身份攻击核心在于身份认证协议的攻击

网络安全是不断变化的，但网络安全又是有规律可寻的。网络安全企业从创新技术的应用与安全方法论梳理不断探寻复杂场景和攻防趋势下的规律变化，从而推动了网络安全产业的不断进步。过去几年的时间里，网络安全体系的最大变量在于企业信息化建设的业务云化以及当前的数字化，信息系统架构的变化正在重新定义防御边界。

为解决不同场景下的网络安全问题时，安全企业会针对这些场景下的典型攻击杀伤链做出总结，并以此推出相应的产品部署在相应的环节当中，这是直接有效的一种应对方式。安全企业当然更希望找到的是一种适用性更强的技术，从而解决全场景下的攻击利用防护，现在，身份安全就是其中一项标准答案之一。

“全场景下的攻击利用最终都需要用到身份。”在主要以实战攻防技术交流的 ADconf 2023安全大会上，身处国内攻防演练一线的安全技术专家对身份做出了上述评价，也侧面验证了身份安全在未来的应用价值。

网络架构的发展将影响攻防趋势的变化，网络边界的模糊已经将身份定义为新的安全边界，这一抽象身份概念由用户的身份、用户权限所属的网络组以及可访问的资产所组成，正如任何一次攻击都可以抽象为“寻找目标-获取凭据-登录”的过程。

且当前的企业信息化体系当中涌现了大量的集权设施，比如IAM、AD、PAM、4A、vCenter、堡垒机、k8s等，这些集权设施的共同特点就是储存了大量的凭据，具有高权限与资源节点，正在成为攻击者眼中围绕着身份开展攻击的完美目标。

处于国内一线攻防演练的安全专家就指出，在攻防演练场景下，针对AD、k8s的攻击案例验证了未来的主流攻击趋势，那就是‍集权设施将会成为未来攻击者的主要集火对象，这也就意味着，集权设施保护已成未来的安全建设重点。

攻防趋势推动技术应用，国内安全企业中安网星认为，“未来，ITDR技术将是集权设施保护的标准答案。”

ITDR（Identity Threat Detection and Response,简称：ITDR）技术是一套对身份优先安全趋势定义的技术合集，其包括保护身份基础架构免受恶意攻击的工具和流程，他们可以发现和检测威胁、评估策略、响应威胁、调查潜在攻击并根据需要恢复正常操作。

中安网星是国内落地ITDR技术的领先网安企业，其推出的ITDR身份威胁检测与响应平台已适配主流应用的身份集权设施，可以为客户交付解决基于事前、事中、事后的全方位针对各类集权设施攻击的身份安全威胁。

“身份攻击的核心其实是身份认证协议的攻击。”在今年年初召开的由中安网星主办的ADconf 2023安全大会上，中安网星御守实验室负责人李帅臻从底层实战攻防层面做出了上述评价。

身份协议发展到今天，已经被广泛地应用于网络世界的方方面面。其中常见的身份认证协议有Kerberos、NTLM、LDAP、OAuth、OIDC、SAML、CAS，如在集权设施一侧，其中Kerberos、NTLM和LDAP这些协议常用于AD，OAuth、OIDC、SAML和CAS则大量应用在IAM一侧。

也就是说，针对不同的集权设施开展攻击，大量的攻击手法都可以来自于身份协议的底层。当集权设施集成更多的身份认证协议，即身份认证协议滥用将会导致其攻击面扩大，对于主流协议如Kerberos被广泛采用，其攻击面较大带来的影响也极为广泛。

上图是中安网星御守实验室梳理总结的身份认证协议的主流攻击手段，他们认为，捕获异常身份行为的一个核心要点就是对底层身份认证协议的支持，只有对协议层进行完整解析，在底层可以清晰测绘所有身份流向，这样才能对上层的异常行为做更为精准的识别与分析，这也是击败每一次攻击的底层必要条件。

显然，中安网星ITDR技术方案的落地就深度融合了由底层协议支持的多维度用户异常行为分析模型，与其它广泛应用的底层技术以及流程工具一道，为企业的集权设施提供安全加固及实时攻击检测。

中安网星此前发布一系列技术白皮书，如《ITDR-身份威胁检测与响应》、《ITDR-vSphere》、《ITDR-身份认证协议》、《ITDR- IAM》、《ITDR-Kubernetes》，全面梳理了其自身在ITDR技术栈诸多技术沉淀。

其中《ITDR－身份认证协议》白皮书就全面介绍了身份认证协议的发展、应用，以及原理和安全性分析，该白皮书分析介绍了大量技术细节，内容详实，页数近300页，充分展现了中安网星对安全生态的开放与包容。