增强身份观察能力以应对身份相关威胁
关键要点
- 身份访问管理(IAM)工具的扩展,带来了账户、凭证、角色和访问路径的显著增加。
- 身份基础的威胁正上升,传统防御措施难以检测这些攻击。
- 综合的身份观察能力可以实时监控和分析所有身份相关活动,帮助发现潜在威胁。
- 引入时间背景的分析可以显著提高身份观察和保护的价值,帮助快速识别和缓解风险。
在当今的混合企业中,身份访问管理(IAM)工具及其基础设施的不断扩展,导致账户、凭证、角色和访问路径的显著增加。身份基础的威胁显然正在上升,这些威胁难以被检测出来,暴露了日常安全操作中显著的安全漏洞。
许多企业面临绕过传统防御的攻击,攻击者利用有效的凭证轻松登录,非法获取敏感数据和整个网络系统的访问权限。这种类型的黑客攻击可能对企业造成极大损失,迫使他们从复杂的攻击中恢复和重建。
此时,综合的身份观察能力显得尤为重要,它能够实时监控和分析所有与身份相关的活动和访问路径,无论是人为还是非人为的。身份观察不仅为身份和安全团队提供了重要的上下文信息,帮助他们了解身份基础设施内发生的事情、原因及管理方法,还能实时分析周围的模式和风险身份行为。
检测身份基础的威胁的困难源于缺乏对活动的上下文理解,这些活动单独看来可能是合法的。然而在时间的背景下,这些活动显然并不正常。因此,持续查看身份活动的时间上下文显著扩展了身份观察和保护的价值,提供了对身份风险动态性质的深入洞察。通过引入时间背景,许多危险威胁可以在造成明显损害之前被发现和缓解。
时间背景在增强身份观察能力中的作用
身份管理和卫生的挑战正在不断增加,因为身份结构变得越来越复杂。在单一时间点分析单个身份活动并不足以判断其是否合法。必须将其放在之前、并行和之后的其他活动的背景中进行分析,以了解其是否是威胁模式的一部分。因此,基于时间的分析对于安全操作变得至关重要,它使得可以对人类和非人类身份的身份活动、姿态变化、趋势和离群值进行回顾性分析,比如身份创建的波动。
通过提高威胁检测的观察能力和基于时间的上下文,安全团队可以更好地分析威胁。此外,通过监控身份活动的趋势和变化,安全团队能够更好地理解如何应对身份基础设施内的网络风险和威胁模式。
通过身份观察增强组织安全,可以更有效地保护组织免受身份相关威胁。以下是一些重要的能力:
重要能力 | 描述
—|—
增强身份可见性 | 检测和审查所有身份、资产和身份系统。
改善身份卫生 | 理解身份姿态趋势,检测应该移除的过期身份,识别绕过多重身份验证或特权访问管理等安全控制的访问。
检测风险活动 | 识别可疑活动模式,如凭证滥用或矛盾或者不可能的访问模式。
快速事件响应 | 迅速调查潜在被攻陷的人类或机器身份的活动。
超越对已管理身份和资产的监控,并对其活动进行时间分析,可以为企业提供重要的见解和支持,帮助降低身份相关风险并增强安全姿态。借助增强的观察能力和时间背景,组织能够更好地准备应对任何潜在的漏洞,并维护更强大的身份相关安全。
显然,静态视图的身份安全已不再具有实用性。历史背景和动态基于时间的分析开启了身份观察的大量操作价值,并提高了身份保护工作的有效性。
