随着平台、系统和应用程序不断弥补漏洞，新生的外来者往往更容易利用其他弱点，如凭证、错误配置或暴露的应用程序接口。各种网络钓鱼技术、按键记录器和其他自动化工具都被使用，事实证明它们比直接对抗应用程序和系统级安全更容易实施。漏洞研究需要大量的时间、技能和广泛的测试来确定可利用的弱点，而攻击者却越来越多地选择将重点放在凭据填充上，以快速访问这些服务。除了基于凭证的方法，攻击者还磨练了自己的技能，以识别特权账户和推广其他被入侵账户的方法。这些攻击可能会持续数月甚至数年。当然，最具破坏性和最受追捧的身份是信息所有者和其他拥有特殊访问权限的类似账户。因此，组织面临的越来越大的风险不仅仅是基于凭证的账户，还有针对最有权限用户的攻击。它们过去是，现在仍然是最复杂的威胁防范对象，因为外来者掌握着个人或程序识别自身身份所依赖的传统信息。

通往 ITDR 的道路

年份	活动
2000s	基于凭证的攻击（网络钓鱼、暴力破解）兴起。
2010s	通过被盗凭证造成的重大身份泄露事件在发生频率和受害组织的价值损失方面都呈增长趋势。增长 IAM、MFA 和 PAM 解决方案。
2021	MITRE ATT&CK 框架扩展到基于身份的威胁。
2022	Gartner 与 ITDR 合作，强调需要以身份为中心进行威胁检测。
2023+	ITDR 逐渐成为企业的核心网络安全战略。

国际减少灾害战略的做法是如何正规化的？

2022 年，Gartner 将 ITDR 作为网络安全实践引入。在介绍中，Gartner 将 ITDR 描述为一种方法，可帮助企业更有效地应对针对身份系统、凭证和特权访问的日益严重的威胁。强调各组织需要提高更有效地检测、调查和缓解基于身份的攻击的能力。与传统的安全工具不同，ITDR 集成了身份和访问管理 (IAM)、用户和实体行为分析 (UEBA) 以及扩展检测和响应 (XDR)，可主动防御凭证滥用、权限升级和横向移动。由于当前的安全方法无法阻挡网络威胁的浪潮，ITDR 可帮助企业提高可见性、检测异常情况并实施更强的身份验证和访问控制，所有这些都能降低身份驱动的违规风险。

ITDR 为何与众不同？

Gartner 在 2022 年对 ITDR 的认可是一个重要的里程碑，它将 IT 技术凝聚成一个协同的新安全级别，将通常是独立的实践汇集在一起，为一个扩展的方案提供动力。IAM 与安全信息和事件管理 (SIEM)可共同识别相关事件并更准确地分配风险，以及执行应用程序、服务或其他数字资源级响应，以确保受保护信息的安全。因此，ITDR 作为防止基于身份的攻击的一个重要网络安全类别，自此获得了强劲的发展势头。一些关键的 ITDR 驱动因素包括

基于身份的攻击兴起：凭证窃取、横向移动和权限升级成为主要攻击方法。目前的安全保护不起作用。ITDR 包含 XDR 类型的信息，可识别表明用户和资源风险升高的活动。
IAM 和 PAM 的差距：身份和访问管理的总体目标是确保人员和服务能够在正确的时间正确访问受保护的资源。如今的 IAM 工具可以控制访问，但缺乏实时威胁检测，特权访问管理（PAM）只关注特权账户，而不关注一般身份威胁。
采用零信任：组织转向身份优先安全，要求持续监控和应对身份威胁。

ITDR 的关键组成部分是什么？

虽然 TDR 擅长实时监控和自动响应，但它无法将攻击与特定身份长期挂钩，这确实限制了它的有效性。需要更多组件来扩展 TDR 识别可疑行为的能力。

扩展检测和响应
扩展检测和响应（XDR）是一种先进的网络安全解决方案，它集成了多种安全工具和数据源，为企业的整个攻击面提供统一的威胁检测、调查和响应方法。

与传统的 SIEM 或 EDR 解决方案不同，XDR 可跨多个安全层收集和关联威胁数据，包括跨层检测和关联。与传统的 SIEM 或 EDR 解决方案不同，XDR 可收集和关联多个安全层的威胁数据，包括端点（EDR）、网络（NDR）、电子邮件、云工作负载以及身份和访问管理（IAM）。这提高了对跨越多个入口点的复杂攻击的可见性。

自动威胁调查和响应--XDR可自动确定警报的优先级，并将相关安全事件联系起来，以减少警报疲劳。它利用人工智能和机器学习来识别攻击模式，更快地缓解威胁。

主动猎取威胁--安全分析师可利用历史数据和行为分析搜索隐藏的威胁。MITRE ATT&CK 框架经常被集成到 XDR 中，以绘制对手的战术和技术。

与安全堆栈集成-XDR可与 SIEM、SOAR、ITDR 和 EDR 解决方案配合使用，以简化安全操作 (SOC)。它还提供实时警报和跨不同安全工具的自动补救措施。

XDR 与其他安全解决方案的关系
下表列出了目前 IT 安全团队用于加强威胁检测和自动响应的技术。它们本身并不像 XDR 那样完整或集成。

安全解决方案	重点领域	主要区别
EDR（端点检测和响应）	终端（如笔记本电脑、服务器）	检测单个设备上的威胁，但缺乏网络/云可视性
NDR（网络检测和响应）	网络流量	检测网络环境中的威胁，但不包括端点或云
SIEM（安全信息和事件管理）	日志管理& 分析	收集安全日志，但缺乏内置威胁响应功能
SOAR（安全协调、自动化和响应）	事件响应自动化	自动执行安全工作流程，但不具备本机检测功能
XDR（扩展检测和响应）	跨域安全可见性	统一端点、网络、云和基于身份的检测，实现更好的关联和更快的响应

国际减少灾害战略有哪些应对机制？

当出现可疑行为时，如异常登录、权限快速变化或从不受信任的位置进行访问，XDR 就会触发自动操作，如锁定受损账户、执行 MFA 或立即终止未经授权的会话。ITDR 可将身份信息与 XDR 驱动程序关联起来，利用 XDR 衍生的信息，通过限制访问和执行动态身份验证控制，自动采取必要的应对措施，防止攻击者利用窃取的凭证。对权限活动进行持续监控，并在未经授权的升级导致漏洞之前予以阻止。XDR 的协调功能可确保 ITDR 与 SIEM、SOAR 和 IAM 系统无缝集成，从而简化自动修复工作流程。这种由 ITDR 驱动的自动响应可通过自动主动防御强化安全团队，在身份驱动的攻击升级为全面入侵之前阻止它们。

身份安全态势管理
ITDR 响应引擎的一个核心组件是在身份层面持续管理（评估和响应）组织安全状况身份安全态势管理（ISPM）的能力。随着企业扩大其数字生态系统，大量的人类和机器身份信息造成了不断扩大的攻击面。ISPM 提供对身份风险、错误配置和策略违规的实时可见性，从而能够主动防御基于身份的威胁。通过利用自动化、风险分析和策略执行，ISPM 可确保身份符合安全最佳实践，减少基于凭证的攻击、权限升级和未经授权访问的风险。

ISPM 的核心是能够动态分析各种环境下的身份态势，包括内部部署、云和混合基础设施。这包括监控访问权限、执行最小特权原则，以及检测表明存在漏洞的异常行为。ISPM 与身份威胁检测和响应相结合，增强了组织在身份漏洞被利用之前先发制人地处理这些漏洞的能力。网络威胁往往基于被泄露的凭证，因此基于身份的 ISPM 可作为重要的防御层，使安全态势与不断变化的风险环境保持一致。具体做法是确定组织愿意承受的风险水平，然后不断评估环境，以便在达到该水平时作出反应。ISPM 是 ITDR 的关键组成部分，因为它能使组织保持抵御复杂网络对手的能力。

利用身份增强威胁应对能力
身份和访问管理解决方案使企业能够将漏洞或威胁指标事件与身份联系起来，并在最有效的层面--会话或应用程序--有针对性地采取应对措施。IAM 是 ITDR 的 "I"。要有效实现自动回复，这两种技术必须无缝协作。当他们这样做时，集成功能会增强可见性和威胁检测，并快速响应基于身份的攻击。

OpenText™ IAM 解决方案可生成身份验证日志、访问请求和权限更改。OpenText 的高级威胁检测& 内部威胁管理解决方案将它们与来自端点、网络和云环境的数据关联起来。此外，OpenText TDR 还提供额外的用户和实体行为分析 (UEBA)，超出了基于身份的风险服务通常提供的功能。它们通过从访问和应用程序使用中得出的违规指标来检测风险。传统的基于身份和访问的风险度量仅限于规定的标准，例如是否知道浏览器实例或物理设备，以及登录尝试是否失败。这些自适应控制还对时间范围和地理位置设置条件或限制，并识别不可能的旅行场景。虽然传统的自适应访问控制也可以利用这些规定条件的历史记录，但 XDR 指标可以复杂得多。

XDR 技术监控的信息范围比 IAM 基础设施中的信息要广泛得多。从这些数据中，XDR 自动化可将观察到的数据关联到行为模式中，这种行为模式比基于规则的控制更具辨别力。它们能从异常或攻击模式中分辨出哪些会话显示了风险因素。当 XDR 监控功能与构成 ITDR 安全级别的身份信息相融合时，就能将活动关联起来，并计算出模式--跨度长的模式。通过身份识别，从网络、设备和会话信息中收集到的活动数据与身份（人或流程）与数字服务在更长时期内进行的更高级别的交互相关联。这种基于身份的持续性活动数据使风险引擎能够计算用于渗透典型安全实践的漏洞相关活动的风险。随着时间的推移，这些模式会变得越来越强大，从而使 ITDR 能够更有效地识别用户异常或潜在的违规行为，因为每个活跃用户的模型都在增长。除了加强威胁模型外，ITDR 还能通过其安全协调、自动化和响应（SOAR）平台做出响应，远远超过 IAM 环境中的响应能力。此外，IT 部门还可利用这一扩展的安全平台启动预定义的工作流程，如阻止恶意 IP、向安全分析师发出警报或隔离受影响的设备。

ITDR 在贵组织应发挥什么作用？

由于每个环境都是独一无二的，因此通往 ITDR 安全级别的道路也是独一无二的。这意味着，特定环境可能需要也可能不需要 ITDR，ITDR 的复杂程度也各不相同。您当前所处环境的构成将影响您的实施方案。

有助于确定 ITDR 安全形式投资金额的一些动态因素包括以下几点：

风险--全方位的风险应成为主导因素。漏洞的全部成本是多少？未通过合规性审核或未达到网络保险要求会带来哪些商业后果？
成本和专业知识在当今环境下的现有 ITDR 组件中，一些最容易被低估的 ITDR 障碍是成本和领域专业知识。拥有强大的 IAM、PAM 和 SIEM 解决方案的组织会发现升级到 ITDR 安全层更容易。不过，如果身份安全不完整或薄弱，IAM 可能是更迫切的需求。
另一个决定性因素是组织将 ITDR 与其现有安全堆栈整合在一起的能力。与 IAM、SIEM、SOAR 和 EDR/XDR 解决方案的无缝集成可确保 ITDR 能够提供实时监控和事件响应，而不会形成操作孤岛。
可扩展性--随着企业越来越多地采用混合和多云环境，ITDR 必须涵盖云身份、特权访问和联合身份验证。对于管理大型远程员工和大量第三方访问的企业来说，它尤其具有价值，可确保在分散的环境中进行安全的身份验证。
零信任优先和预算--将 ITDR 置于现代网络安全战略的最前沿。ITDR 可实现持续身份验证、行为分析和基于风险的响应，这些都是零信任模式的核心原则。随着企业逐渐放弃传统的基于边界的安全，ITDR 作为新的边界，在保护身份方面发挥着至关重要的作用。

ITDR 是新的访问安全层吗？

ITDR 已从传统的身份安全发展成为一门专门的安全学科，以应对现代身份驱动的网络威胁。随着网络犯罪分子越来越多地瞄准凭证、特权账户和身份系统，ITDR 可能会成为企业安全战略的标准安全层。