为什么您的组织需要 PAM 和 ITDR

在现代企业环境中，身份已成为主要的攻击载体，但许多组织缺乏对谁拥有特权访问权限以及这种访问权限是否被滥用的可见性。 如果没有适当的监督，攻击者可能会利用合法凭据进行攻击，而不会触发传统的安全控制。 根据 Verizon 的《2025 年数据泄露调查报告》，大多数分析的泄露事件都涉及凭据。 组织需要特权访问管理 (PAM) 和身份威胁检测与响应 (ITDR)，因为仅仅控制访问权限是不够的；他们还必须实时检测和响应基于身份的威胁。

继续阅读以了解有关 PAM、ITDR 的更多信息，以及组织为何应将两者结合以加强应对基于身份的威胁的能力。

什么是特权访问管理 (PAM)？

特权访问管理 (PAM) 保护、控制并监控对组织最关键系统和敏感数据的访问。 它重点关注具有高级权限的特权账户，包括管理员账户和服务账户，这些账户可以在 IT 环境中进行重大更改。 这些账户是网络犯罪分子的重要目标，因为它们能直接访问敏感数据，并能在网络中实现横向移动。 特权凭据一旦泄露，攻击者就可以广泛访问组织基础设施的重要部分。 现代 PAM 解决方案的关键功能包括：

• 凭据保管：安全存储和管理特权凭据
• 机密管理：保护人类和机器凭据，包括 API 密钥
• 即时 (JIT) 访问：仅在必要时授予临时访问权限，取消常驻特权
• 最低特权访问：确保用户拥有执行任务所需的最低权限
• 会话监控与记录：跟踪并记录特权会话，以提供全面可见性和审计
• 密码轮换：自动更新凭据，防止重复使用

什么是身份威胁检测与响应 (ITDR)？

身份威胁检测与响应 (ITDR) 是一种专注于监控、检测和响应基于身份的网络威胁的安全防护层。 随着组织越来越依赖云应用程序、身份提供商 (IdP) 和身份与访问管理 (IAM) 解决方案，网络犯罪分子已开始将注意力从端点转移到身份。

虽然 IAM 解决方案可以充当预防性控制，但它们并非为检测或响应使用遭泄露身份的攻击而构建，而 ITDR 在此时就显得至关重要。 与专注于端点活动和网络遥测的传统安全工具（如端点检测与响应 (EDR) 或扩展检测与响应 (XDR)）不同，ITDR 通过分析身份验证活动和用户行为来保护身份基础设施。 现代 ITDR 的几项关键功能包括：

• 行为异常检测：识别可疑登录模式、特权升级或工作时间以外的特权活动
• 可疑活动的实时警报：在发生凭据滥用或未经授权的访问尝试等潜在威胁时发出警告
• 风险评分与身份关联：汇总身份信号以评估风险水平，并连接多个系统中的相关活动
• 自动响应补救措施：快速终止会话、撤销访问权限或锁定帐户，以阻止潜在威胁

为什么 PAM 和 ITDR 应协同工作

PAM 和 ITDR 结合使用效果最佳，因为它们同时解决了访问控制和威胁检测的问题。 由于身份是极具价值的攻击途径，组织需要这两种功能来抵御基于身份的威胁。 PAM 侧重于限制对关键系统的访问，而 ITDR 则持续监控活动；两者共同创建了全面的身份安全策略。 然而，仅依靠其中一种方法会造成严重的安全漏洞：

• 没有 ITDR，PAM 就无法实现实时威胁检测。 如果网络犯罪分子窃取了特权凭据，他们就能使用通过批准的访问权限进行操作，而不被发现。
• 如果没有 PAM，ITDR 就会生成警报，却无法采取行动。 安全团队可能会检测到可疑活动，但无法强制执行最低特权访问或阻止进一步的权限提升。

PAM 和 ITDR 结合起来还可以满足它们各自无法单独满足的合规性要求。 CMMC 需要对特权账户进行监控，并对特权活动进行详细的审计日志记录，这些功能跨越了这两个领域。 SOC 2、HIPAA 和 ISO 27001 同样要求实施细粒度的访问控制以及持续监控。 PAM 和 ITDR 可共同提供这些框架所需的审计跟踪、访问管理和实时监督。

Keeper^® 如何提供 PAM 和 ITDR 功能

Keeper 通过基于零知识架构的统一云原生平台提供 PAM 和 ITDR 功能。 保管库内容经过端到端加密，Keeper 无法访问。 经授权的管理员可查看会话记录、审计日志和行为警报，为安全团队提供全面的可见性，同时又不影响存储凭据的零知识模型。 KeeperPAM 涵盖了访问控制层：凭据保管、机密管理、JIT 访问、自动密码轮换、特权会话管理和 MFA。

对于 ITDR，KeeperAI^® 提供会话级行为分析，构建每个用户和账户的基线，并实时标记偏离预期模式的活动。Keeper 端点特权管理器将此功能扩展到端点级别，强制执行最低特权控制并监控跨协议（包括 SSH、RDP、VNC、和数据库会话）的权限提升事件。 它们共同使组织能够识别特权滥用，即使使用合法凭据时也是如此。

展望未来，Keeper 将继续通过即将推出的用户和实体行为分析 (UEBA) 来增强这些功能，扩大对基于身份的风险的可见性，并实现对异常行为的更高级检测。

借助 Keeper 提升您的身份安全策略

要确保现代组织的安全，既要控制谁或什么内容可以访问，又要控制如何使用这些访问权限。 PAM 通过强制执行细粒度的访问控制和限制凭据暴露来降低风险，而 ITDR 则提供了实时检测和响应可疑活动所需的可见性。 PAM 和 ITDR 共同创建了一种全面的安全策略，兼顾预防和检测。 Keeper 的统一身份安全平台通过将 PAM 控制与 ITDR 功能相结合，将这些功能整合起来，以保护关键系统，从而实现企业级安全防护。

立即开始免费试用 KeeperPAM，强化您的身份安全策略。