了解身份威胁检测与响应 (ITDR)

关键要点

• ITDR 是一种保护身份系统的解决方案，尤其是 Active Directory (AD) 和 Azure AD。
• 随着身份相关威胁的日益增加，ITDR 成为网络安全中的一种新兴技术。
• ITDR 方案专注于身份基础设施的安全，而非用户管理。
• 与 EDR 和 XDR 相比，ITDR 着眼于身份系统本身，这对于组织的安全性至关重要。
• 选择合适的 ITDR 解决方案，对于应对身份威胁及保障业务连续性非常重要。

什么是 ITDR？

Gartner 创建了身份威胁检测与响应 (ITDR) 类别，以描述保护身份系统的解决方案，这些系统如 Active Directory (AD) 和
Azure AD，为应用程序和服务提供身份验证和访问权限。为了应对日益增加的身份基础威胁，ITDR 被纳入 Gartner 的
，作为一种保护身份基础设施免受恶意攻击的新兴技术。Gartner还指出，攻击者现在主要利用凭证滥用来获得对组织信息系统的特权访问，并操纵其身份和访问管理 (IAM) 系统。

什么是 ITDR 解决方案？

ITDR 解决方案专注于身份基础设施本身，而不是由该基础设施管理的用户。根据 Gartner，ITDR 解决方案应具备特定的身份保护能力，包括： – AD环境安全态势评估 – 攻击路径管理 – 风险评分和优先级排序 – 实时监控受妥协指标 (IOCs) – 机器学习 (ML)
或分析以检测异常行为或事件 – 自动修复和事件响应

鉴于许多身份相关的攻击成功地妥协了
AD，，因此经过验证的基于 AD的勒索软件灾难恢复解决方案应纳入事件响应计划中。

EDR 和 ITDR 有什么区别？

终端检测与响应 (EDR)
解决方案收集、分析并响应关于终端的威胁相关信息——即与计算机网络连接和交换信息的物理设备（桌面电脑、虚拟机、移动设备）。扩展终端检测与响应 (XDR)
解决方案则集成了对终端、服务器、云应用、电子邮件及其他技术的保护。XDR 解决方案在整体视图中结合了预防、检测、调查和响应，以应对网络攻击。

虽然 EDR 和 XDR 解决方案关注组织信息系统的外层，但 ITDR 解决方案则专注于身份系统本身，身份系统用于认证用户并授予服务和应用程序的权限。

由于网络犯罪分子不断提出新的攻击方法，最佳的网络安全策略应同时保护终端和核心身份基础，同时避免单点故障，以应对当前的威胁。

为什么 ITDR 重要？

ITDR 解决方案保护身份基础设施，这是目前大多数网络攻击的主要攻击向量。而且，由于 Active Directory (AD) 是 ，它成为网络犯罪分子的首要目标。由于 AD难以安全保护且通常存在遗留误配置，因此在网络事件中经常被妥协，包括 SolarWinds 事件和固管道攻击。实际上， 表示，AD 涉及其调查的 90% 的攻击案例。

什么是最佳的 ITDR 解决方案？

寻找有效的 ITDR解决方案的组织面临着越来越多的决策挑战。根据我们的调查结果和与客户的对话，我们了解到组织对于保护整个攻击生命周期中的混合身份环境（包括网络安全事件前、中、后）的难题感到担忧。

我们对 50 多家企业和组织的 IT 和安全领导者进行了调查，以了解他们如何评估专业的 ITDR 解决方案。他们报告的 ITDR 解决方案最重要的功能包括：

| 重要