隨著平台、系統和應用程式不斷封閉其漏洞，新生的外來者通常會發現更容易利用其他弱點，例如憑證、錯誤配置或外露的 API。各種網路釣魚技術、鑰匙記錄器和其他自動化工具都會被使用，而且已被證明比直接對應應用程式和系統層級安全更容易執行。漏洞研究需要相當多的時間、技巧和廣泛的測試，才能找出可利用的弱點，但越來越多的攻擊者選擇更專注於憑證填充，以快速存取這些服務。除了以憑證為基礎的方法之外，攻擊者也磨練出識別特權帳戶的技巧，以及推廣其他受攻擊帳戶的方法。這些攻擊可能是持續數月甚至數年的威脅。當然，最具破壞性、最受追捧的身分是資訊擁有者和其他擁有特殊存取權限的類似帳戶。因此，對組織而言，日益增加的風險不僅是以憑證為基礎的帳戶，而是針對最高權限使用者的攻擊。它們過去是，現在仍然是最複雜的威脅防護，因為外來者擁有傳統上個人或程序賴以識別自己的資訊。

通往 ITDR 之路

年份	活動
2000s	以憑證為基礎的攻擊（網路釣魚、暴力攻擊）崛起。
2010s	透過竊取憑證所造成的重大身分外洩事件，無論在頻率上或受害組織的價值損失上，都持續呈現成長趨勢。IAM、MFA 和 PAM 解決方案的成長。
2021	MITRE ATT&CK 框架擴展至以身分為基礎的威脅。
2022	Gartner 與 ITDR 聯手，強調需要以身分為中心的威脅偵測。
2023+	ITDR 漸漸成為企業的核心網路安全策略。

ITDR 慣例是如何正式化的？

2022 年，Gartner 引進 ITDR 作為網路安全實務。在該介紹中，Gartner 將 ITDR 描述為一種方式，可讓組織以更有效的方法來因應針對身分系統、憑證和特權存取的日益增加的威脅。強調組織需要提升能力，以便更有效地偵測、調查和減輕基於身份的攻擊。與傳統的安全工具不同，ITDR 整合了身分與存取管理 (IAM)、使用者與實體行為分析 (UEBA) 以及延伸偵測與回應 (XDR)，可主動防禦憑證濫用、權限升級與橫向移動。由於目前的安全方法無法阻擋網路威脅的趨勢，ITDR 可協助組織提升能見度、偵測異常現象，以及強化驗證及存取控制，所有這些都能降低身份驅動的入侵風險。

是什麼讓 ITDR 與眾不同？

Gartner 在 2022 年對 ITDR 的認可，標誌著一個有意義的里程碑，將 IT 技術凝聚成一個協同的新安全層級，將通常獨立的實務結合起來，為擴大的情境提供動力。IAM 與安全資訊與事件管理 (SIEM)可共同識別相關事件並更準確地分配風險，以及執行應用程式、服務或其他數位資源層級的回應，以保障受保護資訊的安全。因此，ITDR 自此成為預防身分攻擊的重要網路安全類別。一些主要的 ITDR 驅動因素包括

以身分為基礎的攻擊崛起：憑證竊取、橫向移動和權限升級成為主要的攻擊方法。目前的安全防護並不有效。ITDR 包含 XDR 類型的資訊，可識別顯示使用者和資源風險升高的活動。
IAM 和 PAM 的差距：身份和存取管理的整體目的是確保人員和服務能夠在正確的時間正確存取受保護的資源。現今的 IAM 工具可控制存取，但缺乏即時的威脅偵測，而特權存取管理(PAM) 則只著重於特權帳戶，而非一般身分威脅。
採用零信任：組織邁向身份第一的安全性，要求持續監控和回應身份威脅。

ITDR 的主要組成部分是什麼？

雖然 TDR 在即時監控和自動回應方面表現優異，但它無法隨時間的推移將攻擊附加到特定身分上，這限制了它的效能。需要更多元件來擴充 TDR 識別可疑行為的能力。

延伸偵測與回應
Extended detection and response (XDR) 是一種先進的網路安全解決方案，可整合多種安全工具和資料來源，在組織的整個攻擊面提供統一的威脅偵測、調查和回應方法。

與傳統 SIEM 或 EDR 解決方案不同的是，XDR 收集並關聯多個安全層的威脅資料，包括跨層偵測與關聯。與傳統 SIEM 或 EDR 解決方案不同，XDR 會蒐集並關聯多個安全層的威脅資料，包括端點 (EDR)、網路 (NDR)、電子郵件、雲端工作負載，以及身分與存取管理 (IAM)。這可提高跨越多個入口點的複雜攻擊的可見性。

自動化威脅調查與回應-XDR會自動排定警報的優先順序，並連結相關的安全事件，以減少警報疲勞。它使用 AI 和機器學習來識別攻擊模式，並更快地減緩威脅。

主動偵測威脅 - 安全分析師可使用歷史資料和行為分析搜尋隱藏的威脅。MITRE ATT&CK 架構經常整合至 XDR，以繪製對手的戰術與技術。

與安全堆疊整合-XDR可與 SIEM、SOAR、ITDR 及 EDR 解決方案搭配使用，以簡化安全作業 (SOC)。它還提供跨不同安全工具的即時警示和自動修復動作。

與其他安全解決方案相關的 XDR
下表列出目前 IT 安全團隊用來加強威脅偵測和自動回應的技術。就其本身而言，它們不如 XDR 完整或整合。

安全解決方案	重點領域	關鍵差異
EDR (端點偵測與回應)	端點 (例如筆記型電腦、伺服器)	偵測個別裝置上的威脅，但缺乏網路/雲端能見度
NDR (網路偵測與回應)	網路流量	偵測網路環境中的威脅，但不涵蓋端點或雲端
SIEM (安全資訊與事件管理)	日誌管理& 分析	收集安全記錄，但缺乏內建的威脅回應能力
SOAR (安全協調、自動化與回應)	事件回應自動化	自動化安全工作流程，但不具備本機偵測功能
XDR（延伸偵測與回應）	跨域安全可視性	統一端點、網路、雲端和身分偵測，以提供更好的關聯性和更快速的回應

ITDR 有哪些回應機制？

當出現可疑行為時，例如不尋常的登入、快速的權限變更，或從不受信任的位置存取，XDR 就會觸發自動化的動作，例如鎖定洩露的帳戶、強制執行 MFA，或立即終止未經授權的階段。ITDR 可將身分資訊與 XDR 驅動程式相互關聯，利用 XDR 衍生的資訊，並透過限制存取權限和強制執行動態驗證控制，自動採取所需的回應措施，以防止攻擊者利用竊取的憑證。持續監控特權活動，並在未經授權的升級導致外洩前加以阻止。XDR 的協調功能可確保 ITDR 與 SIEM、SOAR 及 IAM 系統無縫整合，簡化自動修復工作流程。此 ITDR 驅動的自動回應可強化安全團隊的自動主動防禦能力，在身份驅動的攻擊升級為全面入侵之前加以阻止。

身分安全勢態管理
ITDR 回應引擎的核心元件是在身分層級持續管理 (評估與回應) 機構安全環境身分安全勢態管理 (ISPM) 的能力。隨著企業擴展其數位生態系統，大量的人類與機器身分造成不斷擴大的攻擊面。ISPM 提供身分風險、錯誤配置和政策違規的即時可見性，可主動防禦以身分為基礎的威脅。透過利用自動化、風險分析和政策執行，ISPM 可確保身分符合最佳安全實務，降低遭受憑證式攻擊、權限升級和未授權存取的風險。

ISPM 的核心是能夠動態分析各種環境中的身分勢態，包括內部部署、雲端和混合基礎架構。這包括監控存取權限、執行最低特權原則，以及偵測顯示危害的異常行為。ISPM 與身分威脅偵測和回應整合，可增強組織在身分漏洞被利用前，先發制人地處理這些漏洞的能力。網路威脅通常是基於被洩露的憑證，因此以身分為基礎的 ISPM 可作為重要的防禦層，使安全勢態與不斷演變的風險環境保持一致。這是透過定義組織願意容忍的風險等級，然後持續評估環境，以在達到該等級時作出回應。ISPM 是 ITDR 的關鍵組成部分，因為它可讓組織維持對複雜網路敵人的應變能力。

利用身分強化威脅回應
身分與存取管理解決方案可讓組織將外洩或威脅指標事件與身分掛鈎，並針對最有效的層級 (會話或應用程式) 作出回應。IAM 是 ITDR 的「I」。為了有效地自動回應，這兩種技術必須配合無間。當他們這樣做時，整合功能會增強能見度和威脅偵測，並快速回應以身分為基礎的攻擊。

OpenText™ IAM 解決方案會產生認證記錄、存取要求和權限變更。OpenText 的進階威脅偵測& 內部威脅管理解決方案可將它們與來自端點、網路和雲端環境的資料相互關聯。此外，OpenText TDR 提供額外的使用者與實體行為分析 (UEBA)，超越一般以身分為基礎的風險服務。它們透過從存取和應用程式使用中得出的違規指標偵測風險。傳統以身分和存取為基礎的風險指標，僅限於規定的標準，例如瀏覽器實例或實體裝置是否為人所知，以及登入嘗試是否不成功。這些相同的適應性控制會對時間範圍和地理位置設定條件或限制，並識別不可能的旅行情境。雖然傳統的適應性存取控制也可以利用這些規定條件的歷史，但 XDR 的指標可以複雜得多。

XDR 技術監控的資訊範圍比 IAM 基礎架構所提供的廣泛得多。從這些資料中，XDR 自動化可以將觀察到的資料關聯到行為模式中，這些行為模式比基於規則的控制更具辨別力。他們會從異常或攻擊模式中辨識出哪些會話顯示了風險因素。當 XDR 監控功能與形成 ITDR 安全層級的身分資訊合併時，就可以將活動關聯並計算為模式 - 跨度長時間的模式。有了身分認證，從網路、裝置和會話資訊收集到的活動資料，與身分 (人或程序) 與數位服務在較長時間內進行的較高層級互動相關聯。這種以身分為基礎的持續性活動資料，讓風險引擎有能力計算用來滲透典型安全作業的外洩相關活動風險。這些模式會隨著時間逐漸強化，隨著每個活躍使用者模型的成長，ITDR 在識別使用者異常或潛在違規行為時會更加有效。除了強化威脅模型之外，ITDR 還能透過其安全協調、自動化和回應 (SOAR) 平台進行回應 - 遠遠超過 IAM 環境中的功能。此外，IT 可以使用這個擴充的安全平台來啟動預先定義的工作流程，例如封鎖惡意 IP、警示安全分析師，或隔離受影響的裝置。

ITDR 在您的組織中應扮演什麼角色？

由於每個環境都是獨一無二的，因此通往 ITDR 安全等級的道路也是獨一無二的。這表示特定環境對 ITDR 的需求可能存在，也可能不存在，而且 ITDR 的複雜程度也會有所不同。您當前環境的組成會影響您的實作。

可能有助於決定 ITDR 安全形式投資額度的一些動態因素包括以下幾點：

風險 - 全方位的風險應該是主導因素。違規的完整成本是多少？未能通過合規性稽核或未達到網路保險要求的商業後果為何？
成本與專業知識在現今環境中的現有 ITDR 元件中，一些最容易被低估的 ITDR 障礙就是成本與領域專業知識。擁有強大 IAM、PAM 和 SIEM 解決方案的組織會發現升級至 ITDR 安全層更為容易。但是，如果身份安全性不完整或薄弱，IAM 可能是更直接的需求。
將各個部分整合在一起 - 機構將 ITDR 與現有安全堆疊整合的能力是另一個決定因素。與 IAM、SIEM、SOAR 及 EDR/XDR 解決方案的無縫整合可確保 ITDR 能提供即時監控與事件回應，而不會造成作業孤島。
可擴充性 - 隨著組織越來越多採用混合和多雲環境，ITDR 必須涵蓋雲端身分、特權存取和聯合驗證。對於管理大量遠端員工和廣泛第三方存取的企業來說，它的價值尤其顯著，可確保在分散的環境中進行安全的身分驗證。
零信任優先順序與預算 - 將 ITDR 置於現代網路安全策略的最前線。ITDR 可實現持續的身分驗證、行為分析和以風險為基礎的回應，這些都是零信任模式的核心原則。隨著組織逐漸捨棄傳統的周界型安全性，ITDR 在保護身分的新周界上扮演著重要的角色。

ITDR 是新的存取安全層嗎？

ITDR 已從傳統的身分安全演變成專門的安全學科，以解決現代身分驅動的網路威脅。由於網路罪犯持續以憑證、特權帳戶和身分系統為目標，ITDR 可能會成為組織安全策略的標準安全層。