探索网络安全的新挑战：云身份攻击崛起

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近年来，攻击者越来越多地利用“无网络”攻击技术来针对云应用和身份进行攻击，而无需触及端点或传统的网络系统和服务。让我们深入了解攻击者是如何（以及正在如何）入侵组织的——而无需触及端点或传统的网络系统和服务。

SaaS采用率改变了公司IT的结构

SaaS革命和产品驱动增长对公司网络的结构和核心业务系统以及数据存储位置产生了巨大影响。

如今，大多数组织在业务功能中使用着数十到数百个SaaS应用程序。有些是完全基于SaaS的，没有传统的网络，但大多数采用了混合模型，混合了本地、云和SaaS服务，形成了正在使用的业务应用程序的骨干。

大多数SaaS采用率是用户驱动的，而不是由IT集中管理的，因为自下而上的采用是产品驱动增长的固有特性。来自Push Security的最新数据显示，只有五分之一的SaaS应用得到了业务部门的认可。大部分应用根本就是未知的，因此根本没有被审查过。

云和SaaS应用程序设计成相互连接，类似于您过去可能使用的内部业务应用程序的封闭网络。连接这种互联性的工具是身份。

数字身份越来越复杂且难以保护

最基本的身份形式是通过用户名/电子邮件和密码创建的用户帐户，用于注册您所使用的服务。为了减少帐户接管的风险和管理越来越多的帐户的复杂性，组织正在使用身份提供者（IdPs）的服务，将对应用程序的访问集中在单个平台和身份下，使用单一登录（SSO）和OAuth等协议来分别管理身份验证和授权。

身份的特定组成可能变化很大。根据应用程序的不同，可能会对同一个帐户使用多种身份验证机制——例如，通过SAML、社交登录（OIDC）和用户名和密码。虽然SAML要求管理员提前为给定的应用程序租户设置它，但用户可以简单地使用“使用Google登录”功能注册应用程序，即可使用OIDC。

实际上，这为单个帐户创建了多个与之相关联的身份，这可能会引入许多混乱和复杂性——例如，只因为IdP管理员删除了该帐户，并不意味着该应用程序/帐户就无法使用其他已创建的登录方法之一。这可能会使人很难知道正在使用哪些应用程序，以及组织中存在哪些身份。

因此，在实践中，可能会出现以下组合：

- 身份提供者（通常每个组织平均3个）（例如Okta、Entra/Microsoft、Google）

- 作为连接应用程序的SSO平台的应用程序（例如Atlassian Access、Adobe Creative Cloud）

- 使用不同身份验证（SAML、OIDC）和授权（OAuth）协议的SaaS应用程序

- 具有本地用户名和密码的SaaS应用程序

- 存储在密码管理器和认证器应用程序中的凭据和密钥（这些应用程序可能位于浏览器中、本地操作系统中和第三方应用程序中）

这可能变得非常复杂——大多数组织在其库存中拥有100多个应用程序，导致数千个分散的身份。

然后，根据特定应用程序批准的OAuth范围，一个应用程序中的权限和工作流程可以影响其他应用程序，这些应用程序已经获得了它们之间的通信权限。

身份是将此生态系统连接在一起的纽带。然而，用于保护身份的控制存在严重的局限性。公司通常认为他们的所有应用程序和身份都已经部署了多重身份验证（MFA）或所有应用程序都位于SSO后面。但事实是，只有三分之一的应用程序实际上支持SSO（其中许多仅在高级套餐中提供，价格大幅上涨）。此外，约60%的唯一身份（即不使用SSO的）没有注册MFA。

因此，实际上，在保护云身份的安全控制中存在着重大的漏洞，而身份和云应用程序正变得越来越普遍。

攻击者正在针对云身份漏洞进行攻击

攻击者注意到了这一点。根据Verizon 2024年的DBIR报告，74%的所有违规行为涉及人为因素，针对通过人为错误、特权滥用、使用被篡改的凭据或社交工程攻击的受损用户帐户。

虽然这并不是什么新鲜事（对身份/钓鱼攻击的某种描述至少自2013年以来一直是最主要的攻击向量之一），Crowdstrike的最新全球威胁报告进一步指出，75%的攻击以获取访问权限的方式都没有使用恶意软件，“云意识”攻

击（有意针对云服务而不是机会主义性地针对云服务以破坏特定功能）增加了110%。微软还指出，每秒大约有4,000次密码攻击专门针对云身份，而来自谷歌员工的建议表明，试图窃取会话cookie（从而绕过MFA）的攻击数量大约与基于密码的攻击数量相同数量级。

除了数字之外，来自公众视线中违规行为的证据也讲述了同样的故事。威胁组织（如APT29/Cozy Bear/The Dukes和Scattered Spider/0ktapus）展示了攻击者如何积极地针对IdP服务、SaaS应用程序和SSO/OAuth进行高调攻击，以此攻击微软和Okta等公司。

结语

云应用程序和身份已经成为攻击者的新天地。由于向云服务的转移，它们提供了与通过端点突破网络外围的传统攻击相同的价值。在许多方面，身份本身就是新的攻击面。与网络或端点等其他安全边界相比，它也在防御这个新外围的控制方面没有多少障碍。

基于身份的攻击过去局限于端点或相邻的“身份系统”（如Active Directory）。攻击者的目标是突破这个外围并在组织内部移动。现在，身份更加分散——是一个由互联云应用程序和服务组成的生态系统的入口，所有这些都可以通过互联网访问。这显著地改变了安全团队所面临的挑战的程度。毕竟，阻止针对100个SaaS应用程序的凭据填充攻击要比过去单个集中的外部VPN/网络邮件端点困难得多。

在2024年，云身份成为新的数字外围似乎是非常清晰的。这不是未来，而是现在。唯一尚未确定的是什么攻击技术和技艺将出现，以及行业将如何应对以阻止它们。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：探索网络安全的新挑战：云身份攻击崛起