基于身份的攻击已成为当今企业面临的最重大威胁之一。IBM 的 X-Force 威胁情报团队表示，网络犯罪分子越来越依赖被盗身份（而不是技术黑客）来帮助他们破坏企业系统。

但是企业需要警惕哪些类型的攻击？如何才能最好地保护员工免受伤害？本文将探讨攻击者在基于身份的攻击中采用的策略，以及企业如何采用多种方法来降低风险。

基于身份的攻击的兴起

近年来，基于身份的攻击数量持续增长。据报道，80% 的攻击涉及身份和泄露的凭证。IBM 的一份报告发现，与身份相关的攻击现在是影响全球网络犯罪的首要因素，每年增长 71%。通过这些统计数据，可以看出基于身份的攻击给企业带来的问题日益严重。

基于身份攻击的类型

网络犯罪分子不仅仅依赖于一种类型的攻击，他们会尝试多种策略，直到找到一种有效的方式。基于身份的攻击的常见类型包括：

·广泛的网络钓鱼活动

广泛的网络钓鱼攻击是最常见的基于身份的密码攻击类型之一，网络犯罪分子获取大量电子邮件地址时就会出现这种攻击。他们制作并发送带有特定号召性用语的通用网络钓鱼消息，例如将用户发送到虚假登录页面。至少有一些收件人会落入骗局，并前往虚假网站输入其凭据，从而使攻击者能够访问合法的用户名和密码，从而可以用来访问敏感数据。

·鱼叉式网络钓鱼活动

鱼叉式网络钓鱼活动与广泛的网络钓鱼不同，它针对的是特定个人而不是大型群体。攻击者仔细选择目标，并利用社交媒体和网络资源进行研究，以收集有关受害者的个人信息。

然后，他们会制作一条高度个性化的消息，引用特定的细节（例如提及收件人最近参加的会议），以增加收件人陷入网络钓鱼尝试的可能性。攻击者的目的是诱骗受害者采取特定操作（例如访问虚假登录页面或单击恶意软件链接）以窃取其凭据或安装恶意软件以进行进一步攻击。

·撞库

许多用户都在多个帐户中重复使用相同的密码。一项由 Microsoft 资助的研究发现，73% 的人在个人和专业帐户中设置有重复密码。撞库攻击就利用了这种情况，从以前的网站泄露或密码转储站点获取凭据，并使用自动化工具在各个网站上测试这些凭据。

·密码喷洒

人们通常希望密码易于记忆，而不是字母、数字和符号的随机组合。攻击者使用与目标域的复杂性策略相匹配的一小部分常用密码部署，密码喷射攻击来利用这一点。攻击者不会为一个用户尝试多个密码，而是在许多不同的帐户中使用相同的通用密码来避免检测。

·传递哈希技术

哈希传递攻击在企业中变得越来越常见，相关报告称，一项调查中 95% 的受访者因哈希传递攻击而遭受了直接的业务影响。在传递哈希攻击中，攻击者从受感染的系统获取用户密码的哈希版本。然后，攻击者使用此哈希向其他系统进行身份验证，而无需破解实际密码。这种技术允许攻击者在网络内横向移动，访问敏感数据。

·中间人 (MitM) 攻击

在 MitM 攻击中，攻击者通常通过模仿合法的 Wi-Fi 接入点来拦截网络连接。然后，当最终用户连接到恶意接入点时，攻击者可以监视所有用户的输入，包括登录凭据。如果攻击成功，攻击者可以窃取凭证或会话令牌来验证受害者的帐户，从而访问敏感数据或执行进一步的攻击。

多层安全方法

随着身份成为新的安全边界，企业需优先考虑帐户和密码安全至关重要。

薄弱、重复使用和泄露的凭据通常是攻击者的主要入口点。事实上，Verizon 2023 数据泄露调查报告发现，50% 的泄露都是由被盗或薄弱的凭证开始的。为了降低基于身份的攻击的风险，企业必须采用多层安全方法。

·实施强密码策略

强密码策略对于确保最终用户不使用弱且容易猜到的密码至关重要。考虑实施密码策略软件（例如 Specops 密码策略），它可以帮助人们强制实施强密码要求并防止使用弱密码。

此外，Specops 密码策略将根据包含超过 40 亿个唯一已知泄露密码的数据库持续扫描 Active Directory。任何被发现使用密码被泄露的用户都会收到通知，并要求立即更改密码。

·定期审核 Active Directory

为了保护帐户，人们应该定期审核自己的 Active Directory 是否存在弱密码或泄露密码。此外，应该主动识别并删除黑客可以利用的陈旧或不活动帐户。利用免费的只读工具Specops Password Auditor扫描 Active Directory 中是否存在与密码相关的漏洞。

·实施多重身份验证

确保最终用户已在应用程序中设置多重身份验证。除了用户名和密码之外，MFA 要求用户提供第二种形式的身份验证，例如发送到其注册手机的一次性密码或生物识别数据，从而增加了一层额外的安全性。

·防范社会工程

服务台对黑客来说是一个极具吸引力的目标。在服务台接听电话和回复电子邮件的 IT 团队成员是密码重置的看门人。如果攻击者可以有效地对服务台使用社交工程攻击，他们可以轻易获得未经授权的访问并造成严重破坏。

如米高梅度假村事件，在黑客欺骗该公司的服务台提供访问权限后，该公司便经历了大范围的停电、数天的停机以及数百万美元的损失。

自动化解决方案可以帮助提供另一层保护，帮助服务台工作人员验证用户身份，从而减少社会工程漏洞，

·对不断变化的威胁保持警惕

企业必须时刻保持警惕，防止基于身份的攻击。采取多方面的方法来保持企业的低风险水平。通过实施强密码策略、定期审核帐户、利用 MFA 以及如 Specops Software 提供的工具，降低成为威胁受害者的风险。

参考及来源：https://www.bleepingcomputer.com/news/security/how-to-protect-your-employees-from-identity-based-attacks/

原文始发于微信公众号（嘶吼专业版）：如何保护企业员工免受基于身份的攻击