《身份攻击向量》③：网络杀伤链与企业身份治理

身份攻击向量

    身份攻击向量会影响到任何一个与身份有关的人、应用程序、账户、密码与权限等。否则，我们就没必要写这本书了！我们需要突破传统的IT安全防护思维来考虑传统端口、协议和服务这些攻击面。身份攻击向量的风险面不仅存在于网络世界，在现实世界也同样会发生。传统的纸质通信如邮政信件，或普通电话系统仍然会成为社会工程攻击手段。

    然而，身份攻击本身相当简单。威胁行动者希望找到一种方法来攻击身份，冒充他人身份以实现自己的恶意企图。他们要做的就是从访问你的一个账户开始。如果刚好遇到了特权账户，那么从一开始就等于彻底失陷了。威胁行动者的目标是最大程度地攻击你，尽可能沿着账户链条来冒充你。换言之，他们就是想做电子冒名顶替者。威胁行动者的目标是破坏人与身份之间一对一的关系，然后破坏身份与账户关系的完整性。所以，风险面包含了破坏这些关系的各种方法。这种威胁模式既适用于物理身份，也适用于电子身份。

    一旦威胁行动者能够成功冒充你，他们就可以用你的账户进行认证（假设你的授权没有受到限制）并拥有你的身份。然后，如果攻击者能够执行你有特权执行的任务，借助其他攻击向量，他们有可能提权到管理员或root权限。因此，我们需要维护一个完整的身份和账户的映射关系，并必须知道如何把它们用在IoC中。

网络杀伤链中的身份管理控制

    运用身份治理 (IG) 方案对身份进行管理和适当的治理可以对组织的安全态势产生重大影响。为了便于理解，我们必须先从过去的错误和疏忽中吸取教训。通过回顾最近的数据泄露报告，并进行研究取证和事后分析，关于身份管理控制，我们注意到了两点。一是威胁的复杂程度在急剧增加。攻击者很执着，资金充足，锲而不舍，总能找到哪里最适合进攻。二是这些取证报告清楚地表明，身份管理的错误和薄弱环节是导致出现许多违规事件的常见原因。这些身份管理上的错误和流程上的弱点是账户控制不力——弱密码、孤儿账户、休眠账户和流氓账户——权限清单脆弱以及过度分配用户特权。这些错误和管理上的失误遍布在整个网络杀伤链中。

    网络杀伤链是洛克希德·马丁公司在20世纪90年代末提出的，通过绘制攻击路径，从头到尾记录一个典型的网络漏洞的解剖结构。在许多方面，它已经成为20多年来网络防御思维的参考模型。

    网络杀伤链方法有多种衍生形式。本书在前面介绍过一个权限攻击链。下面把这个概念进一步升华，从正式攻击阶段的视角来帮助大家更好地理解身份攻击向量出现在哪里以及有哪些缓解方式。

    图1所示为经过改造后的网络杀伤链模型，我们用它来揭示IAM系统（及其控制）的弱点一般出现在哪里。这超出了第4章中介绍的身份攻击向量的正式列表范围，主要研究被利用的基础系统和基础设施的缺陷。

图1 典型网络攻击的阶段性概述

    有了现代身份管理软件，就可以避免在典型的网络杀伤链中出现许多错误。通过IAM最佳实践，可以使用叠加治理控制来保护已知的脆弱点，并设置额外的检测功能，以提高态势感知能力。

    图2所示为目前市场上一系列增强型的IAM保护和检测功能。这些功能可以应用于整个网络杀伤链。

图2 增强型IAM保护和检测功能

身份混淆

    在这个充斥着身份攻击向量的时代，保护身份不能单打独斗。威胁行动者有很多机会利用常见的信息技术来窃取你的身份。相关内容在前面章节中已经详细介绍过了。此外，还有一种可以缓解威胁攻击的方法，名为“隐私过滤器”，它可以限制威胁行动者在账户、身份和数据之间建立关键联系，避免产生身份混淆。

    隐私过滤器通常是应用程序组件、专用软件，甚至是设备的物理附件，主要用于屏蔽你的数据并保护你的身份。在某些情况下，法律（如GDPR）会要求使用此类工具模糊用户身份，之后才允许收集性能数据和分析数据。如果隐私过滤器违反数据和身份收集的监管要求，则厂商可能会受到经济处罚，并产生一些不良影响。隐私过滤器可以保护你的身份，使其免受许多物理和电子威胁，抵御威胁行动者的攻击行为。

    根据你所在组织的要求，可以考虑应用隐私过滤器，将风险降至最低，同时满足监管的合规要求。使用隐私过滤器和其他形式的混淆技术有助于减少身份攻击向量的威胁。如果你考虑身份可能暴露的每一个地方，那么可能会有其他解决方案可以在不减少手头任务的情况下，来混淆身份的报告、管理和收集。

基于身份的威胁响应

    没有人愿意应对安全事件或攻击事件。永远也不会有一个“合适的时间”出现攻击事件。我们应该考虑的是如何在出现网络威胁攻击之前阻止它。

    真正做到第一时间防止网络攻击的发生几乎是不可能的。事实上，几乎每个组织都经常遭受安全事件的困扰。事故或威胁识别的步骤（从威胁捕获到搜索明确的IoC）已经很成熟了。不同的组织有不同的流程，不过恶意软件、身份盗用、横向移动、数据渗漏等常见事件都已经成为事后清理计划的一部分。

    如果攻击行为很严重（比如，服务器和域控制器遭到入侵），组织可能别无选择，只能从头开始重新安装整个环境。虽然这是最坏的情况，但确实会发生。在许多情况下，企业还是会选择尽可能地刷新服务器，而不是从头把系统重装一遍，这是一个基于风险、可行性和成本的业务决策。如果一种威胁使用技术手段绕开了传统的识别措施，它就会一直存在。这是一种非常糟糕的状况。如果你觉得不可能，请你回顾一下rootkit、Spectra和Meltdown等威胁的历史，它们都提供了一种持续攻击技术资源的方法。归根结底，威胁行动者的目标是身份及其相关凭据，而且往往都能成功。

    无论你的防范策略如何，可以确信的一点是，通过某种手段，威胁行动者最终会获得你的凭据以及其他信息。这意味着所有清理工作都不应重复使用连接到攻击行为的现有身份、凭据、账户、密码或相关密钥。事实上，在所有受影响或连接的资源中，轮换/重置所有凭据是最佳实践，包括那些特定事件中威胁行动者没有直接使用的凭据。

    这种情况下，IG和PAM解决方案可以在攻击或事件后大有用武之地。使用前文中提到的自动化和自助服务功能，有助于防止身份、账户、凭据和密码的重复使用。通过创建一个基于系统的方法来追踪、管理和重置访问，可以大大缩短弱化威胁所需的时间，减少对用户和业务流程的影响。

    对于新项目和遗留系统，我们应该考虑使用IAM和PAM阻止身份与特权攻击向量。在事件发生后，还要考虑对事件进行取证和补救控制，因为它可能是你的组织中最容易实施的措施，我们可以把威胁行动者与遭到恶意攻击的身份联系起来。

    因此，作为一种最安全的做法，身份和特权访问应该始终关联在一起，并作为一种综合性的解决方案使用。当威胁行动者获得了管理员或 root 凭据时，他们手里就有了进入你的管辖范围的万能钥匙。我们的目标是阻止他们获得这把钥匙，防止他们拥有被入侵的账户。