Press "Enter" to skip to content

网络安全的三大支柱和攻击向量

本站内容均来自兴趣收集,如不慎侵害的您的相关权益,请留言告知,我们将尽快删除.谢谢.

BeyondTrust公司( 连续4年Gartner特权访问管理象限之领导者 )的首席技术官和首席信息安全官Morey Haber(莫雷·哈伯),与人合着,一口气写了三本书:

 

《 身份 攻击向量》:从 身份 角度出发,考察攻击向量,设计 IAM (身份与访问管理)方案。

 

《 特权 攻击向量》:从 权限 角度出发,考察攻击向量,设计 PAM (特权访问管理)方案。

 

《 资产 攻击向量》:从 资产 角度出发,考察攻击向量,设计 漏洞 管理 方案。

 

有趣的是,作者认为:这三本书正好构建了网络安全的 三大支柱 : 1)身份;2)权限;3)资产 。而只有基于稳固的 三角架 结构,才能构建稳健的安全基础。

 

最值得提醒的是: 三大支柱的 集成/整合 至关重要 。一个好的安全解决方案一定要有利于三大支柱的集成。反之,如果一个安全方案没有跨这三个支柱来运行,也没有促进三大支柱的互操作性和数据集成,那幺它就是一个孤岛解决方案。

 

对于如此系统阐述其 安全框架 和 具体方案 的系列书籍,笔者自然不愿错过。在纵览近千页的英文版后,希望将其推荐给大家。

 

目前,《身份攻击向量》 中文版 已经于2022年8月面市,在此感谢译者赠书!据悉,另外两本也在翻译过程之中。

 

本文试图以 世界顶级IAM和PAM专家 的视角,反映 身份和权限 的攻击向量和防御之道。

 

看见是王道 !孤岛很糟糕 。你是在创造“看见”,还是在创造“孤岛”?你能 同时看见 漏洞、 身份、权限 吗?

 

关键词: IAM (身份和访问管理); PAM (特权访问管理);

 

目 录

 

1.网络安全的 三大支柱

 

2.横向移动的 攻击向量

 

3.网络杀伤链中的 身份攻击向量

 

4.从 传统4A 到 现代5A

 

1)IAM(身份访问管理)的5个A

 

2)为何少了 账户 (Account)?

 

3)为何多了 管理 (Administration)?

 

4)为何多了 分析 (Analytics)?

 

5.从 IAM (身份访问管理)到 PAM (特权访问管理)

 

6.洞察和见解

 

01网络安全的三大支柱

 

作者认为:在宏观层面上,如果对所有安全解决方案进行分组,就会发现每个方案都属于三个逻辑分组之一。这三个逻辑分组构成了网络安全的三大支柱。如下图所示:

 

 

图1-网络安全的三大支柱

 

三大支柱:

 

 

身份(Identity):保护用户的 身份、帐户、凭证 ,免受不当的访问;

 

权限(Privilege):对 权限和特权 的保护,以及对身份或帐户的 访问控制 ;

 

资产(Asset):对一个身份所使用(直接使用或作为服务使用)的 资源 的保护;

 

 

一个好的安全解决方案应该同时涵盖所有三个支柱,而这 三大支柱的集成/整合至关重要 。所以,一个好的安全解决方案一定要有利于三大支柱的集成/整合。

 

如果一个安全解决方案只能 孤立运行 ,无法与其它方案兼容,也无法使三个支柱互通,就无法有效应对现代威胁:

 

比如 孤立的 杀毒软件 方案 :虽然能够报告资产的感染情况,却无法判断恶意软件使用什幺 身份 (账户或用户)或 权限 来入侵目标资产。因为它无法共享和获取用户的身份信息和身份的上下文。

 

再比如 孤立的 漏洞管理 方案 :虽然能够扫描到资产的漏洞信息,却无法发现可访问该资产的 账户和用户组 信息,也就无法更好地帮助确定补丁的优先级,也无法帮助管理好身份攻击向量。

 

话再说得狠一点: 如果一个安全厂商没有跨这三个支柱来运行,也没有促进三大支柱的互操作性和数据交换的集成/整合策略 ,那幺它确实就是一个 单点/孤岛解决方案 。请慎用这样的方案。

 

为何是3大支柱,而不是4或5根支柱?作者解释说:因为3条腿的凳子不会晃!

 

作者为三大支柱分别写了一本书:

 

 

《 身份 攻击向量》:中文版 已出版 。本文主要引自该书。该书更多地从 身份 角度出发,考察攻击向量,设计 IAM 方案。

 

《 特权 攻击向量》:中文版尚在编写过程中, 待出版 。该书更多地从 权限 角度出发,考察攻击向量,设计 PAM 方案。

 

《 资产 攻击向量》:中文版尚在编写过程中, 待出版 。该书主要讲述 资产 漏洞 管理 。其重要性在于:漏洞管理是安全的基础。 当资产本身可被 漏洞 利用时,身份也难以得到保护 。

 

 

02横向移动的攻击向量

 

攻击向量总体上可以分为两类:1) 资产 攻击向量;2) 权限 攻击向量。这两类正好对应于作者的两本书:《资产攻击向量》和《特权攻击向量》。

 

资产攻击向量/方法:一般通过 漏洞和配置缺陷 来实现。防御方法是漏洞管理、补丁管理、配置管理等传统的网络安全最佳实践。在这个方面,每个组织都应该做好,但在现实中并非如此。

 

权限攻击向量/方法:通常采取某种形式的 特权远程访问 ,所用技术包括口令猜测、字典攻击、暴力破解、Hash传递、口令重置、默认凭据、后门凭证、共享凭据等。防御方法是 零信任模型 和 即时(JIT)权限访问管理 。

 

值得特别说明的是:(狭义)零信任、即时身份、特权访问管理这样的现代安全模型,主要用于缓解 权限攻击向量 ,并不能缓解 资产攻击向量 。

 

横向移动是勒索软件、机器人(Bot)、蠕虫和其他恶意软件等现代威胁的主要攻击手段。

 

横向移动是指从一种资源转向另一种资源并在这些资源之间持续跳转的能力。所谓“ 资源 ”,不仅指 资产 (如计算机、操作系统、应用程序、容器、虚拟机等),还包括账户和身份(如下表第一列所示)。

 

以 横向移动攻击 为例,两类攻击向量的示例如下表所示:

 

 

表2-横向移动技术中的攻击向量

 

上面只提到了两个支柱的攻击向量,第三个支柱(身份)的攻击向量呢?我们将在下一小节专门呈现。

 

03网络杀伤链中的身份攻击向量

 

以业界熟知的网络杀伤链为例,来看看身份攻击向量的表现方式。我们按照杀伤链的四个阶段来分别反映(身份攻击向量以 蓝色字体 标记):

 

 

图3-侦察阶段的身份攻击向量

 

 

图4-入侵阶段的身份攻击向量

 

 

图5-利用阶段的身份攻击向量

 

 

图6-渗出阶段的身份攻击向量

 

从上述攻击链的四个阶段来看,身份攻击的重点在于其中的两个阶段:入侵阶段和利用阶段。在这两个阶段中,身份攻击的主要目标是两个:权限提升和横向移动。

 

所以,可以得出的结论是:身份攻击向量的本质是构建 权限攻击链 ,以实现权限提升和横向移动。如下图中的 蓝色虚线小圈 所示:

 

 

图7-权限攻击链

 

04从传统4A到现代5A

 

1)IAM(身份访问管理)的5个A

 

 

图8-身份管理的五个A

 

IAM的 新5A 是指认证(Authentication)、授权(Authorization)、 管理 (Administration)、审计(Audit)、 分析 (Analytics)。

 

而 传统4A 是指认证(Authentication)、授权(Authorization)、 账户 (Account)、审计(Audit)。

 

新5A和老4A的共性是:认证、授权、审计。审计就不说了。书中对认证、授权给了如下简明公式:

 

认证=登录名+密钥(口令);

 

授权=权限(privilege)+认证;

 

新5A和老4A的区别是:少了 账户 (Account),但多了 管理 (Administration)和 分析 (Analytics)。这块涉及到新5A和老4A的 理念 问题,故值得解释一下。

 

2)为何少了 账户 (Account)?

 

笔者认为:这与该书作者 强调“身份”而弱化“账户” 有关。

 

这里就涉及 身份与账户和用户的区别 :

 

账户是 身份 的电子表示;

 

一个 身份 可以对应到多个 账户 ;

 

一个 身份 只能对应到一个 用户 ;

 

从身份安全的角度看, 身份比账户更重要 。但身份只能通过账户来发挥作用,账户是身份的表现形式。而账户能否真正发挥身份的价值,取决于账户能否能被映射到身份上。

 

所以, 账户与身份的 关联 至关重要 。无法关联到身份的账户,都是身份的攻击向量。比如企业中常见的“ 孤儿帐户 ”,即那些没有关联到已知用户的帐户。还有应用程序用来访问数据库的 共享服务账户 ,如果无法关联到真实的用户身份,就没法知道究竟是谁访问了你的数据(参见《谁动了你的数据?》)。而现代身份治理的核心目标之一正是将账户与真实用户(身份)建立关联,尽量消除孤儿账户的存在。

 

所以,在传统4A中,尽管已有账户体系,但很多时候却无法映射到身份。这就是 传统4A只是账户安全 ,而 现代5A才是身份安全 的原因。

 

这里甚至涉及到类似哲学层面的问题: 账户可以赋予一切网络主体 ,而 身份只能赋予 人类 或软件 机器人 。也就是说,一个网络主体(应用程序、网络设备等)是否被赋予身份,要看它是否模仿一个人。想要模仿人的(比如 快递 机器人 )才需要身份,否则只需要赋予账户即可。也就是说,通常的网络设备和应用程序,只需要分配账户即可。过度分配身份,将会把问题复杂化,也会导致更大的攻击向量(因为 身份攻击向量大于账户攻击向量 )。

 

我们曾经设想,在即将来临的万物互联时代,要对联网的万事万物(物联网设备)都分配数字身份。看完这本书时,你必然产生大大的问号。因为它不像我们之前想的那幺简单。

 

3)为何多了管理(Administration)?

 

此处的管理是指对身份验证、授权、审计的任何变化进行配置管理和治理控制。

 

在IAM领域发展了 25年 之后,我们回头想一想:有多少东西发生了变化,又有多少东西没有变化。就会发现: 认证 (Authentication)和 授权 (Authorization)技术发现了太大变化;而 管理 (Administration)一直是比较稳定的需求(也一直没有做好)。所以,才要 把管理从认证和授权中分离出来 ,构成单独的一个A。

 

也许你会问起 身份治理 (Identity Governance),而身份治理恰恰涵盖了 管理 (Administration)、 审计 (Audit)、 分析 (Analytics)这 三个A 。

 

4)为何多了分析(Analytics)?

 

分析是指通过持续收集和处理与身份相关的配置、分配、使用数据,获得 运营和安全洞察 。

 

高级身份分析支持更明智、更具预测性的治理方法。通过使用机器学习(ML)和人工智能(AI)技术,身份分析工具可以提供重要的 对等组分析 信息,有助于扩展身份审核和管理功能,并使它们更具动态性和响应性。

 

传统4A缺少分析。随着机器学习(ML)和人工智能(AI)的进步,现在可以发现和处理大量的运营数据,以揭示隐秘的洞察和可操作的指示,远远超越了 传统的基于规则的引擎 所能实现的能力。

 

05从IAM到PAM

 

领域 的差异 。IAM(身份与访问管理)更加侧重于 身份 ;PAM(特权访问管理)更加侧重于 权限 。两者分别应对了 两大支柱 (即身份支柱和权限支柱)的安全需求。

 

功能 的差异 。下图展示了IAM和PAM的功能组成:

 

 

图9-IAM和PAM的组件

 

用户 的差异 。 特权 是比普通权限更高的权限。对用户的最基本分类是两种: 标准用户 (具有普通权限)和 管理员 (具有 特权 ,还进一步分为 本地 管理员和 域 管理员)。通常,也会增加 来宾用户 (低于标准用户的权限)。

 

关于用户的更加精细的划分。我们以具有制造环境的组织为例,IAM和PAM的用户范围如下图所示:

 

 

图10-IAM和PAM的范畴对比

 

资源 的差异 。 权限的视角 一方面是在 宏观 用户 级别 上(这是IAM侧重的),另一方面是在 微观 资源 级别 上(这是PAM侧重的)。从资源层面看,将权限仅仅视作应用程序的一部分,是短视的。 权限还必须嵌入到资源的每个层次中 ,即嵌入到操作系统、文件系统、应用程序、数据库、虚拟机管理程序、云管理平台,甚至通过分段嵌入网络中 ,才能应对高级别的权限攻击。

 

可见性 的差异 。 IAM可以回答“ 谁有权访问什幺 ?”但是,为了实现完全的用户可见性,PAM解决了剩下的问题:“ 这种访问合适吗 ?”以及“ 这种访问是否被恰当地使用 ?”也就是说,PAM可以对特权帐户的访问和使用提供 更多的可见性 和 更深入的审计 。

 

很多时候,IAM会将用户添加到系统或应用程序 组 中,但不会提供有关该组成员具备的访问权限的详细信息,也不会提供对特权会话期间收集的详细会话日志或键盘记录的访问能力。而PAM可以扩展这些能力。因此, PAM扩展了IAM解决方案的可见性 。

 

特别说明:在同一作者的另一篇书籍《特权攻击向量》中,系统阐述了PAM。而《身份攻击向量》的翻译团队也正在对其进行翻译中。期待译本在不久的未来面世。

 

06洞察和见解

 

在该书的最后一章中,作者给出了身份访问管理(IAM)的关键原则:

 

 

思考 身份 而非 账户 。组织中的一个用户通常拥有多个帐户和每个帐户的多项权限。如果企业只将IAM计划的重点放在 帐户级别(而非身份级别) 的管理上,它将永远无法获得正确了解“ 谁有权访问什幺 ”所需的 整体可见性 。理解 身份与其帐户之间 、 帐户与其权限之间 、 权限与其保护的数据/信息之间 的三向关系是关键。只有 围绕身份(而非账户) 来集中相关数据,企业才能形成正确的视图和可见性。

 

看见是王道 !孤岛很糟糕 。伴随着云、物、移、大的趋势, 集中化的 单点可见性 成为组织安全性之关键。唯有如此,才能确保在企业范围内看见其 身份 和访问数据 。

 

全生命周期的身份治理是必需的。通过在身份的整个生命周期中嵌入策略和控制,组织可以实现增强的自动化、持续的合规性、降低的安全风险。

 

将IAM与PAM集成部署。PAM是对IAM方案的补充,增加了对”特权”帐户的控制和审计层。

 

采用预测性方法。积极应用 机器学习 和 人工智能 技术,以实现更加智能、更加明智的访问决策。

 

实现最小权限。

 

用户体验至上!身份治理和权限管理技术必须有助于提供更好的用户体验,如果不想被业务人员否定其安全价值。

 

 

( 柯学 & 启承 )

 

声明:本文来自网络安全观,版权归作者所有。文章内容仅代表作者独立观点,不代表本站立场,转载目的在于传递更多信息。如有侵权,请留言。

Be First to Comment

发表回复

您的电子邮箱地址不会被公开。