保护身份系统与 Active Directory 的新趋势

关键要点

是时候关注身份系统的安全性了，尤其是 Active Directory (AD)，因为它们已被视为网络攻击的重点目标。作为专注于保护和恢复 AD 的解决方案的先行者，我们欣喜地看到多家研究公司确认了针对 AD 的网络安全解决方案的重要性。Gartner 将身份系统防护定义为 2022 年网络安全十大趋势之一，并创造了一个全新的类别身份威胁检测与响应 (ITDR)，同时还将 Semperis 列为 ITDR 解决方案的典型供应商。

然而，从我们在帮助组织防止、修复和恢复网络灾难的工作中了解到，拥有有效的 ITDR 安全战略不仅仅是在报告中勾选选项那么简单。在最近的 Gartner 身份与访问管理峰会上，我们对与会者进行了调查，询问他们评估 ITDR 解决方案的主要标准。

1 自动化、无恶意软件的多森林 AD 恢复，时间在一小时内

我们调查中的组织普遍关注 ITDR 的响应能力，许多企业领导和其安全及 IT 运维团队都意识到，没有任何实体可以消除网络攻击的可能性。调查结果显示，77的组织对恢复 AD 的能力持消极看法：在遭受网络攻击时，他们认为会遭受严重影响，这意味着他们虽然有一般的灾难恢复解决方案，但没有专门针对 AD 的支持；或者影响将是灾难性的，这意味着需要手动恢复并使用备份，这将耗费数天甚至数周的时间。失去的商业收入、声誉损害，以及在医疗保健组织中因延迟恢复而导致的患者健康与安全问题，都是可能造成毁灭性后果的事件。

“组织可以采取所有正确措施来防止勒索软件攻击，但归根结底，仍然可能会被攻陷。”Semperis 的产品副总裁 Darren MarElia 说，“你需要一个能让你尽快恢复到已知良好状态的解决方案。”

2 检测绕过 SIEM 和其他传统工具的攻击

随着网络犯罪分子不断开发新的策略、新技术和程序 (TTPs) 来攻击身份系统，调查受访者将未能检测到绕过传统监控工具的攻击列为保护 AD 的首要关切。这种担忧是合理的：许多成功利用 AD 的攻击都绕过了基于日志或事件的产品，例如安全事件管理 (SIEM) 系统。组织需要能够利用多种数据源的解决方案，包括 AD 复制流，来检测高级攻击。

3 监控从本地 AD 到 Azure AD 的攻击

随着越来越多的组织采用混合云环境，检测从本地 AD 转向 Azure AD或者反之，例如 SolarWinds 攻击的攻击，已成为许多组织的主要担忧。进一步印证了 Gartner 的预测，即到 2025 年，只有 3 的组织将完全从本地 AD 迁移到基于云的身份服务。在我们的调查中，80 的被访者表示，他们要么使用与 Azure AD 同步的本地 Active Directory，要么使用多个不同的身份系统，包括 AD 和 Azure AD。

然而，保护这些混合 AD 系统是重中之重：调查受访者表示，预防攻击的最重要能力是 对 AD 和 Azure AD 漏洞及风险配置的持续监控。只有三分之一的受访者表示他们“非常有信心”能够防止或修复本地 AD 攻击，而只有 27 的受访者对 Azure AD 具备同样的信心。

“我怀疑未来会看到从本地 AD 转向 Azure AD 的纵向攻击越来越多，而 Semperis 也正在专注于提供对这些混合攻击路径的可见性。”MarElia 说。

4 找出遗留 AD 环境中的错误配置和漏洞的能力

调查受访者将 对 AD 和 Azure AD 漏洞及风险配置的持续监控 排在如此重要的位置并不令人感到意外。鉴于