Indeed Identity
Threat Detection and Response

• Linux (Debian 12 с установленным Docker v23)

• Kerberos (поддерживается)
• LDAP (bind) (поддерживается)
• LDAPS (1 квартал 2026)
• NTLM (1 квартал 2026)

• Active Directory (поддерживается (Windows Server 2012R2 и новее))
• РЕД АДМ (3 квартал 2026)
• FreeIPA (3 квартал 2026)
• Мультидоменная система (поддерживается* (в рамках поддерживаемых доменов))

• Push-уведомление (Indeed MFA) (Поддерживаетcя)

• Weak Encryption (поддерживается)
• Kerberoasting (поддерживается)
• AS-REP Roasting (поддерживается)
• Password Spraying (поддерживается)
• Delegation Abuse (поддерживается)
• Pass-the-ticket (поддерживается)
• Golden Ticket (поддерживается)
• Diamond Ticket (поддерживается)
• Sapphire Ticket (поддерживается)
• User Enumeration (поддерживается)
• RPC Coercion (1 квартал 2026)
• NTLM Relay (1 квартал 2026)

ITDR (Identity Threat Detection and Response) — это новое поколение продуктов для защиты айдентити. Под айдентити мы понимаем компоненты ИТ-инфраструктуры, которые реализуют аутентификацию, авторизацию, контроль доступа и управление учетными данными.

Продукты класса ITDR объединяют внутри себя различные способы защиты: MFA, минимизацию разрешений, аудит небезопасных конфигураций домена, обнаружение атак на учетные данные. Кроме этого, ITDR интегрирует эти технологии защиты с процессами ИБ и предоставляет отделу ИБ данные об используемых учетных записях, сервисах, протоколах и обнаруженных аномалиях.

ITDR внедряют в инфраструктуру с целью:

• реализовать MFA;
• защитить данные от утечек в корпоративной сети;
• повысить общий уровень безопасности системы;
• улучшить взаимодействие отделов ИТ и ИБ.

Indeed ITDR реализует MFA на основе перехвата трафика, поступающего на контроллеры домена. Подход Identity Security позволяет внедрять MFA для сложных сценариев:

• вход в домен с некорпоративных устройств;
• доступ к общим папкам;
• доменная аутентификация в традиционный десктоп-приложениях.

Традиционные решения MFA — агентские. В такой реализации обнаружение и блокирование запроса доступа происходит на рабочей станции или на сервере приложений. Если агент не установлен на сервере или удален, доступ будет предоставлен без подтверждения MFA. Внедрение агентского MFA требует дополнительных действий со стороны инфраструктурной команды для каждого устройства или приложения, и поэтому сохраняет риски несанкционированного доступа.

Indeed ITDR перехватывает трафик, поступающий на контроллеры домена со стороны пользователей и приложений, и приостанавливает процесс аутентификации до подтверждения дополнительного фактора. Таким образом, при помощи ITDR можно реализовать MFA для любых сценариев с использованием доменной аутентификации, без необходимости установки дополнительного ПО на рабочие станции пользователей или серверы приложений.

Взаимодействие между контроллерами домена Active Directory и другими серверами всегда происходит по одному из трех протоколов: Kerberos, LDAP и NTLM (MS-NRPC). В результате защита всех сценариев, где аутентификация происходит с использованием доменной учетной записи, сводится к обработке трафика, связанного с этими тремя протоколами.

Стоимость лицензии Indeed ITDR зависит от двух факторов:

• общего количества пользователей в компании (числа учетных записей в каталоге);
• количества пользователей, использующих MFA (числа настроенных MFA-аутентификаторов).

Способ подсчета числа учетных записей в каталоге определяется индивидуально. Учитываются особенности жизненного цикла учетных записей в конкретной организации.

Indeed ITDR устанавливается на отдельные виртуальные машины в виде контейнеров Docker.В текущей версии в качестве хостовой операционной системы можно использовать в том числе отечественные OC. Тестирование таких конфигураций запланировано на 2027 год — пока возможны ограничения, которые потребуют дополнительных действий со стороны администратора.

Для хранения данных применяются СУБД PostgreSQL и Redis, которые также могут быть развернуты на импортозамещенных платформах.

При этом базовые образы контейнеров фиксированы на стороне решения и не изменяются пользователем — используются Alpine и Debian 12. Их замена является обязательным требованием для получения сертификата ФСТЭК, но требует существенной доработки продукта.

Работы по портированию продукта на сертифицированные базовые образы и использование сертифицированных СУБД планируются на 2027 год.

Пока нет. Для получения сертификата соответствия ФСТЭК нам нужно портировать продукт на сертифицированные базовые образы контейнеров, выполнить адаптацию и тестирование для работы с сертифицированными ОС и СУБД. Эти работы запланированы на 2027 год.

Indeed ITDR совместим с доменами Active Directory с функциональным уровнем Windows Server 2012R2 и выше. Он может работать в инфраструктурах с несколькими доменами и несколькими лесами доменов.

Продукт основан на перехвате трафика, поэтому может интегрироваться с доменами на Linux: FreeIPA, ALD Pro, Samba, РЕД АДМ. Тестирование показало, что несмотря на принципиальную совместимость, некоторые функции продукта требуют доработки для корректной работы.

Доработки, необходимые для полноценной поддержки доменов на Linux, запланированы на вторую половину 2026 года.

Для работы продукта требуются:

• один узел управления — Debian 12, 4 ядра, 8 Гб RAM;/li>
• по одному узлу обнаружения на каждый контроллер домена — Debian 12, 2 ядра, 4 Гб RAM;
• опционально — резервные узлы обнаружения.

Узлы обнаружения разворачиваются в тех же сегментах сети, что и контроллеры домена. Оптимально — на том же физическом хосте.

Indeed ITDR не требует установки бинарных компонентов: драйверов, фильтров или сервисов. Необходимо лишь донастроить контроллеры домена с помощью PowerShell-скрипта.

Для работы скрипта нужно добавить роль сервера Routing and Remote Access. Если роль отсутствует, скрипт установит ее автоматически. Рекомендуемый способ выполнения скрипта — через задачу по расписанию (Scheduled Task), распространяемую через групповую политику (GPO).

Indeed ITDR 2.0 обрабатывает трафик, поступающий на контроллеры домена на следующие порты:

• TCP/88 - Kerberos;
• UDP/88 - Kerberos;
• TCP/389 - LDAP;
• TCP/636 — LDAPS.

В следующих релизах список портов будет расширен:

• TCP/3268 — Global Catalog;
• TCP/3269 - Global Catalog (TLS).

Прокси-сервера в составе продукта Indeed ITDR используют прозрачный режим (Transparent mode). Это означает, что трафик возвращается на контроллер домена с сохранением исходного адреса и порта отправителя при проксировании. В логах контроллеров домена при этом отображается тот же адрес отправителя, что и без использования ITDR.

Да. Проксирование зашифрованного трафика выполняется в режиме подмены сертификата — для использования LDAPS требуется выпустить один или несколько совместимых сертификатов и установить их в ITDR.

Indeed ITDR интегрирован с системой Indeed Key. Эта система состоит из On-premise сервера для отправки пуш-уведомлений и мобильных приложений для Android и iOS.

Начиная с версии 2.1, доступно использование Indeed Access Manager в качестве платформы MFA — это позволяет расширить уже внедренный в инфраструктуру продукт, а также использовать пуш-уведомления в Telegram.

Сейчас поддерживаются только пуш-уведомления. В следующих релизах планируется реализация OTP при помощи легковесного агента, запрашивающего код на рабочей станции — позволит использовать все варианты одноразовых паролей, доступные в Indeed Access Manager: TOTP, SMS OTP, Email OTP.

Технологических ограничений для использования USB-токенов и RFID-карт нет. Поддержка конкретных типов токенов в агенте будет добавлена по запросу.

В Indeed ITDR используется механизм кэширования подтверждений MFA (Graceful authentication), который позволяет избежать множественных повторяющихся запросов на подтверждение дополнительного фактора. В качестве критерия для кэширования в этой версии используется только учетная запись, с которой запрашивали доступ.

Реализована сетевая модель с перенаправлением трафика. Она не поддерживает IPv6. Расширение модели теоретически возможно, но в ближайшее время не планируется.

Indeed ITDR не перехватывает и не обрабатывает напрямую трафик, связанный с протоколом RADIUS. Тем не менее, во многих сценариях с использованием RADIUS возможна реализация MFA. Чаще всего, RADIUS-серверы не выполняют аутентификацию самостоятельно, а делегируют ее контроллеру домена при помощи другого протокола (Kerberos, LDAP или NTLM). При обработке трафика, связанного с делегированным запросом, ITDR может обнаружить такой запрос доступа и потребовать дополнительный фактор.

Indeed ITDR разбирает незашифрованную часть запросов Kerberos, которая не отличается для запросов с делегированием или FAST. Все запросы доступа будут отображаться в консоли, и для них будут применяться политики доступа и противодействия угрозам.

Поддержка дополнительных признаков, связанных с делегированием и FAST, для более детального контроля доступа запланирована на 2026 год.

В Indeed ITDR реализована шина данных, позволяющая передавать запросы доступа, факты применения правил политики и обнаруженные угрозы. В версии 2.1 возможно просмотреть перечисленные события в консоли. В течение 2026 года планируется добавить Syslog-коннектор — появится возможность направлять данные об этих событиях во внешние SIEM-системы.

Интеграция с SIEM и SOAR уже заложена в архитектуре Indeed ITDR и реализована через шину данных, позволяющую передавать запросы доступа, факты применения правил политики и обнаруженные угрозы. Сейчас эти события доступны для просмотра в консоли. Это временная реализация, которая используется как демонстрационный вариант. Впереди — финальный этап работ. В течение 2026 года мы добавим Syslog-коннектор. Появится возможность направлять данные об этих событиях во внешние SIEM-системы.