企业内部的身份安全

=Start=

缘由：

个人从事安全行业也已经有些年了，且绝大部分时间都是在甲方做的企业安全，这期间除了蓝军和安全合规方向没有做过，其它的方向或多或少都做过一些；各种安全书籍/文章也都有翻阅，也听过一些大佬的分享，最近事情不多的时候想就自己的理解写一下企业安全相关的内容，方便后面有机会回顾和参考。

数据是新中心；身份是新边界；行为是新控制；情报是新服务。

身份安全是网络安全的一个重要领域，它旨在确保用户的身份得到保护，防止未经授权的访问和数据泄漏等问题。

每个组织都容易受到未经管理、配置不当和暴露的身份风险的影响。随着组织依赖于越来越多的系统和应用程序，组织必须管理的身份数量急剧增加。为了支持业务，身份和认证在不断变化，这就导致了身份管理和安全方面的巨大复杂性。在一个攻击者利用身份作为重要攻击向量的时代，即使是短时间暴露特权身份也会带来重大风险。

就个人直接看到和侧面了解到的情况来看，当前国内大多数互联网企业安全团队的核心指标就2个——合规和数据安全，如果只能写1个的话就是合规，因为你只有满足合规的最低要求了，公司业务才能正常开展，否则公司没法赚钱了也不用养团队了。

但有追求的企业安全团队，肯定不会只满足于最低限度的合规要求（不是说满足合规很容易，而是想表达即便满足了各种合规要求，拿到了各种证书，也不能说你的安全做的很好了，如果只按照合规标准去做安全，就现在这样的安全环境和趋势，还是很容易出安全事故的），而是会在满足合规的基础之上，在各个方向去追求甚至是创造业界最佳实践。没那么有追求，或者换个高情商的说法是务实的企业安全团队，为了满足最低限度的合规要求，也会尽力去按照标准去做迎检，如果出现了大规模的数据泄露事件，不只是数据安全做的不好的问题，而是基本的合规也会受到影响。

虽然APT攻击中各种0day漏洞的使用很炫酷，但绝大多数企业安全出问题其实都涉及不到那些0day漏洞，事后回顾发现都是一些没那么高深的点，比如使用了存在漏洞的老版本组件/软件、错误的配置、上传到GitHub仓库中的明文密码、员工安全意识不到位导致的被钓鱼成功……。但不论攻击者前期是通过何种方式进入的内部网络/系统，现在的趋势是，攻击者为了降低被发现的风险，正越来越多的利用收集到的各种已有的身份来进行操作，所以在复杂的攻击链路当中，身份将是一个核心的链路点，更是关键的检测点与阻断点。

前面写了一堆，但基本都是废话，想写这个内容只是因为我觉得在基本的安全防护做到了一定水平之后，身份安全会越来越重要，不仅仅是在传统的网络安全方向，身份安全是后面数据安全的基础和前提。

Identities are growing in numbers and types, with the continuation of remote work, the increase in contractors and third-party relationships and the explosion of machine identities. This has led to an increase in identity-related breaches, creating business impacts to today’s enterprises. 随着远程工作的继续，承包商和第三方关系的增加以及机器身份的爆炸，身份的数量和类型都在不断增加。这导致了与身份有关的违规事件的增加，给今天的企业带来了商业影响。
Julie Smith, Executive Advisory Board Member of the IDSA

正文：

参考解答：

最直接触发我想写这个内容的点，其实是在某一天看到了身份威胁态势分析的文章，后来也专门去搜索和查阅了文章中提到的那些参考文章，然后自己也有一些想法，所以就花时间整理了一下（好久没写文章了之后发现，写缘由这个是最耗时最烦人的部分，很多时候真实的想法不适合或者说不能写出来，但是又要给编一个“合理的”说法，也是醉了）。

一、身份成为新战场

1、全球网络安全事件频发，威胁日益增多

2、教育行业成2022年网络攻击重灾区

3、身份持续增长，身份风险带来无限挑战

4、84%的公司遭受身份攻击
身份定义安全联盟的报告《2022-Trends-in-Securing-Digital-Identities》中，与身份相关的攻击仍处在不断增加的趋势之中，且影响很大。84%的人表示他们的组织在过去一年中经历>> 了与身份相关的攻击。其中最多的种类为网络钓鱼攻击（59%）、特权管理不当（36%）、凭证盗取（33%）。

5、凭据类攻击成为身份攻击的主要方式
79%的公司在2020年和2021年遭受过与身份相关的攻击活动，这一数字在2022年上升到84%，基于身份相关的攻击仍在增加。攻击者可能会利用网络钓鱼和使用泄露的证书。因为有了这些凭证，就可以利用已有的访问权限绕过限制，窃取数据，部署勒索软件或采取其他恶意行动。

《IBM Security X-Force Threat Intelligence Index 2023》报告显示，2022年影响最大的几类威胁行为，勒索行为以21%的占比暂居第一，数据窃取以19%的占比紧随其后，凭据收集和数据泄漏各占11%。

《2022-data-breach-investigations-report-dbir》报告也显示，有4类攻击方式通常被用来入侵目标组织的资产：凭据，网络钓鱼，漏洞利用和僵尸网络。值得注意的是，基于凭据的攻击大约占50%，可见攻击者已经开始大量利用身份类攻击进行入侵。

6、身份验证威胁处于LMS平台的安全威胁四大类之首

Authentication threats（身份认证威胁）
Availability threats（可用性威胁）
Confidentiality threats（保密性威胁）
Integrity threats（完整性威胁）

根据国际科学与技术研究杂志的《Cyber Security Threat Analysis in Higher Education lnstitutions As A Result 0f Distance Learning》报告显示，身份认证威胁处于LMS平台的安全威胁四大类之首，其中明确表示身份验证威胁包括：使用不安全应用层协议（如HTTP）进行不安全通信，允许传输未加密的流量，活动会话管理不当、未经授权的身份验证，凭据窃取、身份认证绕过等。

7、CC服务的安全威胁五类中，身份认证威胁占据两大类

Shared Technologies Vulnerabilities（共享技术漏洞）
Data Breach（敏感数据泄露）
Account or Service Traffic Hijacking（账户或服务流量劫持）
Denial of service（拒绝服务攻击）
Malicious Insiders（恶意内部人员威胁）

同时在《Cyber Security Threat Analysis in Hiher Education lnstitutions As A Result 0f Distance Learning》报告中的CC服务的安全威胁五大类别中，身份认证威胁占据两大类别，包括：

账户或服务流量劫持：基于认证方式的攻击，例如通过劫持对密码的认证，攻击者可能会获得对用户账户的控制。

恶意内部人员威胁：例如提供云服务的公司员工。他们可以获取传统上无法访问的敏感信息。

从众多报告中的数据可见，基于身份的攻击逐渐被攻击者所重视。随着组织身份的增多，基于身份的攻击将会被应用得越来越多。

二、身份认证攻击在真实环境中具有致命的威胁

基于身份的攻击（Identity-based attacks）指的是攻击者利用受害者身份凭据（如用户名、密码、证书等）进行攻击的方式。攻击者通过获取受害者的身份凭据，可以冒充受害者的身份，从而访问受害者的敏感信息、系统、网络等资源。

微软BING源代码泄漏

2022年3月下旬，据称微软泄露了 Bing、Cortana 和其他项目的源代码，大约 37GB 。微软证实受到 Lapsus$ 黑客组织的敲诈，该组织入侵了微软的某个员工的账户，“有限访问”了项目源代码存储库。

Okta入侵事件

攻击者在2022 年 1 月入侵了 Okta 第三方支持工程师的终端，并获得了 Okta 客户数据的访问权限。虽然潜在动机和整体损失情况尚不明确，但有两件事是可以确定的：身份入侵在这些事件中占据主导作用，而受害的主流科技公司并不是此类攻击唯一的预期目标。在 Okta 事件中，Lapsus$ 明确表示，其实际目标是 Okta 的客户。

Uber攻击事件

在2022年9月，一名黑客获得了Uber一位员工的Slack（企业聊天平台）账号，并获取了该公司在亚马逊和谷歌云计算平台的访问权限。位于旧金山的Uber公司目前已经证实了这次黑客攻击。

英伟达源代码泄漏

2022年2月底，LAPSU$ 通过入侵英伟达内部服务器，导致超过 1TB 的数据泄露，并公开叫卖 RTX 30 系列显卡的挖矿限制破解算法，还要求NVIDIA 全面解除限制。Nvidia 于 2022年3月1日证实其网络在上个月遭到破坏，攻击者获得了对员工登录数据和专有信息的访问权限。

从众多报告中的数据可见，基于身份的攻击逐渐被攻击者所重视。随着组织身份的增多，基于身份的攻击将会被应用得越来越多。

身份风险无处不在。根据 2021 年 Verizon 数据泄露事件报告，凭据是数据泄露事件中最受欢迎的数据类型。The Identity Defined Security Alliance报告称，79% 的组织经历过与身份相关的安全威胁。The Identity Theft Resource Center报告称，勒索软件攻击在 2021 年翻了一番，并有望在 2022年超越网络钓鱼成为数据泄露的主要原因。

特权身份在企业组织中具有不同寻常的力量。它们可以重置密码、更改策略、安装软件以及提取或加密数据。当一个攻击者使用这些特权身份之一入侵了一个终端，它就像用作弊代码玩游戏一样——他们几乎可以做任何他们想做的事情。可利用的身份风险使攻击者能够获得初始访问权限，在网络上让他们的权限得以维持，提升他们的权限，逃避防御，并加速他们的横向移动，直到他们完全控制目标。

即使是最优秀的安全团队也无法减轻身份风险，除非他们意识到这些风险。虽然有些组织试图通过红队演习、年度审计、脚本和电子表格来评估风险，但这些都是非常不完整的，因此是无效的。与安全团队通过使用常规漏洞扫描器来管理漏洞类似，这些团队需要能够自动并连续扫描其业务中的身份风险。

未经管理的身份风险——可能表现的形式为过时的本地管理员密码，使用临时或测试管理员账户，或没有应用账户管理解决方案的本地管理员，等等。
配置不当的身份风险——错误配置的身份风险广泛体现了我们所说的”影子管理员”。正如“影子IT“是指在IT管理员未知的情况下部署IT系统。影子管理员是由具有权限的用户定义的，超出 IT 管理员的权限——这些权力可能会被用来提升权限。
对外暴露的身份风险——暴露的风险包括缓存的凭据、应用内密码存储、操作系统密码存储和断开连接的或挂起的远程桌面协议(RDP) 会话。这些数据是相当于把你的用户名和密码记录在纸上，攻击者还可以使用各种工具来转储这些特权凭据，以便可以利用它们。

2023年身份管理日益复杂的因素(Factors contributing to the growing complexity of identity management in 2023):

更多云应用的采用 Adoption of more cloud applications (52%)
远程工作 Remote work (50%)
额外的移动设备 Additional mobile devices (44%)

2023年最主要的基于身份的攻击是(The top identity-based attacks of 2023 were):

网络钓鱼 Phishing (62%)
权限/特权身份管理不足 Inadequate Management of Privileges / Privileged Identities (37%)
第三方或供应链攻击 Third-Party or Supply Chain Attack (37%)
内部攻击 Insider Attacks (22%)
中间人攻击 Man in the Middle Attack (18%)

2023年企业如何防止基于身份的攻击(How organizations could have prevented identity-based attacks in 2023):

多因素验证 Multifactor authentication (MFA) (42%)
更及时地审查敏感数据的访问权限 More timely reviews of access to sensitive data (40%)
更及时地审查特权访问 More timely reviews of privileged access (34%)

Looking toward the future, in order to address the rapidly growing number of identity-related threats, organizations should prioritize prevention through strong security measures, least privilege access, regular employee training, and monitoring privileged sessions. 展望未来，为了应对快速增长的身份相关威胁，企业应通过强有力的安全措施、最小权限访问、定期员工培训和监控特权会话来优先预防。

参考链接：

身份威胁态势分析
https://www.anquanke.com/post/id/287521

Analyzing Identity Risks (AIR) 2022 Illuminating identity risks that leave every organization vulnerable to attack
https://cvisionintl.com/library/white-papers/illusive-identity-risk-report-air-2022/

The Needle in the Needlestack: Discovering Identity Risks
https://www.theiia.org/globalassets/site/chapters/united-states/illinois/chicago/day-1—jonathan-molina—illusive-networks—identity-is-the-new-vulnerability-1.pdf

2022 TRENDS IN SECURING DIGITAL IDENTITIES
https://www.idsalliance.org/white-paper/2022-trends-in-securing-digital-identities/
https://assets.beyondtrust.com/assets/documents/2022-Trends-in-Securing-Digital-Identities.pdf

IBM Security X-Force Threat Intelligence Index 2023
https://www.ibm.com/reports/threat-intelligence
https://www.ibm.com/downloads/cas/DB4GL8YM

2022 Data Breach Investigations Report – Verizon
https://www.verizon.com/business/resources/reports/dbir/
https://www.verizon.com/business/en-gb/resources/2022-data-breach-investigations-report-dbir.pdf

网络安全的三大支柱和攻击向量
https://www.anquanke.com/post/id/280003

随着威胁的发展，身份安全成为重中之重
https://mp.weixin.qq.com/s/QDngUzuCTVJzqq40L3Iq_A

2022年的身份安全状况：基于身份的威胁、违规行为和安全最佳实践
https://www.beyondtrust.com/blog/entry/the-state-of-identity-security-identity-based-threats-breaches-security-best-practices

SSO中的身份账户不一致漏洞
https://www.anquanke.com/post/id/243938

=END=

12 7 月, 2023

Docker

KnowledgeBase, Security

IAM, ITDR, PAM, Security, 企业安全, 数据安全, 身份安全