保护身份系统与 Active Directory 的新趋势

关键要点

• 身份系统特别是 Active Directory 正成为网络攻击的主要目标。
• 组织需要涵盖攻击生命周期的ITDR解决方案，以保护 AD 和 Azure AD。
• 最近的调查显示，组织在选购 ITDR 解决方案时关注自动化恢复、攻击检测和快速响应等要素。

是时候关注身份系统的安全性了，尤其是 Active Directory (AD)，因为它们已被视为网络攻击的重点目标。作为专注于保护和恢复 AD的解决方案的先行者，我们欣喜地看到多家研究公司确认了针对 AD 的网络安全解决方案的重要性。Gartner 将身份系统防护定义为 2022年网络安全十大趋势之一，并创造了一个全新的类别——身份威胁检测与响应 (ITDR)，同时还将 Semperis 列为 ITDR 解决方案的典型供应商。

然而，从我们在帮助组织防止、修复和恢复网络灾难的工作中了解到，拥有有效的 ITDR 安全战略不仅仅是在报告中勾选选项那么简单。在最近的 Gartner身份与访问管理峰会上，我们对与会者进行了调查，询问他们评估 ITDR 解决方案的主要标准。

1. 自动化、无恶意软件的多森林 AD 恢复，时间在一小时内

我们调查中的组织普遍关注 ITDR 的响应能力，许多企业领导和其安全及 IT运维团队都意识到，没有任何实体可以消除网络攻击的可能性。调查结果显示，77%的组织对恢复 AD 的能力持消极看法 ：在遭受网络攻击时，他们认为会遭受严重影响，这意味着他们虽然有一般的灾难恢复解决方案，但没有专门针对 AD的支持；或者影响将是灾难性的，这意味着需要手动恢复并使用备份，这将耗费数天甚至数周的时间。失去的商业收入、声誉损害，以及在医疗保健组织中因延迟恢复而导致的患者健康与安全问题，都是可能造成毁灭性后果的事件。

“组织可以采取所有正确措施来防止勒索软件攻击，但归根结底，仍然可能会被攻陷。”Semperis 的产品副总裁 Darren Mar-Elia说，“你需要一个能让你尽快恢复到已知良好状态的解决方案。”

2. 检测绕过 SIEM 和其他传统工具的攻击

随着网络犯罪分子不断开发新的策略、新技术和程序 (TTPs) 来攻击身份系统，调查受访者将未能检测到绕过传统监控工具的攻击列为保护 AD 的首要关切 。这种担忧是合理的：许多成功利用 AD 的攻击都绕过了基于日志或事件的产品，例如安全事件管理 (SIEM) 系统。组织需要能够利用多种数据源的解决方案，包括 AD 复制流，来检测高级攻击。

3. 监控从本地 AD 到 Azure AD 的攻击

随着越来越多的组织采用混合云环境，检测从本地 AD 转向 Azure AD（或者反之，例如 SolarWinds攻击）的攻击，已成为许多组织的主要担忧 。进一步印证了 Gartner 的预测，即到 2025 年，只有 3% 的组织将完全从本地 AD迁移到基于云的身份服务。在我们的调查中，80% 的被访者表示，他们要么使用与 Azure AD 同步的本地 ActiveDirectory，要么使用多个不同的身份系统，包括 AD 和 Azure AD。

然而，保护这些混合 AD 系统是重中之重：调查受访者表示，预防攻击的最重要能力是 对 AD 和 Azure AD 漏洞及风险配置的持续监控 。只有三分之一的受访者表示他们“非常有信心”能够防止或修复本地 AD 攻击，而只有 27% 的受访者对 Azure AD 具备同样的信心。

“我怀疑未来会看到从本地 AD 转向 Azure AD 的纵向攻击越来越多，而 Semperis 也正在专注于提供对这些混合攻击路径的可见性。”Mar- Elia 说。

4. 找出遗留 AD 环境中的错误配置和漏洞的能力

调查受访者将 对 AD 和 Azure AD 漏洞及风险配置的持续监控 排在如此重要的位置并不令人感到意外。鉴于