案例研究：从金融行业实践案例看集权设施安全体系建设

近年来，随着远程办公、应用上云、协作办公等业务需求快速发展，传统安全边界被打破，身份正在成为企业安全新边界。在这个体系下，常规的身份与访问管理和安全预防控制不足以解决由身份引起的网络安全威胁，因此催生了身份威胁检测和响应（ITDR）技术的兴起。
 
身份威胁检测和响应（ITDR）保护身份基础设施本身，可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。作为近两年网络安全领域又一爆火的概念，吸引了微软、Palo Alto Networks 、谷歌、CrowdStrike等国外众多明星厂商纷纷布局，而在国内ITDR技术仍处于起步阶段。很多企业对于ITDR的了解还停留在思想和概念层面，只知道ITDR具备哪些核心能力，却不知道ITDR是如何解决实际问题的。
 
中安网星作为国内唯一实现ITDR技术落地的企业，从实战身份维度出发，推出的ITDR身份威胁检测与响应平台已适配主流应用的身份集权设施，在金融、交通、能源、科技、消费等领域超100家大型企业一侧实现落地实践。
 
下面通过一个案例——《某头部证券集权设施安全防护》，来看ITDR技术如何在具体的业务场景中，发挥其独特的价值。
 
一、项目背景
 
证券行业作为国家金融业的三大支柱产业之一，汇聚了大量的金融数据，其信息安全一直备受关注。此前国家已经接连出台十几部相关政策法规，例如《金融标准化“十四五”发展规划》、《证券期货业网络安全管理办法（征求意见稿）》，对证券行业的数据安全提出越来越高的要求。
 
本篇案例中的客户是国内十大证券公司之一，在过去的攻防演练期间，该公司AD 均受到不同程度的攻击，AD 域漏洞以及多个配置项存在大量风险，包括员工入域流程、特权账户管理不规范等问题。
 
基于上述的安全隐患，用户希望针对 AD 域安全问题展开风险评估与安全加固工作，并且希望可以实时的检测域控正在遭受哪些攻击，从而实现及时的处置。同时，公司信息化体系中存在大量类似 AD 的集权设施，如堡垒机，vCenter，k8s 等，考虑到未来 3-5 年的安全规划，希望可以针对集权设施构建整体的安全防护平台。
 
二、为证券行业构建系统安全防护体系
 
根据客户现面临的困境，中安网星通过ITDR来解决用户内网终端频繁失陷的问题。一期项目主要建设AD域安全，在项目二期接入其他集权设施，基于检测、监测、响应的技术框架，统一分析身份视角下的企业信息化安全威胁。


 
核心能力一：身份威胁评估

身份的威胁更侧重于规避、绕过或滥用身份系统，以实现网络攻击。想要降低身份威胁的风险首先要做好预防措施，通过如下手段开展前期的身份安全加固工作：减少暴露面、漏洞修复、基线核查、弱口令检测。
 
核心能力二：实时威胁监测

身份的威胁遍布于杀伤链，精明的攻击者往往可以通过各种手段绕过传统 的检测机制。ITDR 威胁检测能力参考 MITRE ATT&CK 和 Kill Chain 模型设计，利用机器学习、欺骗防御、用户和实体行为分析（UEBA）技术进一步加强了检测能力。
 
①欺骗防御：通过在内网构造高权限蜜罐账户的认证凭据，利用攻击者希望 隐藏自身位置的心理，攻击者在通过主动信息收集发现高权限凭据后，一般情况都会进行尝试登录或其他手段的利用，此时攻击者对身份认证系统请求蜜罐 账户认证，随即暴露所在位置，安全人员即可定位到失陷主机。还可通过流量 转发技术，将攻击者对真实业务系统的认证流量转发到提前准备好的蜜罐主机，造成认证成功的假象，拖延攻击进度。以此为安全人员提供充足的时间溯源攻 击路径和入口并开展封堵工作，将攻击者重新踢出边界防护的大门之外。
 
②机器学习：设置一定的学习周期，收集大量的身份行为数据，对每个用户进行行为建模，学习结束后形成新的规则模型，当行为超出模型基线便会产生告警。
 
③用户和实体行为分析（UEBA）：将用户或实体行为、告警、风险等信息汇总后，通过算法得出用户或实体的风险评级，发现与用户或实体标准画像或 异常行为的活动，有效帮助运维人员发掘潜藏的身份威胁。
 
核心能力三：自动化响应

攻击实时阻断是完成威胁处置的最后一环，ITDR 可以对实施攻击的用户及 IP 进行封禁，同时依托于完整的告警与原始数据存储，供用户对威胁事件进行 深度溯源分析。
 
ITDR 通过对接身份认证基础设施实现阻断规则的配置下发，并且支持手动威胁阻断和自动威胁阻断两种方式。
 
①手动威胁阻断：可添加阻断策略，对指定用户或 IP 进行阻断指令，被阻断 的用户及 IP 将会被临时封禁。
 
②自动威胁阻断：可针对每一条检测规则配置自动威胁阻断策略，若规则配 置内自动威胁阻断开关打开，则在当前规则告警时，将当前规则告警中的用户和IP自动添加到威胁阻断页面的阻断策略中，并执行阻断命令对其进行临时封禁。
 
身份威胁响应模块同时支持对接第三方安全防护产品，实现联动处置，快速支持安全事件应急响应工作。
 
三、客户收益
 
• 提供了全面的网络安全威胁识别和管理能力，包括资产管理、漏洞扫描、安全分析和报告等，帮助企业实时发现和解决安全漏洞和威胁。
 
• 提供了实时监测能力，可有效的以身份为视角发掘网络安全风险与异常行为，结合蜜罐技术捕获入侵者。Ø
 
• 提供了自动化响应的能力，在发现高危风险后可执行自动处置，及时阻断安全风险，缩短处置时间，降低运维压力。
 
• 在攻防演练期间,通过产品对多台域控进行实时监控,并结合产品蜜罐功能,对域内终端进行联动分析,成功抵御了攻击者的攻击,保障了 AD 域的安全。
 
在万物互联时代，身份安全往往与企业的存亡休戚相关。虽然对于ITDR的探索实践仍处于探索阶段，但在未来，中安网星作为国内首家ITDR安全厂商将通过产业各界携手共建，持续推动企业网络安全架构的变革，根据中国的网络安全环境持续探索ITDR落地的“中国样本”，为各行各业数字化转型提供敏捷高效的安全支撑。