网络威胁正在超出可见范围,随着公司在云采用方面变得越来越复杂,攻击者的创新也越来越复杂,从安全的角度来看,以下是组织最令人不安的两个事实:缺乏威胁的可见性和网络犯罪技术的快速发展。
一方面,当今的企业需要为每个用户管理跨多个应用程序的大量访问权限,另一方面,由于凭据被盗而导致的数据泄露处于历史最高水平,显然,组织的用户身份及其权利是风险的主要来源,为了有效地调查和分析用户身份及其权利带来的风险,组织需要身份分析。
什么是身份分析
身份分析工具利用大数据、人工智能 (AI) 和机器学习 (ML) 技术来处理来自各种来源的数据,并在存在身份相关数据的情况下生成可操作的情报。借助身份分析工具提供的高级分析和动态风险评分,组织可以了解其用户有权访问哪些资源,了解他们如何使用其访问权限,跟踪异常用户行为,并根据上下文信息(如地理位置、设备类型等)确定是否应授予他们访问权限。所有这些都是实时完成的。
此外,可以使用身份分析工具自动执行认证访问权限和修正策略违规等操作,手动执行这些任务过于耗时、劳动密集型,并且会导致运营成本增加,自动化这些操作可帮助企业简化合规性审计。
AD360 在建立每个用户独有的正常活动基线之前,收集有关用户在整个公司内长期执行的操作的数据,它建立了严格的访问控制,以确保从集中式控制台跨本地和云应用程序的安全性。
身份分析工具功能
- 异常检测
- 休眠帐户清理
- 基于风险的身份验证
- 内部威胁检测
异常检测
- 识别可疑的用户活动,例如在异常时间执行的异常大量事件,确定每次登录尝试失败背后的来源和原因,并查找登录失败百分比最高的用户帐户。
- 根据用户的活动计数和时间等指标定义警报配置文件,并定义将当前数据与以前生成的数据进行比较的规则,每当实时数据偏离以前的模式时触发警报。
- 通过有关异常文件活动的各种报告,跟踪文件删除、未经授权的文件更改和文件访问尝试中的异常激增。
休眠帐户清理
- 通过定期检查过时的用户帐户,最大限度地降低非活动帐户遭到入侵或滥用的风险。
- 获取各种报告,这些报告收集有关上次登录、从未登录的用户、最近未登录的用户、非活动用户等的数据。
- 自动禁用非活动帐户,将其移动到另一个 OU,然后完全删除它们。
基于风险的身份验证
- 根据用户的设备类型、访问时间、IP 地址或地理位置等因素,评估用户登录时帐户泄露的可能性,确保只有授权用户才能访问企业应用程序。
- 通过提示其他身份验证因素,自动增强风险登录的安全性。
- 从预配置的报告中获取用户异常登录活动的合并视图,并允许管理员应用有效的身份验证过程,从而降低未经授权的用户访问敏感数据的可能性。
内部威胁检测
- 审核权限使用情况并查看有关密码重置、用户管理和权限提升等关键事件的报告。
- 检测横向移动的指标,例如异常远程桌面活动和新流程的执行。
- 启用当用户意外登陆可疑网站并执行可能引发勒索软件攻击的恶意可执行文件时触发的警报,检测并关闭受感染的计算机,防止其进一步传播。
身份分析工具用例
- 检测并删除过多的访问权限
- 基于风险的访问认证
- 增强特权帐户的安全性和监控
- 检测职责分离违规行为
- 自适应身份验证以降低风险
检测并删除过多的访问权限
理想情况下,用户应只能访问适用于其工作角色的资源(服务器、目录、应用程序或服务)。但是,由于各种原因,许多用户往往拥有过多的权限。
这可能是因为他们被提升、转换角色或被授予执行特定任务的特殊权限。通过身份分析,将根据用户行为和应用程序使用模式审查所有访问权限。具有过多访问权限的配置文件会立即被标记,并会快速删除任何不必要的访问权限。
基于风险的访问认证
在当今的组织中,许多用户往往拥有过多的访问权限。但是,手动查看这些特权中的每一个都非常耗时,并且可能导致快速的橡皮图章批准,从而忽略潜在的安全问题。
标识分析工具根据各种来源(例如用户行为、应用程序使用情况数据和对等组分析)为每个用户提供上下文风险评分。某些工具甚至提供权利级别的风险评分。可以配置标识分析工具,以便仅通知经理有关高风险用户配置文件的信息。这大大减少了管理人员在认证活动上花费的时间。由于大多数身份分析工具提供从多个系统和应用程序收集的用户权利数据的上下文丰富的整合视图,因此经理可以执行更有效的认证。
增强特权帐户的安全性和监控
在组织中找到两种主要类型的特权帐户:一种由应用程序或系统进程用于与操作系统(也称为服务帐户)进行交互,另一种是具有管理权限的各种用户帐户。网络犯罪分子以这些帐户为目标,因为它们可以轻松访问组织的敏感信息。
借助身份分析工具,您可以快速发现未使用的特权权利,并发现特权帐户中的更改,例如权限提升和凭据共享尝试。
身份分析工具利用用户行为分析 (UBA) 来检测此类异常用户操作。UBA 应用 ML 技术创建特定于每个特权帐户的正常活动的基线,然后检测与已建立基线的偏差,最后向相关人员提供警报。考虑何时 Active Directory (AD) 中的用户帐户在预配时仅被授予一个管理权限。如果此帐户突然累积了多个权限,例如重置密码、修改所有者、删除子对象等,则 UBA 将检测到这些异常活动并将该帐户标记为可疑。身份分析工具使 IT 管理员能够在检测到异常活动时配置自动响应,例如暂时禁用访问权限。
检测职责分离违规行为
职责分离 (SOD) 是一种内部安全策略,可确保没有一个人可以完全控制整个资源或流程。例如,开发人员不应该拥有生产数据库的管理员权限,因为如果开发人员更改源代码并且程序变得不稳定,则未来的补丁和安全更新将不起作用。当用户帐户具有冲突的访问权限时,会发生 SOD 冲突。
它们构成了安全威胁,因为这意味着组织中有一些个人可以在不被发现的情况下篡改数据。
身份分析工具可以在检测到 SOD 违规时自动禁用对帐户的访问,并通知 IT 安全团队。身份分析工具可确保快速检测到 SOD 违规行为,并发现每次违规背后的原因。经理将更好地了解用户的帐户权利和访问权限。改进的可见性可帮助管理人员在访问请求方面做出更好的决策。
自适应身份验证以降低风险
多重身份验证 (MFA) 要求用户通过使用除用户凭据之外的至少两个因素对自己进行身份验证来验证其数字身份。
尽管添加的验证层增强了安全性,但组织范围的 MFA 通常会给已在安全网络内的用户带来身份验证负担,并且可能会影响用户体验和工作效率。
自适应身份验证解决方案执行实时用户风险评估,并提示用户仅在感知到的风险很高时才提供额外的身份验证因素。通过自适应身份验证,组织可以在不影响可用性的情况下提高安全性。
借助AI驱动型身份分析的好处
- 识别可能表示潜在攻击的异常用户行为。
- 通过在检测到异常用户模式时添加多层验证来增强安全性。
- 检测潜在的内部威胁并自动通知相关人员。
- 通过自动化清理过程来提高工作环境的整体生产力和效率。
- 通过多个预配置报告满足合规性审计要求,同时监控对关键数据的访问。
AD360 允许用户快速访问所需资源,同时建立严格的访问控制,确保从集中式控制台跨本地 Active Directory、Exchange 服务器和云应用程序的安全性,从而帮助组织简化 IT 环境中的 IAM。