检测和修复身份配置错误和盲点对于组织的身份安全态势至关重要,尤其是当身份已成为新的边界和身份结构的关键支柱时。让我们探索身份盲点和配置错误是什么,详细说明为什么找到它们至关重要,并列出要避免的七大问题。
身份安全面临的最严重风险是什么? 身份配置错误和身份盲点是破坏组织身份安全态势的关键问题。
当身份基础架构和系统配置不正确时,就会发生身份配置错误。这可能是由于管理错误或配置漂移造成的,配置漂移是指组织的身份和访问控制逐渐偏离其预期状态,通常是由于未经批准的更改或更新造成的。
身份盲点是组织现有身份控制忽视或未监控的风险,留下威胁行为者可能利用的未被发现的风险。
为什么发现这些风险很重要?
传统上,安全措施侧重于通过围绕 IT 资源构建更高的“围墙”来加强组织的网络边界。然而,随着云计算、SaaS 服务和混合工作的采用,网络边界变得不那么重要了。在这个新环境中,对人类和机器身份活动的全面可见性和控制对于减轻网络威胁至关重要。
研究和现实世界中的事件都表明,身份泄露是攻击者的初始切入点,这证实了保护身份的必要性。身份定义安全联盟的最新研究发现,90% 的受访组织在过去一年中至少经历过一次基于身份的攻击。
与此同时,最新的《威胁情报指数报告》证实了业内许多人已经知道的事实:身份已成为主要的攻击媒介。2024 年的报告显示,网络攻击中使用的有效身份同比增长了 71%。组织在网络攻击中使用有效身份的可能性与遭遇网络钓鱼攻击的可能性一样大。尽管在基础设施安全和身份访问和管理解决方案方面投入了大量资金,但情况仍然如此。黑客不是入侵,而是登录。
最近一个值得注意的基于身份的攻击案例是 2024 年 1 月披露的 Midnight Blizzard 攻击。根据有关此次攻击的公开信息,恶意行为者实施了密码喷洒攻击,以破坏传统的非生产测试租户帐户。一旦他们通过有效帐户获得立足点,他们就会利用其权限访问该公司一小部分的公司电子邮件用户帐户。然后,他们可能会泄露敏感信息,包括电子邮件和附加文档。
对于组织的身份安全态势,应避免哪七大风险?
为了在身份相关攻击面前领先一步,身份和安全团队应主动改善其身份安全态势,查找并修复这些常见的身份配置错误和盲点。以下是组织应采取措施避免的主要风险:
缺少多重身份验证 (MFA)
美国网络安全和基础设施安全局 (CISA) 一直敦促各组织实施 MFA,以 全部 用户和 全部 服务以防止未经授权的访问。然而,在现实世界中实现这一目标可能具有挑战性。复杂性在于配置多个身份系统,例如组织的身份提供者和 MFA 系统。以及数百个应用程序的设置,以对数千个用户和组强制实施 MFA。如果配置不正确,可能会导致由于意外遗漏或会话管理中的漏洞而无法强制实施 MFA 的情况。
密码卫生
有效的密码卫生对于组织的身份安全态势至关重要,但常见的身份配置错误往往会破坏密码质量并增加数据泄露的风险。允许使用弱密码或常用密码会通过简单的猜测或暴力攻击为未经授权的访问提供便利。
强密码但默认的密码会使密码喷洒攻击更加容易。使用过时的密码哈希算法(如 SHA-1、MD4、MD5、RC2 或 RC4)可快速解码,进一步暴露用户凭据。此外,密码加盐不足会削弱其对字典和彩虹表攻击的防御能力,使其更容易受到攻击。
绕过关键身份和安全系统
组织部署特权访问管理 (PAM) 系统来控制和监控特权帐户(例如域管理员和管理员级应用程序帐户)的访问。PAM 系统通过将特权帐户的凭据存储在安全保管库中并通过代理服务器或堡垒主机代理对受保护系统的访问来提供额外的安全保障。
不幸的是,如果配置不正确,PAM 控制可能会被足智多谋的管理员或威胁行为者绕过,从而大大降低它们应提供的保护。当用户由于初始配置问题或配置随时间推移而绕过零信任网络访问 (ZTNA) 系统时,也会出现类似的问题。
影子访问
影子访问是组织身份安全态势中常见的盲点,组织可能难以发现和纠正。影子访问是指用户为了方便或加快故障排除速度,通过本地帐户保留对应用程序或服务的不受管理的访问权限。本地帐户通常依赖静态凭据,缺乏适当的文档,并且面临更高的未经授权访问风险。具有高权限的本地帐户(例如超级管理员帐户)尤其成问题。
影子资产
影子资产是影子 IT 的一个子集,是身份安全的一个重大盲点。影子资产是网络中 Active Directory 或任何其他身份提供商“未知”的应用程序或服务。这意味着它们的存在和访问权限未由组织的身份系统记录或控制,并且这些资产只能由本地帐户访问。如果不集成到 Active Directory 或任何其他身份提供商中,这些资产就不会遵守组织已建立的身份验证和授权框架。这使得实施访问控制、用户身份验证和合规性检查等安全措施变得具有挑战性。因此,影子资产可能会无意中成为未经授权访问的网关。
影子身份识别系统
影子身份系统是未经授权的身份系统,可能属于影子资产,但考虑到它们对组织的身份安全态势构成的风险,因此被单独列出。最常见的影子身份系统是使用未经批准的密码管理器。
考虑到其职责范围,软件开发团队可以采取更进一步的措施,实施未经批准的秘密管理工具来保护应用程序凭据,甚至建立自己的身份提供商。另一种危险行为是,开发人员复制 Active Directory 以进行测试或迁移,但忽视了适当的处置,从而暴露了敏感的员工信息、组策略和密码哈希。
忘记服务帐号
服务帐户是一种机器身份,可以根据其权限执行各种操作。这可能包括运行应用程序、自动化服务、管理虚拟机实例、进行授权 API 调用和访问资源。当服务帐户不再使用但仍未受监控且权限完好时,它们就成为攻击的主要目标。攻击者可以使用这些被遗忘的服务帐户获得未经授权的访问,可能导致数据泄露、服务中断和系统受损,而所有这些都在传统身份安全措施的监视范围内。
采用身份安全态势管理 (ISPM) 来降低风险
身份和访问管理 (IAM) 系统(例如 Active Directory、身份提供商和 PAM)通常提供有限的功能来查找导致身份安全状况不佳的身份配置错误和盲点。这些身份安全解决方案通常不会收集识别这些问题所需的遥测数据。这需要从多个来源收集和关联数据,包括身份系统日志数据、网络流量、云流量和远程访问日志。
这就是为什么身份和安全团队实施 ISPM 解决方案(例如 IBM® Verify Identity Protection)以在攻击者利用身份暴露之前发现并补救它们。IBM 可以通过使用安全信息和事件管理 (SIEM) 解决方案中已有的日志或部署 IBM Verify Identity Protection 传感器来帮助保护您的所有身份和身份结构。IBM 在部署后的最初几个小时内即可提供无与伦比的身份活动可视性,从而快速实现价值。
探索 IBM Verify Identity Protection
本文是否有帮助?
是的不
