在过去二十年中，身份安全领域最为成功的供应商（每家收入均接近10亿美元）主要围绕身份访问管理（IAM）、身份治理与管理（IGA）以及特权访问管理（PAM）构建业务。这一趋势孕育了Microsoft Identity、Okta、CyberArk和SailPoint等巨头领导者，其中SailPoint正筹备IPO。

下一代身份安全企业将整合IAM、PAM和IGA，解决随着企业技术堆栈发展而出现的身份孤岛和安全差距问题。随着组织规模的扩大，身份（包括人类身份和非人类身份（NHI））已成为网络安全领域最容易被利用且常被忽视的攻击面之一。

本报告深入剖析了身份攻击面，揭示了威胁行为者如何利用身份弱点，以及企业必须采取哪些措施来防御这些弱点。

1.关键摘要

本报告深入探讨了企业如何通过多种方法保护其身份攻击面。虽然我已撰写了大量关于身份治理生态系统和非人类身份（NHI）的文章，但本报告的核心聚焦于企业如何通过三种关键方法监控、管理和保护其身份攻击面。

身份攻击的日益增多正促使组织意识到缩小现有身份解决方案中差距的重要性。本报告旨在讨论企业如何通过以下三个步骤实现这一目标：

1. 可见性：提供对身份环境的基础性理解。
2. ISPM：通过主动实施卫生措施和适当配置，减少潜在漏洞。
3. ITDR：在威胁出现时主动监控和缓解威胁，从而补充主动管理策略。

1.1 为什么选择 Identity？

• 为什么选择身份攻击面？攻击面的概念早已在安全领域得到认可。但是，它应用于身份安全是一个相对较新的发展，并且势头越来越强劲。身份攻击面管理 （IASM） 的出现是为了应对传统身份供应商内部日益意识到的差距。目标是让企业能够全面了解其传统身份堆栈、实施态势控制、保护身份，并根据明智的见解推动补救工作。
• IASM 如何成为身份安全的下一个前线：在过去十年中，组织主要专注于管理访问控制 （IAM）、身份治理 （IGA） 和权限管理 （PAM） 解决方案。这些解决方案拥有大量的身份，但它们都在各种架构中提供了截然不同的解决方案。这些解决方案不容易相互集成。这导致组织存在孤岛和许多失败的身份项目，从而导致大量违规行为。下一个安全平台将具有强大的可见性、态势和保护机制。
• 由于身份系统的弱点，多年来，身份攻击的频率和流行率激增，这凸显了对 IASM 的需求。攻击者越来越多地利用绕过现有控制的技术，迫使企业采用更高级的安全措施。
• 90% 的组织在过去一年中经历了与身份相关的泄露，其中 93% 的泄露可以通过改进控制措施来预防。
• 37% 的组织报告说，为所有用户实施 MFA 有助于防止或减轻事件的影响。其他有效措施包括定期审查敏感数据的访问 （42%） 和特权访问 （50%）。
• MITRE ATT&CK 框架显示，在野生目标身份中观察到的 50% 的攻击策略，强调了统一安全可见性的必要性。
• 75%的检测是无恶意软件的（无恶意软件的攻击使攻击者能够在雷达下作，并在端点和云域之间无缝导航）。
• 关键报告要点：更强的可见性使组织能够采取主动、协调的补救措施。通过打破安全团队之间的孤岛，组织可以采用最安全且面向未来的策略来修复漏洞。
• 身份安全问题就是数据问题：身份安全从根本上取决于数据完整性。尽管 OCSF、IPSIE 和 CAEP 等框架提高了互作性，但它们无法跨 HR 系统、传统 IAM 解决方案和云原生身份平台完全规范和关联身份数据。这种碎片化削弱了安全态势，使企业容易受到基于身份的威胁。组织必须主动建立统一的身份数据基础，确保无缝关联和治理。随着这些标准的发展，优先考虑结构化身份数据管理的企业将能够更好地增强安全性并简化合规性。
• 本报告将讨论和重点介绍主要代表性供应商。这些供应商代表了这个市场生态系统以及向可见性、态势和保护的演变。市场上有更多的供应商提供类似或相邻的东西。最成功的其中之一是 CrowdStrike 在 400 年收购 Prempt 后，在不到 4+ 年的时间内实现了 $2020M+ 的收入。然而，SACR 在经过全面的产品审查后选择了这些供应商，并与他们合作，成功地将研究推向市场。
  • Hydden

• Silverfort

• Authmind

• Acalvio

• SlashID

• Axiad

2.当今身份认同中的孤立差距

您所看到的仅是冰山一角——在表象之下，企业实际管理着成千上万个隐藏的身份，这些身份从人类用户延伸至非人类实体，每一个都可能成为潜在的攻击媒介。表面上，企业依赖身份访问管理（IAM）、特权访问管理（PAM）和身份治理与管理（IGA）来管控身份，但在这些工具的背后，一个由多种身份构成的庞大且碎片化的网络仍然处于不可见的状态。服务账户、API密钥、机器身份、影子IT和临时凭证在暗处运行，将身份攻击面扩展到传统控制手段之外。如果无法洞察这些隐藏的层级，组织将被暴露于潜伏于表象之下的隐匿威胁之中。

3.现代攻击面以身份为中心
为了帮助我们更好地了解身份在现代攻击面中的作用。我们需要剖析和分析——两者都是：

1. 身份安全管理
2. 攻击面管理

让我们首先将身份分解为其基本原则。

身份是企业中可以进行身份验证和授权以在 IT 系统中执行作的任何实体。我们有两个主要类别：

• 人类身份（“人员”）
• 非人类身份（“机器”）

现代身份安全管理应采用整体方法，确保人类和非人类身份都得到适当的身份验证、授权和监控，以防止未经授权的访问、特权滥用和基于身份的威胁。它包括三个关键领域：

1.人类身份，包括员工、承包商和合作伙伴，他们需要强身份验证、最低权限访问和治理，以降低凭据盗窃和内部威胁等风险。

2.非人类身份 （NHI），例如服务账户、机器人和 API 密钥，通常具有过多的权限，需要强大的密钥管理、轮换策略和机器身份保护来防止漏洞利用。

3.数字身份，包括定义访问权限的用户帐户、角色、权限和凭证，如果管理不当，容易受到权限提升、错误配置和蔓延的影响。

3.1 现代身份生态系统不断扩展。

身份生态系统继续爆炸式增长，从下面的市场地图中可以看出：

我撰写了大量关于身份治理生态系统和非人类身份 （NHI） 的文章。但是，我们希望深入研究当今围绕这个生态系统构建的攻击面。

4.攻击面管理 （ASM）

攻击面管理 （ASM） 涉及对组织的数字资产进行持续发现、清点、分类和风险评估，以最大限度地减少潜在网络攻击的风险。它包括识别可能被攻击者利用的所有外部和内部点，了解其漏洞，并采取主动措施来保护它们。从历史上看，ASM 分为以下类型：

1.EASM（外部攻击面管理）：主要关注公司面向 Internet 的资产，持续发现和监控错误配置、影子 IT 和漏洞，以最大限度地减少外部暴露。

2.传统 ASM（攻击面管理）：专注于内部网络、端点和身份，检测内部威胁、横向移动风险和未修补的漏洞，以增强内部安全性。

3.CAASM （Continuous Attack Facing Management）：通过集成安全工具、确定风险优先级和自动修复，提供组织整个攻击面的统一、实时视图。

5.整合在一起：Identity Centric （ASM）

在回顾了关键身份类别之后，很明显，现代企业架构的很大一部分是人类和机器身份的身份驱动的。传统的攻击面管理 （ASM） 侧重于外部和内部资产，例如服务器、应用程序、云环境和端点。然而，身份已成为现代网络威胁的主要攻击媒介，跨越了所有边界。此外，身份是新的边界，即专注于网络和端点的传统 ASM，但在云和混合环境中，攻击者绕过这些边界，直接针对凭证、权限和身份配置错误。

撞库、网络钓鱼、会话劫持和权限提升攻击现在是现代漏洞（例如 Okta 和 Uber 漏洞）的主导。

例如，基于身份的攻击已成为 MITRE ATT&CK 框架的核心，其近一半的策略依赖于利用身份漏洞。从通过凭证盗窃进行初始访问到权限提升、持久性和横向移动，攻击者越来越多地将弱身份验证、过多权限和身份管理不善作为目标。凭证访问是一种完全以身份为中心的策略，凸显了凭证被盗、破解或拦截的风险越来越大。攻击者利用基于身份的侦查、中间对手攻击和权限滥用来大规模入侵组织。随着身份成为新的边界，SOC团队必须集成身份风险管理（IdRM）和身份威胁检测与响应（ITDR），以实时映射和缓解这些攻击向量。加强身份安全对于在漏洞被利用之前缩小差距至关重要。

传统 ASM 与身份攻击面管理 （IASM） 之间的主要相似之处包括：

1. 资产发现→身份发现：正如 ASM 映射公开的 IT 资产一样，IASM 在云、SaaS 和本地环境中映射身份及其权利。
2. 攻击路径分析 → 身份风险分析：传统 ASM 跟踪可利用的攻击路径;而 IASM 映射身份攻击路径以识别权限提升风险。
3. 持续监控→身份漂移和暴露：ASM跟踪资产变化，而IASM监控身份和权限变化以防止意外暴露。

6.身份攻击面管理 （IASM） 简介
IASM 是发现、监控和管理组织内所有与身份相关的漏洞和风险的过程。随着新员工的加入和应用程序创建新身份，攻击面不断扩大，企业难以有效管理它们，从而增加了攻击的可能性。身份 ASM 或 IASM 扩展了对身份的可见性，使 ASM 更加全面和适应现代威胁。

IASM 的最终目标是通过防止未经授权的用户泄露身份和获得访问权限来主动限制暴露。正如 ASM 解决方案分析潜在的攻击路径并识别攻击者可能追求的关键目标一样，IASM 提供对所有身份的集中可见性，无论它们存在于何处，都专注于保护与身份相关的资产免受利用。

6.1 使用案例

IASM 通过以下方式跨越传统界限：

1. 提供完整的身份生命周期，识别所有身份类型（B2E、B2C、Machine）的配置状态和卫生状况。
2. 在解决方案中实施安全策略，以协调所有现有产品的安全策略。
3. 尽早主动识别威胁，同时提供整体风险评估。
4. 检测暴露的凭据、有风险的访问模式以及恶意行为者可能利用的潜在基于身份的攻击媒介。
5. 识别云服务、第三方应用程序和开发环境中的休眠账户、过多权限和公开的凭证。
6. 根据身份数据源上下文和遥测确定基于身份的风险的优先级并解决这些风险。

6.2 现有身份安全框架

6.2.1 预防、检测和响应

随着基于身份的攻击已成为网络威胁的主要切入点，许多行业框架都强调预防技术、检测机制和响应能力，以实现全面的身份安全策略。虽然这些框架共同有助于减少攻击面，但需要更结构化的方法来应对特定于身份的威胁。

6.3 IASM 与现有身份类别互连

许多现有的身份解决方案侧重于身份安全的孤立方面：

• IAM，专注于身份验证层
• IGA，专注于账户生命周期管理
• PAM，专注于特权用户、密钥和保险库

虽然传统的 IAM 工具提供了一些身份管理功能，但它们通常独立运行，并且存在很大的限制。现代身份安全需要更全面的方法。传统解决方案面临几个关键挑战：它们无法有效地聚合和规范不同平台的身份数据，它们缺乏企业范围的上下文感知以进行明智的补救，并且它们无法在整个组织中提供标准化的风险评估。最重要的是，它们无法提供组织身份攻击面的整体视图，并且无法有效地确定可能导致重大安全漏洞的身份相关风险的优先级。

这些解决方案中的大多数仍然是孤立的，只专注于它们旨在保护的关键领域。IASM 充当跨 IAM、IGA、PAM 和 ZTNA 的基础层，使团队能够采取补救措施并加强现有的身份安全实施。

基本的 Identity Security 问题是数据问题。尽管努力通过 OCSF、RISC、IPSIE 和 CAEP 等框架提高互作性，但身份安全领域仍然存在重大差距。虽然这些标准促进了 IAM 系统之间的一些集成，但它们缺乏在整个现代企业生态系统（涵盖人力资源系统、传统 IAM 解决方案和云原生身份管理平台）中完全规范和关联身份数据所需的全面功能。随着这些框架和标准在行业中越来越受欢迎，组织将需要遵守。为了保持强大的安全态势，他们还必须采用正确的技术来保护其基础设施中的所有身份，确保每个身份都得到适当的管理和保护。

7.IASM 的组成部分

1.发现和可见性

2.姿势和卫生

3.保护和修正

7.1 发现与可见性

可见性是 IASM 的基本支柱，因为您无法保护您看不到的东西。身份发现和清单至关重要，因为保护攻击面取决于使组织生态系统中的所有身份可见，包括人类和非人类身份 （NHI）。

缺乏身份可见性会导致影子身份、孤立账户、特权过高的访问和扩大的攻击面。Visibility 为组织提供了所有身份、其关系及其关联权限的实时清单。因此，可见性应包括以下内容：

• 发现和识别所有人类和机器身份，以清晰、实时地了解谁在访问哪些资源。
• 清点和编目所有 IT 资产的身份类型、权限及其关联属性。
• 映射每个身份的访问权限，以实施最低权限原则并检测权限过高的帐户和未使用的权限。
• 映射权限和关系：了解身份与其可以访问的资产（例如云资源、应用程序或数据存储）之间的关系。
• 持续监控所有身份，包括正在创建的新身份，而不是像市场上的大多数解决方案那样依赖静态可见性。

IASM 流程遵循全面的结构化工作流程，从发现到可见性，最终到控制。与传统的静态评估不同，这种方法可确保在企业分散的身份基础设施中持续、持续地发现。该系统为不同的利益相关者提供详细的报告和仪表板，所有这些都建立在统一的数据基础上，该基础整合和分析了所有与身份相关的信息。

其中许多解决方案侧重于：

1. 使用目标系统和应用程序的 API 查询目标系统和应用程序
2. 系统和身份日志解析和分析
3. 事件驱动的数据捕获

然后，这些数据用于持续监控和跟踪配置和权限更改，以检测基于身份的威胁。

7.2 评估供应商在提高身份可见性方面的能力

全面的身份发现：IASM 解决方案的首要任务是从整个企业中发现和摄取身份信息。此过程需要与创建、存储和管理用户身份和身份信息的各种系统集成。

示例案例研究：Cloud Identity Exposure 一家财富 500 强公司在其 AWS 和 Azure 环境中发现了数千个孤立的服务账户。通过利用自动身份发现工具，它在三个月内将其暴露的攻击面减少了 40%。

1、集成和连接器的广度到深度

• 该解决方案应通过强大的连接器与各种应用程序和服务集成，包括：
• 人力资源管理系统 （HRMS） – 管理员工身份和访问权限。
• Enterprise 和 Cloud Identity 目录 – 用于用户身份验证和授权的集中式存储库。
• 流量监控和目录日志 提供对身份使用情况和异常的可见性。
• 特权访问管理（PAM）和身份治理和管理（IGA） 控制和审计特权和一般用户访问。
• 身份提供商 （IdP） – 支持跨基于云的和传统的本地环境进行数字身份管理和单点登录 （SSO）。
• 安全和网络解决方案 – 包括 XDR、SASE 和其他集成身份数据以增强安全性的边界防御工具。
• SIEM & SOAR 平台 – 聚合和关联与身份相关的安全事件，以进行威胁检测和响应。
• 机器身份管理解决方案 – 管理机器人、工作负载和服务账户等非人类实体。
• 证书生命周期管理服务 – 确保加密凭证的完整性和更新。
• SaaS和基于API的服务 将身份治理扩展到云和本地应用程序

2.身份扫描功能

有效的解决方案必须：

• 持续监控云、本地和混合环境中的身份。
• 检测和清点来自 Microsoft、Okta 和 JumpCloud 等提供商的 IAM 账户。
• 识别人类和非人类身份，包括 API 密钥、机器人和服务账户。
• 发现影子身份和未经授权的接入点，降低身份攻击面中的隐藏风险。

3.所有身份的清单

全面的身份清单使团队能够：

• 识别风险最高的组、部门、平台、应用程序和区域，帮助确定根本原因并有效地确定资源的优先级。
• 规范化数据：数据规范化对于与各种信息源集成的 Identity and Risk Management （IdRM） 解决方案至关重要。虽然 HRMS、企业目录和 PAM 解决方案等系统可能以不同的方式存储用户数据（例如，姓名、地址、职务、业务部门、位置），但规范化将其转换为标准格式。这种标准化对于关联、聚合和分析不同来源的身份数据至关重要。

4.用于关联和映射身份到资产关系的身份图

• 为了提高可见性，组织必须能够映射哪些身份可以访问哪些资源。使用基于图形的安全模型，供应商应使组织能够可视化基于身份的攻击路径，并说明身份、组、角色、权利、凭证、密钥和其他实体之间的关系。
• 利用外部标准作为上下文：解决方案应与行业框架和标准集成，包括开放式网络安全架构框架 （OCSF）、风险识别和站点关键性工具包 （RISC） 以及持续访问评估协议 （CAEP）。此外，应考虑新兴标准，例如企业中安全身份的互作性配置文件 （IPSIE）。

5.分析和分配风险评分

• 风险评分功能：风险评分功能在身份安全中至关重要，因为它们提供了身份泄露或构成安全风险可能性的可量化度量。通过根据行为分析、历史活动和上下文因素为用户、服务账户和访问请求分配风险评分，组织可以确定其安全工作的优先级。风险评分支持实施动态的、基于风险的访问控制。例如，高风险评分可能会触发额外的身份验证措施、限制权限或启动自动化事件响应工作流程，从而减少身份滥用的机会。
• 实时身份监控：强大的数据库应该能够扫描、捕获和映射身份。此功能可帮助组织检测登录模式、权限更改和访问行为中的异常情况。
• 检测孤立和未使用的账户：系统也应该能够进行定期审计并删除不活跃的账户。它还应该识别不再需要访问权限的外部身份（例如，承包商、供应商）。

可见性不能是静态的，而是恒定的

对身份的可见性必须是连续的和动态的，而不是静态的。随着新身份和开发流程的不断引入，组织需要实施经常监控存储库的扫描机制。持续、自动化的账户发现功能对于检测何时创建新账户至关重要。其中一些功能可以与云提供商集成，以识别新创建的身份。

7.3 态势与卫生

此子类别强调通过评估和改进标识的配置和卫生来维护可靠的安全基线。ISPM 确保身份得到正确配置、定期更新，并符合最低权限原则。

IAM 和 Identity 项目面临的挑战

身份安全方面的一些主要挑战可能与 Bojan Simic 的观点有关：

“每一份主要的网络安全报告都清楚地指出，身份验证和身份验证攻击占了绝大多数违规行为。不幸的是，我们仍然看到大多数 InfoSec 团队通过投资于更多的警报和问题发现来“吃药”，而不是真正努力消除问题的根源。有时这需要一些手术。好消息是，防网络钓鱼身份验证可以部署在企业内的所有用户组中。这可以使组织大幅提高安全性和用户体验。这也将帮助他们实现 Zero Trust/BeyondCorp 身份保证目标。-完整帖子在这里

（https://www.linkedin.com/posts/bojansimic_every-major-cybersecurity-report-clearly-activity-7285294680299229184-eEZK?utm_source=share&utm_medium=member_desktop&rcm=ACoAABm6E8ABtiCcsuZvwW-hZP4j_UtGFiJRHg8）”

如何防止身份问题——关键组件

• 身份配置错误检测：识别角色过于宽松、密码较弱和访问策略不一致等问题。
• 合规性和治理：确保身份符合内部政策和监管要求（例如 NIST、GDPR、HIPAA）。
• 生命周期管理：定期停用过时或孤立的账户，以最大限度地减少风险。
• 访问评审：执行定期评审以验证权限是否与工作角色一致。

7.3.1 为什么将可见性与态势分开

将可见性与身份安全态势管理 （ISPM） 分开对于有效的身份安全至关重要。这种区别使组织能够在实施安全策略和控制 （ISPM） 之前，首先彻底识别和了解其身份环境和关系 （Visibility）。Visibility 侧重于发现和意识，提供对组织内所有身份及其相互联系的全面了解。同时，ISPM 以治理和执行为中心，通过最大限度地减少错误配置、实施最低权限访问和消除过度配置来确保身份环境的安全。

通过优先考虑可见性，组织可以根据对其身份环境的深入了解采取主动和协调的补救措施。打破安全团队之间的孤岛可促进协作，从而产生提供安全且面向未来的补救措施的全面解决方案。

7.3.2 身份安全态势管理 （ISPM）

身份安全态势管理 （ISPM） 已成为企业的关键方法。ISPM 是一个主动框架，旨在增强和维护组织身份基础设施的安全态势，防止违规和未经授权的访问。它涉及对整个数字生态系统中的身份、访问权限和身份验证流程的持续监控和分析。

与云安全态势管理 （CSPM） 类似，但在身份环境中，ISPM 主动识别漏洞并最大限度地减少人类和非人类身份的身份攻击面。由于担心噪音和误报，客户会优先解决已知的安全漏洞，过度普遍的威胁检测。来自可见性组件的见解应推动采取行动来纠正态势问题并加强对身份风险的防御。示例案例研究：防止特权过高的访问 医疗保健提供商检测到超过 5,000 个特权过高的帐户可以访问敏感的患者数据。在部署身份态势管理解决方案后，它将过多的权限减少了 70%，从而降低了内部威胁的风险。

7.3.3 组织应如何解决身份、态势和卫生问题

身份安全态势管理 （ISPM） 为组织提供了一种系统化的方法，以持续评估、管理和修复身份风险。这可确保在安全漏洞被利用之前主动解决这些漏洞。通过将 ISPM 集成到其身份安全策略中，组织可以自动进行访问审查、实施最低权限策略、检测错误配置并消除身份蔓延。ISPM 加强了身份验证控制，监控非人类身份，并实施了基于风险的访问策略，最终减少了攻击面并改善了整体安全状况。

有了 ISPM，组织可以有效应对以下身份卫生挑战：

1. 检测并修复身份错误配置：ISPM 解决方案可帮助安全团队主动检测和修复可能导致意外权限提升或横向移动的身份错误配置。这包括识别配置错误的 IAM 角色、过于宽松的策略以及授予过多访问权限的通配符权限。除非明确要求，否则组织应实施网络分段策略，以防止未经授权的身份访问敏感资产。定期 IAM 审计会在漏洞利用之前发现潜在的弱点。
2. 严格执行多重身份验证 （MFA）：对于所有特权账户和外部账户以及转向实施更强大的身份验证流程的公司，强制进行 MFA 至关重要。网络犯罪分子不断利用弱凭据或被盗凭据，使 MFA 成为防止未经授权访问的重要保护措施。组织应超越传统的 MFA 实施，并尽可能采用无密码身份验证，以减少基于网络钓鱼的凭据盗窃的攻击面。随着攻击者改进其策略，应优先考虑考虑基于风险的信号的自适应身份验证机制。
3. 最小权限原则 （PoLP）：组织加强其身份安全态势的最有效方法之一是实施最低权限原则 （PoLP）。身份蔓延和权限过高的账户使组织容易受到权限提升攻击。安全团队必须确保每个身份（人类或非人类）都只具有执行其功能所需的必要权限，仅此而已。实施 Just-in-Time （JIT） 访问可进一步最大限度地减少长期特权，从而降低持续过度暴露的风险。应利用动态访问控制框架，例如基于角色的访问控制 （RBAC） 和基于属性的访问控制 （ABAC），根据上下文信号而不是静态权利来授予权限。
4. 管理、监控和减少身份蔓延：未经检查的身份蔓延会导致数千个不必要或重复的帐户，从而增加攻击面。为了降低这种风险，企业应主动合并重复账户，删除未使用的角色，并停用非活动身份。自动化工具应持续扫描和标记过度配置的账户，确保随着业务需求的发展，访问受到严格控制。

ISPM 的案例研究结果：框架控制映射到以下框架

1. NIST 它可以链接到 NIST AC-2（3）（d） 以禁用未使用的帐户，或链接到 AC-2（11）、AC-6-7 以删除未使用的权限
2. 还有其他围绕 SOX |SOC2 系列 |PCI-DSS 技术 |ISO 27001 认证 |顺式

Okta ISPM 由其收购的 Spera 提供支持，在 解决 ISPM 合规性问题方面拥有强大的资源和能力。

保护和补救

横向移动案例研究

71% 的勒索软件攻击利用凭据访问策略，超过 80% 的网络攻击涉及凭据泄露。这使得横向移动成为一种常见的攻击方法，突出了攻击者如何利用被盗的身份在网络中移动而不被发现。

即使拥有可见性和强大的身份卫生，攻击者也会不断改进他们的技术，以绕过安全控制并破坏企业内部的身份。这凸显了持续监控身份及其活动的重要性，因为行为监控和异常检测可实现早期威胁识别。这些信号可帮助管理员及早发现潜在的危害，并在出现可疑模式时触发警报。

横向移动已成为网络攻击中使用最广泛的技术之一。此方法使攻击者能够将局部漏洞升级为全面的组织入侵。为了解决这个问题，企业必须实施分层保护机制。本报告重点介绍现代身份保护的两项主要技术：

1. 身份威胁检测和响应 （ITDR）
2. 利用蜜标的欺骗性技术

8.1 身份威胁检测和响应 （ITDR）

现实情况是，端点检测和响应 （EDR）、特权访问管理 （PAM） 和网络分段等传统安全解决方案无法阻止横向移动。这些解决方案要么缺乏对身份验证活动的可见性，要么只保护特权帐户，从而使标准用户帐户容易受到攻击。此外，Active Directory （AD） 本身就信任有效的凭据，因此无法区分合法用户和使用被盗凭据的攻击者。这一基本限制使组织面临基于身份的威胁。

进入 ITDR。ITDR 通过持续监控身份验证请求、检测用户行为异常、实施实时多因素身份验证 （MFA） 验证以及在攻击者转向其他资源之前阻止未经授权的访问，直接解决这些盲点。ITDR 解决方案分析用户行为异常、身份验证协议更改和外部风险信号，以检测身份威胁。一些解决方案利用 IPC、TTP、MIT&RE 框架和风险分析来区分正常活动和恶意活动。通过与 IAM 基础设施原生集成，ITDR 直接与 IAM 集成，并在授予访问权限之前主动阻止威胁。ITDR 确保对所有身份验证协议的全面保护，包括 PsExec 和 Remote PowerShell 等命令行访问工具，这些工具经常被滥用于横向移动。鉴于 240 亿个泄露的凭据在暗网上流通，主动实时检测和中断横向移动攻击不再是可有可无的，而是强大的身份安全策略的必要条件。

此外，MFA 和 ITDR 协同工作以增强安全性。强大的 MFA 由态势和卫生解决方案提供支持，使 ITDR 能够自动验证访问尝试，最大限度地减少误报并减少 SecOps 工作负载。借助 MFA，ITDR 可以实时阻止身份威胁，确保仅允许经过验证的访问尝试。

在选择身份威胁检测和响应 （ITDR） 解决方案时，组织必须评估其覆盖范围、检测准确性和响应能力。有效的 ITDR 平台应与所有身份和访问管理 （IAM） 解决方案无缝集成，无论是在本地还是在云中，确保跨 Active Directory （AD）、云身份提供商 （IdP）、VPN 和 SaaS 应用程序的全面保护。它必须准确识别广泛的身份威胁，包括凭据盗窃、横向移动和权限提升，同时提供实时缓解，而不是仅仅依赖被动警报。

实时威胁检测利用机器学习和异常检测来识别异常的身份验证模式，例如不可能的旅行登录、撞库攻击和混合环境中未经授权的横向移动。高特权帐户的行为分析通过持续监控特权用户会话和实施基于风险的条件访问控制来进一步增强安全性。

8.2 欺骗性技术和 ITDR

蜜标和蜜糖账户等欺骗性技术通过提供与身份相关的攻击的早期检测，在身份威胁检测和响应 （ITDR） 中发挥着关键作用。企业利用欺骗来保护本地和多云环境中的身份，从而解决传统 ITDR 方法中的关键差距。

传统的检测方法难以区分合法和恶意使用有效帐户，从而在 Active Directory （AD） 日志、域控制器和端点检测响应 （EDR） 系统中留下盲点。攻击者经常利用被盗的凭据，包括 SAML/JWT 令牌和 Kerberoasting 等离线攻击，以及绕过传统安全措施的新兴零日身份威胁。通过在凭证缓存中部署欺骗性身份并创建蜂蜜帐户，组织可以引诱对手透露他们的存在，而无需仅仅依赖日志关联。

美国国家安全局 （NSA） 和五眼联盟 （Five Eyes） 情报机构建议将蜜标作为检测 AD 泄露的有效策略，因为它们提供了未经授权访问的有力指标。像 Acalvio 的 Identity Protection 这样的供应商通过部署对攻击者仍然有吸引力的蜜标来增强 ITDR，同时与安全运营无缝集成。这种方法从 AD 扩展到多云环境，其中身份仍然是主要攻击媒介。基于云的攻击者越来越多地利用 IAM 错误配置、基于 API 的攻击和权限提升技术来获得未经授权的访问。

越来越多的企业正在部署蜜标陷阱以及他们的 ITDR 解决方案。云环境中的蜜标（包括 IAM 角色和欺骗性访问密钥）通过在攻击升级之前提醒安全团队未经授权的活动来提供实时威胁情报。例如，CrowdStrike 与 Acalvio 合作，通过将传统检测方法与欺骗技术相结合的纵深防御策略实现全面的 ITDR。他们的自主欺骗农场简化了大规模部署，保护了具有数千个端点和复杂身份环境的企业。一个真实的案例研究强调了蜜标如何暴露了试图纵用户配置脚本的恶意内部人员，这种攻击绕过了其他安全控制，但立即通过欺骗检测到。

8.3 修复功能

有效的补救是身份保护的关键组成部分，可确保检测到的威胁不会升级为全面的安全漏洞。

补救是安全流程中最后也是最重要的一步，包括可见性、态势和保护。所有身份安全技术都应包含强大的修复功能。检测到身份泄露后，自动事件响应机制应立即采取行动，例如锁定被盗用账户，通过 MFA 触发升级身份验证，以及与 SOC 和 SIEM 平台集成以进行威胁关联和响应编排。对于 ITDR 供应商来说，向 SIEM 或数据湖发送警报通常被视为赌注。此外，取证分析和事件后报告通过提供详细的审计日志，使安全团队能够调查攻击模式并主动缓解未来风险，从而在加强身份安全方面发挥着关键作用。

例如，在实际的 ITDR 部署中，一家金融机构的安全系统在凌晨 5 点检测到来自外部位置的未经授权的管理员登录尝试。ITDR 平台立即标记了异常情况，触发了自动帐户锁定，并强制执行 MFA 重新身份验证，从而有效防止了权限提升攻击。如前所述，有效 ITDR 响应的其他关键方面包括自动威胁遏制和安全态势调整。在检测到可疑的身份验证尝试后，ITDR 解决方案必须立即通过会话终止、通用注销和权限撤销等机制来破坏主动身份威胁。本案例重点介绍了 ITDR 的实时监控、自动化和身份分析如何使组织能够在基于身份的攻击升级之前主动阻止这些攻击。

除了立即缓解之外，ITDR 还通过将威胁情报反馈到身份卫生和风险管理实践中来增强长期安全态势。它使组织能够通过撤销过多的权限、调整基于角色的访问以及确保持续的身份监控来减少 IAM 攻击面。

8.4 Identity Attack Surface 代表供应商

8.4.1 可见性和姿态

• Hydden
• Axiad
• Silverfort

8.4.2 保护和补救

• Silverfort
• Authmind
• SlashID
• Acalvio

注意：这不是一个完整的整体列表，其中包含提供相邻解决方案的数百家供应商，而是选择了一些供应商作为代表性供应商。

9.代表性供应商：姿势和保护平台

10.Silverfort 高级姿势和保护平台

随着基于身份的攻击激增，对实时可见性、自适应身份验证和自动实施的需求从未如此强烈。Silverfort 建立了坚实的基础，帮助企业跨不同堆栈实时保护其 IAM 基础设施，但主要是在 Active Directory 中，并通过多因素身份验证实现及时实施，以防止未经授权的访问。

多年来，他们进一步将平台从威胁检测和响应扩展到多个领域，包括无代理通用 MFA和权限访问管理 （PAM）。他们平台的下一次迭代是利用他们的优势，在组织的整个身份基础设施中扩展实时可见性、基于风险的身份验证和动态策略实施。他们已成功扩展到 ISPM 类别，以强调对静态风险的发现和持续发现。由于 Silverfort 直接集成到 IAM 基础设施中，因此他们可以查看每一次身份验证，为 ISPM 创建完整的可见性基础，更具体地说，是身份威胁暴露管理。这自然补充了他们的 ITDR 实时功能。

传统的 IAM 解决方案通常止步于身份验证，使安全团队只能看到，但没有真正的执行能力。Silverfort 通过主动阻止有风险的身份验证尝试并在身份层实施安全控制来改变这一点。安全团队可以：

• 自动对高风险身份（员工、非人类、特权等）应用多重身份验证 （MFA）。
• 在不安全的身份验证请求到达关键系统之前阻止它们。
• 根据实时风险评估和行为指标限制访问

Silverfort 的平台支持自定义策略驱动的实施，允许安全团队根据权限级别或风险用户行为有选择地应用 MFA。

Rezonate 如何将 Silverfort 的业务范围扩展到云 IAM

Silverfort 长期以来一直在本地 AD 帐户方面表现出色，并为云身份构建了一些良好的功能。混合环境会产生身份碎片化，而传统的 IAM 解决方案难以解决所有这些问题。借助 Rezonate 的云原生身份功能，Silverfort 现在将其可见性、监控和实时实施模型扩展到多云环境、SaaS 应用程序和混合 IAM 生态系统中，从而消除任何盲点。这适用于人类和非人类身份 （NHI）。

Silverfort（由 Rezonate 提供支持）使安全团队能够实时检测和响应云身份威胁，在它们被利用之前识别权限提升尝试、横向移动策略和错误配置。该集成使 Silverfort 能够在每个身份验证层（无论是在本地、AWS、Google Cloud 还是 Azure）实施基于风险的策略，从而确保身份安全保持连续性和适应性。

事实证明，这种集成可以有效地阻止现实世界的身份威胁。记录中的一个值得注意的案例描述了企业如何使用 Silverfort 的拒绝访问策略（由 Rezonate 启用）来阻止试图进行的权限提升攻击。攻击者试图利用 NTLM v1 身份验证，这是攻击者通常以凭据中继攻击为目标的传统协议。Silverfort 借助 Rezonate 的云可见性，将身份验证请求与基于云的身份活动相关联，从而识别异常的权限访问行为。该平台实时实施了拒绝策略，在攻击者提升权限并在环境中横向移动之前阻止了攻击者。

Silverfort 将 ITDR 和 ISPM 融合在一起，创建了一个统一的防御层，使组织能够识别有风险的配置，同时还可以实时检测、缓解和防止身份威胁，防止它们变成全面的漏洞。这使 Silverfort 成为该市场的领导者之一，为主动身份威胁预防和态势管理的新标准铺平了道路。

11.代表性供应商

11.1 Hydden：身份识别专注于身份表面保护

Hydden 是一家新兴供应商，在增强当今现有身份解决方案中所有身份的可见性和发现方面具有强大的能力。他们通过映射整个企业中的非人类身份 （NHI） 和人类身份，专注于身份攻击面管理。Hydden 可帮助组织识别多云、本地和混合环境中的孤立帐户、配置错误的身份和安全漏洞。

该系统根据预定义的安全规则和框架（例如 NIST CSF v2.0）自动进行威胁检测和风险评分。用户可以对身份风险进行 1 到 10 级的分类，并根据历史威胁（例如密码喷洒、孤立账户）进行自定义。

11.2 风险分类和威胁评分

报告前面确定的动态风险评分对于产生结果驱动结果的成功供应商至关重要。Hydden 在分配上下文身份风险评分、根据暴露、错误配置和访问模式对身份进行分类方面表现出了令人印象深刻的能力。

这通过根据攻击可能性和影响确定安全响应的优先级来增强威胁建模功能。如果检测到异常，系统会标记可疑活动，例如未经授权的旅行登录或权限过多。Hydden 的风险引擎不仅分配威胁评分，还提供置信度和上下文关系（例如，将身份链接到 SaaS 应用程序、AD 授权和 MFA 状态）。

11.3 Hydden 和 CyberArk 合作伙伴关系

Hydden 最近与 CyberArk 就特权访问管理 （PAM） 和保险库凭证达成了合作伙伴关系。

Hydden 通过提供对整个身份攻击面的 100% 可见性来增强 CyberArk 特权访问管理器 （PAM）。通过创建统一的数据层，Hydden 持续跟踪和分析身份安全状况和威胁指标，确保每个特权身份都得到安全管理、保管和实时监控。借助 Hydden 的特权身份发现功能，CyberArk 客户可以自动检测和保管所有应该在 CyberArk Safes 中受到保护但尚未受到保护的帐户。

CyberArk Privileged Access 客户利用此分析来确保每个身份都得到安全管理，并持续监控 Hydden 的任何外部更改。此次合作的一些值得注意的事情包括：

1. 自动帐户分类 – Hydden 对特权帐户（例如，以标记为 Dual Admin Accounts 结尾的帐户）进行分类，以确定是否应对其进行保管
2. 人类和非人类可见性和映射 Hydden为每个账户提供完整的上下文和风险评分，帮助将CyberArk用户、机器账户和服务身份与其合法所有者联系起来。这也有助于简化金库决策。
3. 安全卫生和风险评估 – Hydden 识别孤立、陈旧和受损的帐户，以及没有 MFA 或过度权利的特权身份。

这种集成的突出关键优势是 Hydden 能够跨平台、系统和应用程序发现通常超出 CyberArk 标准发现范围的帐户。除了 PAM 之外，Hydden 还为 IGA、PAM 和安全平台提供了“可见性基础”。他们在多云和混合环境中构建了广泛的集成。

自动化和修复

Hydden 与自动安全响应工作流程集成，允许基于触发器的自动化（例如，根据安全违规行为自动标记和停用帐户）。该平台可自动执行身份状况管理，并提醒用户注意待处理的 MFA 设置、错误配置和可疑活动。

12.Axiad 领先的身份风险管理
Axiad Security 是一家成熟的凭证管理公司，已战略性地将其能力扩展到身份驱动风险管理 （IdRM） ——它帮助定义的一个类别。Axiad Mesh 中内置的 IdRM 使安全和身份团队能够协作管理身份风险。这种方法围绕三个核心支柱：

1. 识别与身份相关的风险
2. 量化这些风险以确定修复的优先级，
3. 强化身份识别功能，抵御当前和未来的威胁。

Axiad 的综合框架为组织提供了一种主动大规模管理身份风险的方法。有关这种方法的更深入分析，请参阅其深入的 IdRM 报告。

Axiad的Axiad Mesh解决方案已成为关键角色，它填补了身份安全态势管理（ISPM）和身份威胁检测与响应（ITDR）之间的差距。Axiad 竞争差异化的核心是其应用的风险量化和评分引擎，该引擎提供了对身份相关威胁的全面评估。

通过集成高级风险建模，该平台提供了对以下方面的见解：

• 身份泄露的爆炸范围 – 了解身份漏洞如何在系统之间传播。
• 业务影响评估 – 根据受影响的角色、权限和系统评估身份风险的重要性。

这些是身份领导者和团队在评估其身份系统的运行状况时的关键目标。此外，Axiad 还有助于识别 IDP、IGA 和 PAM 解决方案中身份访问方面的分析差距。这些功能使身份团队能够量化身份风险的实际安全影响，使企业能够从静态安全态势转变为风险优先的身份安全方法。

Axiad 以强大的可视化和风险分析能力而著称。其气泡图和控制面板视图为安全团队提供了按地理位置、业务部门和应用程序细分的身份风险的清晰、高级概览。这种实时、直观的界面使 CISO、安全分析师和身份团队能够更轻松地理解、情境化和应对身份风险。鉴于不断增长的监管和合规性要求（包括 NIST 800-63、CIS 控制、GDPR 和 SOC 2），Axiad 的风险评分模型提供了宝贵的优势，帮助企业满足治理要求，同时增强整体安全态势。

Axiad 的 IDRM 解决方案在 ISPM 的交叉点上具有独特的优势，ISPM 专注于改善身份卫生和安全态势，确保组织实施强大的身份验证机制，消除错误配置差距，并为企业提供主动的安全解决方案。

13.代表性保护和态势供应商

14.AuthMind：通过可观察性实现身份安全

AuthMind 通过以可观察性为中心的方法而不是静态规则执行来应对 ISPM 和 ITDR 的挑战。其身份访问图将网络流量与身份事件相关联，为组织提供对访问的实时上下文理解 — 不仅包括谁在访问什么，还包括他们如何访问。

这种方法使 AuthMind 能够发现身份盲点（影子资产、缺少 MFA、未经授权的本地帐户）、表面卫生问题和身份基础设施漏洞（身份泄露、暴力攻击等），并检测影子和可疑活动、安全绕过、特权访问控制违规、MFA 规避等。身份基础设施的完整上下文（发生的情况、原因以及如何管理）对于有效识别和快速修复与身份相关的风险和威胁至关重要。

凭借在 Palo Alto Networks 和 McAfee 等主要网络安全公司积累的丰富经验，AuthMind 团队强调集成网络流流量、云流流量和身份事件，将它们关联起来，以提供所有身份和访问路径的完全上下文化视图。该平台建立在底层基础设施之上，该基础设施收集大量数据并通过机器学习来丰富这些数据。

身份可观测性是核心支柱

身份可观察性是通过监控跨网络、云和 SaaS 应用程序的访问流，围绕跟踪谁在访问什么、何时以及如何构建的。AuthMind 不再仅仅依赖日志和预设策略，而是围绕分析访问路径构建了他们的架构，显示用户是否绕过了 MFA、避免了 VPN 控制或以不寻常的方式访问了资产。该平台具有身份访问流图，可持续分析人类、机器、托管和非托管身份的访问路径。通过关联网络、身份和云事件，AuthMind 提供了对传统 IAM 和安全工具经常错过的身份行为的实时洞察。其专利技术（美国专利 11,895,144 B2）进一步验证了其强大的访问图功能，该技术涵盖了连续身份访问流映射。

解决“盲点”

大多数组织都有影子身份、孤立账户和非托管凭证，这会在其安全状况中造成重大盲点。AuthMind 的 ISPM 会自动识别并修复这些隐藏的风险，检测权限提升尝试、配置错误的 MFA 策略和未经授权的服务账户使用。

AuthMind 不仅仅是记录登录事件，它们还说明了身份采取的实际作顺序，帮助团队了解威胁是如何出现的。这也使机器学习模型能够分析随时间变化的访问趋势，检测人类与非人类身份行为的异常情况。AuthMind 提供了身份状况、卫生和威胁的整体视图。通过将可观测性、安全态势管理和威胁检测集成到单个平台中，消除了对孤立身份安全工具的需求。

AuthMind 的可观察性优先方法令人信服。真正的考验将是企业是否认识到可观测性是身份安全的重要组成部分。最终，该平台旨在消除身份盲点，并在所有身份中提供更深入的情境化可见性。

该平台与主要身份提供商（Okta、Active Directory、Ping、OneLogin）、SIEM 解决方案（Splunk、IBM QRadar、Exabeam）、网络安全工具（Zscaler、SASE、VPN）和端点安全平台（CrowdStrike、SentinelOne）集成。一个值得注意的成功案例涉及一家拥有数千名员工的大型北美环境服务提供商，该提供商面临着关键的身份安全挑战，包括影子访问、MFA 不一致、非托管 SaaS 应用程序以及针对 Active Directory 管理员的持续枚举攻击。通过部署 AuthMind 平台，该公司实现了企业范围的可观察性，识别了数千个 MFA 错误配置，检测并阻止了实时身份威胁，并保护了 300 多个高风险用户身份。AuthMind 在 2022 年被公认为 Gartner Cool Vendor，并继续扩大其作为关键身份安全解决方案提供商的影响力。

14.代表性保护供应商

14.1 Acalvio Security：使用 Honey Token 进行主动检测

Acalvio 的创新在于其能够动态、大规模地创建和部署蜂蜜代币。这些虚假凭证、服务账户和访问密钥旨在看起来与组织身份生态系统中的真实资产没有区别。它们的目的很简单：当它们被访问或交互时，它们会立即发出恶意信号。

14.1.1 这个怎么运作：

1. 自动蜂蜜令牌部署：使用 AI 驱动的自动化，Acalvio 生成针对组织独特环境量身定制的蜂蜜令牌。这些令牌模拟真实账户，遵守特定于目标系统的命名约定和属性，无论是 Active Directory （AD） 还是 AWS IAM 或 Azure AD 等云身份平台。
2. 跨身份层的放置：
   1. AD 和本地：创建虚假服务帐户、影子管理员和特权用户配置文件来诱捕利用 AD 漏洞的攻击者。
   2. 终端节点：令牌嵌入在 Windows RDP、浏览器会话和身份验证保管库等凭据缓存中。
   3. Cloud Identity 系统：在 AWS、Azure 和 GCP 环境中部署欺骗性的 IAM 用户、角色和 API 密钥，以检测未经授权的云活动。
3. 高保真警报：与这些令牌的任何交互都会触发即时、可作的警报，从而消除误报的噪音。安全团队可以自信地做出响应，因为他们知道警报是恶意活动的信号。

14.1.2 个案研究

例如，Acalvio 帮助一家大型企业挫败了内部威胁。一名流氓 IAM 团队成员利用合法访问权限，使用 Provisioning Server 禁用 Active Directory 中的用户账户。尽管采用了 PAM、EDR 和 AD 日志分析等传统安全工具，但该组织未能检测到恶意活动。

然而，Acalvio 的欺骗平台在 AD 内部植入了蜂蜜代币。当流氓内部人员试图禁用其中一个欺骗性帐户时，会触发警报，使组织能够在发生重大损害之前拦截攻击。这种主动检测不仅防止了潜在的灾难，而且凸显了传统安全方法中的重大差距。

14.1.3 集成

Acalvio 通过与 CrowdStrike 和 Microsoft 的战略合作伙伴关系进一步取得成功：

• CrowdStrike Falcon 身份保护：Honey 代币警报无缝集成到 CrowdStrike 的控制台中，无需额外的代理或软件部署。这种合作关系可确保快速采用和简化检测。
• Microsoft Defender for Identity （MDI）：同样，Acalvio 与 MDI 集成，自动创建蜂蜜令牌并在 Microsoft 的本机安全工具中启用检测。

这些集成使欺骗技术易于访问，从而减少了企业的运营开销，并使安全团队能够在其现有的管理控制台中接收高保真警报。认识到向云原生环境的转变，Acalvio 还扩展了其蜂蜜令牌方法以保护多云身份系统。

14.1.4 为什么欺骗对身份安全很重要

欺骗技术具有明显的优势：它不依赖于攻击者策略或技术的先验知识。相反，它以攻击者的目标为目标 — 使用旨在暴露恶意意图的陷阱。在攻击者利用 DeepSeek 等生成式 AI 开发新技术的时代，欺骗提供了一个先发制人的安全层，是对传统检测方法的补充。

正如 NSA 和 Gartner 研究所强调的那样，欺骗不再是可有可无的，它是现代安全堆栈的关键组成部分，也是身份威胁检测和响应 （ITDR） 的重要支柱。Acalvio 的蜂蜜令牌方法提供了一种主动、可扩展且高保真的方法来保护身份攻击面。传统的防御措施（例如基于日志的检测和网络流量检查）无法抵御复杂的身份攻击。Kerberoasting 或 Silver Ticket 漏洞利用等离线攻击在 SIEM 工具的可见性之外运行，而内部威胁（披着合法权限的外衣）绕过了基于异常的检测。

16.SlashID
SlashID 是该市场上最早的供应商之一，它提供了一些最强大的功能来保护身份攻击面，特别是通过对非人类身份 （NHI） 的态势管理和实时威胁检测。该平台提供对人类和机器身份的可见性，尤其适用于云环境。

SlashID 旨在识别安全态势问题和出现的活跃威胁，持续流式传输与身份相关的日志和事件数据，以检测不断展开的威胁。通过利用 AI 驱动的异常检测，该平台可以识别可疑活动，例如未经授权的权限提升、跨云环境的横向移动以及 NHI 滥用。

通过集中式控制面板，SlashID 提供跨环境可见性，允许安全团队跨多个云提供商和身份提供商 （IdP） 管理身份并监控安全事件。其可定制的策略框架和修复 API 围绕安全检测和自动响应而设计，从而缩短了检测和修复的平均时间。此外，SlashID 的架构使用源自硬件安全模块 （HSM） 支持的主服务器的唯一密钥加密用户信息，从而防止敏感数据的大规模泄露，从而确保强大的数据保护。

SlashID 的可自定义检测框架映射到 MITRE ATT&CK 框架，使组织能够根据其风险承受能力和合规性要求微调安全规则。该平台与 SIEM 和 SOAR 解决方案无缝集成，确保安全团队收到高保真警报，而不会产生过多的噪音。通过主动实时监控和检测基于身份的威胁，SlashID 帮助企业在漏洞升级之前缓解漏洞，使其成为现代 ITDR 策略的重要组成部分。

主要功能：

1. 强调实时：SlashID 提供实时事件流、态势管理和自动修复，使组织能够检测和缓解基于身份的威胁。该平台持续实时流式传输身份事件日志，在异常发生时进行检测，并为跨云提供商、IdP 和本地基础设施监控身份提供跨环境可见性。SlashID 的行为异常检测功能持续监控身份使用模式，以检测可能表明凭据泄露或权限提升尝试的偏差。虽然处于早期阶段，但自动化威胁响应有一些很好的功能可以实施实时修复工作流程，例如会话终止、强制 MFA 重新身份验证或动态访问限制。
2. 身份态势管理和合规对齐：SlashID有效地识别了可能被攻击者利用的错误配置、过多权限和休眠账户，这些攻击者将安全风险映射到合规框架。
3. 保护非人类身份 （NHI）：SlashID 将保护范围从人类用户扩展到 API 密钥、服务账户和机器身份，从而降低与自动化流程和 CI/CD 管道相关的风险。它们可以检测未经授权的 API 令牌滥用，防止攻击者利用泄露的凭据在云环境中横向移动。
4. 自适应访问控制和零信任集成：SlashID 根据风险评分实施自适应访问策略，在检测到异常时强制重新进行身份验证或撤销访问权限。其风险评分功能持续评估身份状况、行为偏差和外部威胁情报，并帮助区分正常活动和可疑活动。权限过多、异常登录模式、权限提升和凭据泄露等指标会动态调整风险评分，触发自适应安全措施，最终确保立即检测到威胁。

17.附录：（I）
相邻的竞争格局

这是一个市场地图生态系统，它探索了更多在整个生态系统中提供相似和相邻功能的供应商。

18.附录：（II）
荣誉提名：

Okta 的身份安全态势管理 （ISPM）：Okta 于 2023 年 12 月收购了 Spera Security，增强了其 ISPM 能力，提供了一种主动的方法来保护身份攻击面。ISPM 被定位为 IGA 和 PAM 等 IAM 组件之上的一层，专注于在泄露发生之前降低与身份相关的风险。Okta 的 ISPM 的一个关键区别在于其对人类和 NHI 的统一方法，提供了对 API 密钥安全、服务账户治理和非人类身份风险的可见性。通过整合 Spera 的见解，Okta 的 ISPM 现在从身份提供商扩展到 SaaS 应用程序和云基础设施，例如 AWS、Salesforce 和 GitHub，帮助组织有效地检测和修复安全漏洞。Okta 的 ISPM 将自己定位为身份安全的重要层，在访问管理、态势洞察和基于风险的补救方面提供多层防御功能。

JumpCloud 获取了堆栈身份：JumpCloud 对 Stack Identity 的收购标志着其 ITDR 和 ISPM 能力的显著扩展。Stack Identity 的平台最初集成了 ITDR、ISPM、CIEM 和 SaaS 权利，持续监控因身份、凭证和未经授权的权限泄露而引起的数据风险和漏洞。一个关键功能是其动态发现和清单功能，该功能可自动检测和映射云数据存储，实时识别身份、访问和应用程序连接。通过集成 Stack Identity 的高级数据分析技术，JumpCloud 增强了其检测不受监控和未经授权的访问路径的能力，这是传统 IAM 解决方案中的一个关键差距。此次收购还加快了 JumpCloud 处理和处理数十亿个身份信号的能力，确保组织能够在与身份相关的威胁升级之前主动缓解这些威胁。

Delinea 收购了 Authomize，因为它在多平台可见性、授权跟踪和 ITDR 方面表现出色，利用基于图形的分析来检测云和 SaaS 环境中的身份威胁。此次收购主要得益于 Authomize 的广泛覆盖范围，尤其是在 Active Directory 方面，这是支持与多个身份提供商集成以识别错误配置并自动修复的核心优势。Delinea 专注于特权访问安全、保险库和行为监控，以确保对特权账户的适当管理，而 Authomize 则通过改进保险库流程和实施安全态势来增强 Delinea 的能力。与 Delinea 的 PAM 功能保持一致，增强了安全凭证存储和自动化权限控制。最终，Authomize 为 Delinea 的可见性和检测改进做出了重大贡献。

19.附录：（三）
ISPM 与 IGA：它与 IGA 有何不同？

许多行业从业者都熟悉 IGA。IGA 工作的一些关键组成部分。

结论：身份攻击面管理的未来
随着数字环境的持续扩展，身份已经成为网络安全的核心边界。非人类身份的广泛使用、多云环境的日益复杂化以及基于身份的攻击的快速演变，都要求企业采用一种更全面、更主动的安全策略。

本报告指出，可见性、ISPM（身份安全与配置管理）和ITDR（身份威胁检测与响应）共同构成了弹性身份安全策略的基础。其中，可见性是组织对其身份攻击面进行深入了解的基础；ISPM通过实施适当的安全措施，最大限度地降低潜在风险；而ITDR则提供实时检测与响应能力，以应对不断变化的威胁。三者协同构建了一个强大的防御体系，能够有效抵御现代身份驱动的威胁。

展望未来，企业必须借助自动化技术、AI驱动的分析以及持续的身份监控，以保持领先地位并抵御攻击者。身份安全不再仅仅是IT部门的职责，更是一项影响法规合规性、运营韧性与信任关系的业务关键任务。通过优先管理身份攻击面，企业能够显著降低身份泄露、特权滥用和供应链攻击的风险，确保其最重要的资产——身份在日益互联的环境中保持安全。

原文链接：

https://softwareanalyst.substack.com/p/securing-the-identity-attack-surface

声明：本文来自安全喵喵站，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。