核心漏洞機制

IMDS 端點在超管理器層級處理令牌請求。由於它不需要身份驗證並繞過標準的條件式存取，它成為了一個高影響力的原始攻擊工具。

控制平面 vs. 數據平面

資安誤區與神話

• vTPM 受信任啟動： 無法防止使用者模式下的程序獲取 IMDS 令牌。
• 機密虛擬機 (Confidential VMs)： 對於已獲得客體程式碼執行權限的攻擊者，IMDS API 的存取路徑並無改變。
• 全域讀取者角色： 若無明確的 appRoleAssignments，管理識別權限無法直接呼叫 Graph API。

身分已成為現代企業的新安全邊界。身分威脅偵測與回應 (ITDR) 描述了一種用於識別和緩解身分相關威脅的網路安全框架。當攻擊者利用合法憑證入侵系統時，ITDR 旨在填補傳統防禦的漏洞。

為什麼現代安全需要 ITDR？

傳統的身分與存取管理 (IAM) 工具在策略執行和角色分配方面可能「足夠好」，但它們並非為了偵測授予存取權限後的偵測身分驅動攻擊行為而設計。攻擊者可以透過 MFA 疲勞攻擊、工作階段劫持等技術繞過多因素驗證 (MFA)。

ITDR 透過以下方式提供更細緻的可見性：

• 持續監控： 在身分提供者 (IdPs)、SaaS 應用程式和雲端控制平面上進行行為分析。
• 識別異常： 偵測帳號權限的突然變更或可能導致雲端外洩的目錄配置錯誤。
• 自動化回應： 安全團隊可以採取即時行動，例如撤銷未使用的權杖、旋轉遭破壞的憑證或停用過期帳號。

實施 ITDR 的考量因素

在實施 ITDR 之前，組織應清查所有關鍵系統、應用程式和數據集，並進行全面的風險評估。在評估解決方案時，應深入了解技術細節：

• 系統攝取何種類型的原始身分遙測數據？
• 供應商是否支援環境中所有的身分提供者？
• 是否有清晰的事件回應工作流整合？
• AI 偵測模型更新的頻率如何？