身份威胁检测和响应:身份结构中的裂痕
在当今的数字环境中,组织越来越依赖软件即服务 (SaaS) 应用程序来驱动其运营。然而,这种广泛采用也为新的安全风险和漏洞打开了大门。
SaaS 安全攻击面持续扩大。它从管理错误配置开始,现在需要一种整体方法来处理整个 SaaS 生态系统。这包括对用户访问、角色和权限、用户安装的第三方应用程序、SaaS 用户设备产生的风险以及身份威胁检测和响应 (ITDR) 的持续监控和管理。
当今 SaaS 安全性如此复杂的原因有多种。首先,应用程序多种多样,每个应用程序都有自己的用户界面和术语。这些环境是动态的,从 SaaS 供应商了解安全的重要性并通过现代安全措施不断增强其应用程序,到不断发展的用户治理所需,例如加入、取消配置、用户访问调整。这些控制只有在对每个应用程序和每个用户进行持续管理时才有效。如果这还不够,这些应用程序由分散的业务部门管理,使得安全团队几乎不可能实施其安全策略。
(相关资料图)
ITDR 解释为了解决 SaaS 生态系统中的身份威胁检测和响应挑战,SaaS 安全解决方案需要一个强大的解决方案,能够根据关键妥协指标 (IOC) 以及用户和实体行为分析 (UEBA) 来检测和响应与身份相关的安全威胁。这些指标提供了潜在违规行为的取证迹象,例如恶意软件、数据泄露、异常行为和其他可疑事件。
ITDR 旨在解决各种与 SaaS 相关的威胁,包括基于密码的攻击、IP 行为异常、基于帐户的检测、基于 OAuth 的攻击、未经授权的文档访问、异常的用户代理活动等。通过提供全面的保护措施,组织必须主动保护其 SaaS 堆栈并确保敏感数据的完整性。
在应对 SaaS 威胁时,现有的威胁检测和身份管理方法还远远不够。当今的 SaaS 环境非常复杂,这些环境中的 ITDR 功能需要深厚的知识和经过验证的专业知识。
Adaptive Shield 联合创始人兼首席执行官 Maor Bin 谈到了 SaaS-ITDR 的新版本,“现有的 ITDR 解决方案专注于端点和 Active Directory 保护,不会对复杂的 SaaS 环境进行分层。本地 Active Directory 将很快就会成为一项传统技术,并且随着本地部署正在转向 SaaS,这将在 SaaS 应用程序中的身份安全态势管理方面重新造成差距。”
Bin 提到的这一差距对于弥补 SaaS 安全解决方案至关重要,这就是为什么 Adaptive Shield 取得了长足进步并推出了实现这一目标的功能。
SaaS生态系统的关键ITDR功能您的 ITDR 应建立在对该领域内 SaaS 特征和身份治理的深入了解的基础上。确保您选择的解决方案基于广泛的 SaaS 应用程序覆盖范围,深入了解 SaaS 世界,并通过各种来源和事件的情境化提供准确的威胁检测。
作为预防手段和第一层防御,SSPM 作为 Identity Fabric 中的安全层运行,以建立强大的用户治理。这包括整个 SaaS 堆栈中的过多权限、访问权限、用户取消配置等。组织应该获得对用户帐户、角色、权限、特权用户和活动的深入且统一的可见性和控制。
作为威胁防护的第二层,您的 SaaS 安全解决方案(例如 Adaptive Shield)、ITDR 功能在检测异常以及策略、技术和程序 (TTP) 方面提供了广泛的覆盖范围。通过关注上下文并创建用户和公司配置文件,它提高了这些检测警报的准确性。此外,了解预期的行为模式并考虑用户访问、权限和设备等因素,使解决方案能够更好地理解警报并确定警报的优先级。
屏幕截图 1:使用 MITRE ATT&CK 映射按时间显示威胁的监视器
屏幕截图 2:威胁中心显示所有监控事件
主要功能包括:策略、技术和程序 (TTP):识别对手用来破坏系统、窃取数据或破坏操作的常见策略和技术。通过了解这些 TTP,ITDR 通过以下方式提高事件响应能力:妥协指标 (IOC) 检测:收集表明组织的 SaaS 应用程序受到攻击或已受到损害的证据。IOC 可以包含来自 IP 地址、域名、URL 等的数据。用户和实体行为分析 (UEBA):检测行为异常,Adaptive Shield 的 ITDR 可以在威胁行为者浏览组织的应用程序时识别他们,从而提供主动威胁检测。MITRE ATT&CK 映射:通过将观察到的或潜在的攻击技术与 MITRE ATT&CK 框架结合起来,增强事件响应能力并改进威胁检测和缓解。警报和通知:通过电子邮件、Slack 或 Teams 等多个渠道获取警报,指示需要立即调查或响应的潜在安全事件或可疑活动。SIEM 和 SOAR 集成:与您现有的安全运营中心 (SOC) 和安全编排、自动化和响应 (SOAR) 工具无缝集成,提高威胁关联性和事件响应效率。补救指南:获取可行的建议和分步指南,以在发生安全事件时解决和减轻漏洞、弱点或妥协。全面的安全管理在保护您的 SaaS 环境时,请确保您的安全平台超越身份威胁检测和响应。您的解决方案应包含一系列功能,可加强整体安全管理并提供用于保护 SaaS Identity Fabric 的整体预防模型:
错误配置管理:识别所有安全控制中的安全偏差并接收详细的补救计划,以确保正确配置并防止与日志相关的威胁。
身份和访问治理:整合所有 SaaS 应用程序中用户帐户、权限和活动的可见性,实现有效的风险管理并确保适当的访问级别。检测并减轻与禁用或休眠帐户相关的风险。
SaaS 到 SaaS 的访问和发现:了解连接的应用程序(合法或恶意),并评估它们对 SaaS 环境造成的风险级别。
设备到 SaaS 风险管理:获取上下文和可见性,以有效管理源自 SaaS 用户及其相关设备的风险。
凭借无与伦比的洞察力和一系列功能,Adaptive Shield 使组织能够保护其 SaaS 堆栈、防止数据泄露并保护其 SaaS 数据免受新兴威胁。
关键词: