信息安全专业硕士学位，10年以上网络安全领域的工作经验；早期致力于政府部门安全攻防一线实践，曾多次参与多个部级前沿网络攻防项目的规划组织工作；目前在头部互联网公司担任安全专家，带领团队以云服务、应用和整机的软硬件安全能力和网络防护能力为体系建设目标，落地产品、技术和平台。

相比外部来源的网络攻击，内部来源的网络攻击可能会造成更频繁更深远的危害。面对已经实施基础网络安全防护的组织，一次成功的黑客活动通常需要长期的准备，资产探测、漏洞攻击、社群发现、社会工程以及后期横向扩展，这将会消耗黑客组织大量的攻击资源储备。因此，众多黑客们一旦入侵成功，极大概率会尽快实现利益最大化。这也是眼下黑客组织利用公开漏洞快速规模化攻击网络系统，并通过勒索软件攻击和数据泄露敲诈，从而获得最佳犯罪收益的首选途径。

相比而言，内部熟人作案拥有更多的便捷性，天然地对系统和资源拥有合法的访问权限，可以非常有利于数据窃取，由此造成的数据泄露是相对隐蔽的，也更难发现。内部熟人作案的情形多种多样，既有无意识的文件分享，也有有计划的数据备份，更有以窃取商业秘密为目的的企业间谍活动。内部文件、财务数据、源代码以、用户信息、交易记录以及数据存储备份等等，都有可能作为内源攻击目标。近几年，数字经济的持续发展，企业业务、风险管理以及国家合规的切入点在从数据管控到数据价值迁移，如何更好地防范网络攻击，建立数字安全体系，首要的便是将数据作为各项信息安全的中心。

从边界到网络，从应用到数据，信息安全关注点的变迁背后逻辑是，网络软件的安全设计和功能实现不断成熟，针对编码安全和应用安全的技术检测手段持续丰富，既有SAST（Static Application Security Testing，态应用程序安全测试）和DAST（Dynamic Application Security Testing，动态应用程序安全测试），又有IAST（Interactive Application Security Testing，交互式应用程序安全测试）以及SCA（Software Composition Analysis，应用程序组件成分分析），代码功能的安全风险得到显著收敛；另外网络防御产品的持续应用，后期挖掘技术漏洞难度也更高，从而导致面对技术漏洞的网络攻击付出的成本将要持续增加。

另一方面，软件系统需要承接的业务越来越多，功能设计越来越复杂，业务流程过长以及数据访问接口和访问角色的丰富，直接导致业务逻辑缺陷和数据访问鉴权问题的持续增加，而这一类问题却一直缺少低成本的检测和防御方案；与此相反，挖掘业务漏洞付出的网络攻击成本较低，却可以获得数据获取的效果显著。

不管攻击方式如何变化，达成攻击后的目标往往是一致的，也就是最大程度地窃取信息。因而，逻辑漏洞和越权漏洞已经是攻击人员开展网络攻击活动过程中相当重要的攻击向量。同时，越是深入理解其中的缘由，总是离不开主客体之间的关系，尤其是用户账号如何查询数据、如何修改数据，其用户账号作为主体与业务、与数据的相互关系，既有业务流程的错误，也有权限控制的失效。但凡任何一个复杂的网络软件只要存在一种业务漏洞可以批量获取数据的攻击途径，攻击者便会以此为攻击向量实现数据泄露的目的。其中围绕用户身份账号安全的风险就格外重要。

用户身份正成为灰黑产市场上炙手可热的商品，基于身份的攻击已经成为威胁行为者的首选渗透方法。是谁发起的网络连接，是谁在登录应用程序，发送机密电子邮件的人是否有这样做的权限，接收电子邮件的人是否有接收权限。在某种程度上，软件系统都将某种行为与某个人关联起来，并实现基于用户角色的授权模式（RBAC）和职责分离的权限设计，从而最大限度地保护对资源、功能和数据的访问。

在数字系统，需要成为数字身份的技术手段确保只有正确的人或物，在正确的时间、地点，基于正确的缘由，才能被授权访问正确的资源。访问控制的第一步就是对访问者进行认证，通常有三种方式：你具备的、你拥有的以及你知道的；同时，组合使用这三种认证因素的两种，便是如今多因素认证方案。

为了更好满足企业对于数字身份的安全与合规的需求，对单点登录、联邦身份认证、身份账号目录、多因素认证、权限管理、访问控制及行为审计等技术组件进行独立构建和部署，为各种软件系统提供统一的身份与访问管理以及特权访问管理。同时观察到，多因素身份认证（MFA）已迅速成为身份安全的常见组成部分，以缓解密码攻击对身份账号的占用。

虽然，已经有通过SIM卡交换攻击、通道劫持以及社会工程学等方式针对短信认证的攻击，但基于活体检验和计算机视觉的人脸ID仍将是金融支付、安全风控等业务场景中重要的多因素认证方式。

另一方面，随着物联网、车联网和5G技术的发展，不具备任何属性的机器数字身份也将有别于对人的认证，成为新的身份攻击对象。在身份盗用频发、身份管理不完善的现状下，身份攻击也必然在数据安全风险清单中占有一席之地。

异地登录IP、客户诈骗投诉以及异常用户行为，这些信号可以作为身份被攻击和入侵的失陷指标（IoC）。为了更科学地发现身份攻击，我们需要从4个方面进行分析。

在以活动目录（Active Directory）为技术组件的身份管理中，拥有账号权限的用户可以访问完整的目录及其中的个人敏感信息。在现实世界中，攻击者更多是通过社会工程、暴力破解、信息搜集、密码窃取以及后门木马的方式盗取身份凭证。在内源风险中，身份共享、监听嗅探以及中间人劫持也是潜在的攻击情形。

不管采用哪种身份攻击手段，攻击的目标都是为了获得尽可能多的权限，尤其是对特权账号的盗取。为此需要根据身份失陷带来的严重程度，对不同账号进行区别监控，不限于使用多步认证方式。确保用户被赋予尽可能最小的权限，除了明确定义特殊权限目录和特权申请流程，限定特权的使用时长、时间和地点也是降低身份攻击影响的最要途径。

开展权限治理工作，对于权限提升后，配置检测机制，能够限期回收账号下不再使用的权限，降低横向移动的风险。甚至，对于重要的权限和资源访问，单次访问前，可临时授权提升权限，使用“即用即回收”的策略。

零信任安全架构将网络防御的边界缩小到单个或更小的资源组，基于不信任原则，需要时刻对接入系统的人、设备进行验证，并在资源访问时进行授权确认。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

为了实现细粒度的权限控制，以身份账号包括属性、角色、组和动态组作为对授权策略的依据，并按位置和时间确定访问权限。授权可以在文件、页面或对象级别上进行。通过身份访问管理，可以更容易地打造零信任安全架构，身份更是零信任成熟度模型的五大支柱之一（详见美国网络安全和基础设施安全局（CISA）发布《零信任成熟度模型》第二版）。

《身份攻击向量》一书便是通过深入分析身份访问管理的各类风险，以及攻击人员可以利用的技术，帮助企业建立最佳身份安全实践。

作者：莫雷·哈伯（Morey Haber）著/奇安信身份安全实验室译

出版：人民邮电出版社

那么，围绕身份，企业内源安全需要怎么做。

首先，制定身份安全规范，对员工、客户的身份完善各类技术措施。

其次，开展足够的安全培训，提供针对身份攻击的识别力。

然后，加强访问控制和数据保护的应用范围，避免软件系统缺失关键能力。

最后，定期进行审计，或实时审计身份行为和操作审计，以确保身份安全机制的有效性。