混合身份环境成为攻击焦点,AD 与 Entra ID 安全告急
对于多数企业,Active Directory (AD)是本地应用身份验证与授权的支柱,Microsoft Entra ID将信任延伸至云端和 SaaS 应用。
一旦 AD 或 Entra ID 遭到破坏,所有应用、用户、系统都会受到影响,业务瞬间停摆。
攻击者常见手法:
窃取身份凭证
提升权限
禁用防御措施
控制访问、策略、恢复
利用合法凭证潜伏
实施勒索攻击
窃取数据
中断业务
面对威胁,企业能否做到:
快速检测到身份攻击?
自动修复?
干净恢复?
防止再次入侵?
Cohesity Identity Resilience 端到端混合身份安全防护
2025年9月,Cohesity与Semperis达成战略合作,结合AI赋能的数据安全与身份安全专长,推出Cohesity Identity Resilience。Cohesity总代:科明大同
端到端混合身份安全防护:
从本地到云端,统一保护 AD 与 Entra ID,全程覆盖 攻击前、中、后。
新增 ITDR 功能,身份威胁检测与响应
2026年1月,Cohesity Identity Resilience新增由 Semperis 提供技术支持的ITDR(Identity Threat Detection and Response, 身份威胁检测与响应)功能:
漏洞评估 (Vulnerability Assessment):
基于专业的威胁情报,持续监测 AD 和 Entra ID 中的暴露指标 (IOE)、入侵指标 (IOC)。
自动回滚 (Automatic Rollback):
实时执行自动化修复操作,撤销恶意或高风险的身份变更。
防篡改追踪 (Tamperproof Tracking):
即使攻击者试图关闭或绕过安全日志,系统仍能确保所有身份变更被完整记录,无法被篡改或删除,从而保证审计和溯源的可靠性。
服务帐号保护 (Service Account Protection):
对休眠、配置错误、权限过高的服务帐号进行检测与修复。
Entra ID 变更追踪 (Entra ID Change Tracking):
近乎实时地监控角色分配、组成员变动、用户属性修改。
合规报告 (Compliance Reporting):
预置报告模板,符合 GDPR、HIPAA、PCI、SOX 等监管框架。
SIEM/SOAR 集成 (SIEM/SOAR Integrations):
与 Splunk 和 Microsoft Sentinel 无缝连接,把身份安全信息纳入企业的整体安全运营流程,帮助 SOC 团队更快发现和应对威胁。
攻击前、中、后
Cohesity Identity Resilience 保护及恢复 AD、Entra ID
ITDR 功能为企业提供一个统一的视图,了解 AD 和 Entra ID 的安全漏洞:
攻击前:
持续检测:持续检查身份安全态势,检测错误配置,标记风险变更。即使安全日志被关闭、缺失、遭到恶意篡改,也能捕捉变化。
消除隐患:监测 200+ 种针对 AD 和 Entra ID 的暴露指标 (IOE),大幅缩减攻击面。
识破潜伏:揭示攻击者在混合环境中的隐蔽横向移动,确保持续可视化,阻止攻击者获取 AD 和 Entra ID 的初始访问权限。
攻击中:
自动修复:立即响应 AD 和 Entra ID 中的恶意更改,执行自动回滚,无需等待人工干预,跑赢攻击者。
实时阻断:安全团队可以创建自定义规则、警报和自动化流程,在攻击者行动时,立即将其阻止。
攻击后:
根除威胁:不仅告知“发生了什么变化”,还直指“哪里出了问题”。快速发现并清除恶意软件,确保干净恢复。
智能分析:把非结构化的 AD 和 Entra ID 数据转换为自然语言格式。轻松搜索、关联、撤销对象和属性级别的 AD 更改。
深度溯源:精确回溯至特定时间点,隔离受损的 AD 帐号,切断二次攻击路径。
量化成果:恢复更快 风险更低 成本更省
相较于 部署前的初始状态 和 人工手动恢复方法,ITDR 功能带来显著改进:
AD Forest 恢复速度提升90%;
AD 攻击成功概率降低25%;
人工身份监控时间减少40%;
通过改善业务连续性和运营成本,预计可节省数百万美元。
)
)
