錄模式、權限提升和憑據泄露等指標會動態調整風險評分，觸發自適應安全措施，最終確保立即檢測到威脅。

17.附錄：（I）
相鄰的競爭格局

這是一個市場地圖生態系統，它探索了更多在整個生態系統中提供相似和相鄰功能的供應商。

18.附錄：（II）
榮譽提名：

Okta 的身份安全態勢管理 （ISPM）：Okta 于 2023 年 12 月收購了 Spera Security，增強了其 ISPM 能力，提供了一種主動的方法來保護身份攻擊面。ISPM 被定位為 IGA 和 PAM 等 IAM 組件之上的一層，專注于在泄露發生之前降低與身份相關的風險。Okta 的 ISPM 的一個關鍵區別在于其對人類和 NHI 的統一方法，提供了對 API 密鑰安全、服務賬戶治理和非人類身份風險的可見性。通過整合 Spera 的見解，Okta 的 ISPM 現在從身份提供商擴展到 SaaS 應用程序和云基礎設施，例如 AWS、Salesforce 和 GitHub，幫助組織有效地檢測和修復安全漏洞。Okta 的 ISPM 將自己定位為身份安全的重要層，在訪問管理、態勢洞察和基于風險的補救方面提供多層防御功能。

JumpCloud 獲取了堆棧身份：JumpCloud 對 Stack Identity 的收購標志著其 ITDR 和 ISPM 能力的顯著擴展。Stack Identity 的平臺最初集成了 ITDR、ISPM、CIEM 和 SaaS 權利，持續監控因身份、憑證和未經授權的權限泄露而引起的數據風險和漏洞。一個關鍵功能是其動態發現和清單功能，該功能可自動檢測和映射云數據存儲，實時識別身份、訪問和應用程序連接。通過集成 Stack Identity 的高級數據分析技術，JumpCloud 增強了其檢測不受監控和未經授權的訪問路徑的能力，這是傳統 IAM 解決方案中的一個關鍵差距。此次收購還加快了 JumpCloud 處理和處理數十億個身份信號的能力，確保組織能夠在與身份相關的威脅升級之前主動緩解這些威脅。

Delinea 收購了 Authomize，因為它在多平臺可見性、授權跟蹤和 ITDR 方面表現出色，利用基于圖形的分析來檢測云和 SaaS 環境中的身份威脅。此次收購主要得益于 Authomize 的廣泛覆蓋范圍，尤其是在 Active Directory 方面，這是支持與多個身份提供商集成以識別錯誤配置并自動修復的核心優勢。Delinea 專注于特權訪問安全、保險庫和行為監控，以確保對特權賬戶的適當管理，而 Authomize 則通過改進保險庫流程和實施安全態勢來增強 Delinea 的能力。與 Delinea 的 PAM 功能保持一致，增強了安全憑證存儲和自動化權限控制。最終，Authomize 為 Delinea 的可見性和檢測改進做出了重大貢獻。

19.附錄：（三）
ISPM 與 IGA：它與 IGA 有何不同？

許多行業從業者都熟悉 IGA。IGA 工作的一些關鍵組成部分。

結論：身份攻擊面管理的未來
隨著數字環境的持續擴展，身份已經成為網絡安全的核心邊界。非人類身份的廣泛使用、多云環境的日益復雜化以及基于身份的攻擊的快速演變，都要求企業采用一種更全面、更主動的安全策略。

本報告指出，可見性、ISPM（身份安全與配置管理）和ITDR（身份威脅檢測與響應）共同構成了彈性身份安全策略的基礎。其中，可見性是組織對其身份攻擊面進行深入了解的基礎；ISPM通過實施適當的安全措施，最大限度地降低潛在風險；而ITDR則提供實時檢測與響應能力，以應對不斷變化的威脅。三者協同構建了一個強大的防御體系，能夠有效抵御現代身份驅動的威脅。

展望未來，企業必須借助自動化技術、AI驅動的分析以及持續的身份監控，以保持領先地位并抵御攻擊者。身份安全不再僅僅是IT部門的職責，更是一項影響法規合規性、運營韌性與信任關系的業務關鍵任務。通過優先管理身份攻擊面，企業能夠顯著降低身份泄露、特權濫用和供應鏈攻擊的風險，確保其最重要的資產——身份在日益互聯的環境中保持安全。

原文鏈接：

https://softwareanalyst.substack.com/p/securing-the-identity-attack-surface

聲明：本文來自安全喵喵站，稿件和圖片版權均歸原作者所有。所涉觀點不代表東方安全立場，轉載目的在于傳遞更多信息。如有侵權，請聯系rhliu@skdlabs.com，我們將及時按原作者或權利人的意愿予以更正。