BeyondTrust公司（連續(xù)4年Gartner特權(quán)訪問管理象限之領(lǐng)導(dǎo)者）的首席技術(shù)官和首席信息安全官M(fèi)orey Haber（莫雷·哈伯），與人合著，一口氣寫了三本書：

《身份攻擊向量》：從身份角度出發(fā)，考察攻擊向量，設(shè)計(jì)IAM(身份與訪問管理)方案。

《特權(quán)攻擊向量》：從權(quán)限角度出發(fā)，考察攻擊向量，設(shè)計(jì)PAM(特權(quán)訪問管理)方案。

《資產(chǎn)攻擊向量》：從資產(chǎn)角度出發(fā)，考察攻擊向量，設(shè)計(jì)漏洞管理方案。

有趣的是，作者認(rèn)為：這三本書正好構(gòu)建了網(wǎng)絡(luò)安全的三大支柱：1）身份；2）權(quán)限；3）資產(chǎn)。而只有基于穩(wěn)固的三角架結(jié)構(gòu)，才能構(gòu)建穩(wěn)健的安全基礎(chǔ)。

最值得提醒的是：三大支柱的集成/整合至關(guān)重要。一個(gè)好的安全解決方案一定要有利于三大支柱的集成。反之，如果一個(gè)安全方案沒有跨這三個(gè)支柱來運(yùn)行，也沒有促進(jìn)三大支柱的互操作性和數(shù)據(jù)集成，那么它就是一個(gè)孤島解決方案。

對(duì)于如此系統(tǒng)闡述其安全框架和具體方案的系列書籍，筆者自然不愿錯(cuò)過。在縱覽近千頁的英文版后，希望將其推薦給大家。

目前，《身份攻擊向量》中文版已經(jīng)于2022年8月面市，在此感謝譯者贈(zèng)書！據(jù)悉，另外兩本也在翻譯過程之中。

本文試圖以世界頂級(jí)IAM和PAM專家的視角，反映身份和權(quán)限的攻擊向量和防御之道。

看見是王道！孤島很糟糕。你是在創(chuàng)造“看見”，還是在創(chuàng)造“孤島”？你能同時(shí)看見漏洞、身份、權(quán)限嗎？

關(guān)鍵詞：IAM（身份和訪問管理）；PAM（特權(quán)訪問管理）； 目? 錄

1.網(wǎng)絡(luò)安全的三大支柱

2.橫向移動(dòng)的攻擊向量

3.網(wǎng)絡(luò)殺傷鏈中的身份攻擊向量

4.從傳統(tǒng)4A到現(xiàn)代5A

1）IAM(身份訪問管理)的5個(gè)A

2）為何少了賬戶(Account)？

3）為何多了管理(Administration)？

4）為何多了分析(Analytics)？

5.從IAM(身份訪問管理)到PAM(特權(quán)訪問管理)

6.洞察和見解

01 網(wǎng)絡(luò)安全的三大支柱

作者認(rèn)為：在宏觀層面上，如果對(duì)所有安全解決方案進(jìn)行分組，就會(huì)發(fā)現(xiàn)每個(gè)方案都屬于三個(gè)邏輯分組之一。這三個(gè)邏輯分組構(gòu)成了網(wǎng)絡(luò)安全的三大支柱。如下圖所示：

圖1-網(wǎng)絡(luò)安全的三大支柱?

三大支柱：

身份(Identity)：保護(hù)用戶的身份、帳戶、憑證，免受不當(dāng)?shù)脑L問；

權(quán)限(Privilege)：對(duì)權(quán)限和特權(quán)的保護(hù)，以及對(duì)身份或帳戶的訪問控制；

資產(chǎn)(Asset)：對(duì)一個(gè)身份所使用（直接使用或作為服務(wù)使用）的資源的保護(hù)；

一個(gè)好的安全解決方案應(yīng)該同時(shí)涵蓋所有三個(gè)支柱，而這三大支柱的集成/整合至關(guān)重要。所以，一個(gè)好的安全解決方案一定要有利于三大支柱的集成/整合。 如果一個(gè)安全解決方案只能孤立運(yùn)行，無法與其它方案兼容，也無法使三個(gè)支柱互通，就無法有效應(yīng)對(duì)現(xiàn)代威脅：

比如孤立的殺毒軟件方案：雖然能夠報(bào)告資產(chǎn)的感染情況，卻無法判斷惡意軟件使用什么身份（賬戶或用戶）或權(quán)限來入侵目標(biāo)資產(chǎn)。因?yàn)樗鼰o法共享和獲取用戶的身份信息和身份的上下文。

再比如孤立的漏洞管理方案：雖然能夠掃描到資產(chǎn)的漏洞信息，卻無法發(fā)現(xiàn)可訪問該資產(chǎn)的賬戶和用戶組信息，也就無法更好地幫助確定補(bǔ)丁的優(yōu)先級(jí)，也無法幫助管理好身份攻擊向量。

話再說得狠一點(diǎn)：如果一個(gè)安全廠商沒有跨這三個(gè)支柱來運(yùn)行，也沒有促進(jìn)三大支柱的互操作性和數(shù)據(jù)交換的集成/整合策略，那么它確實(shí)就是一個(gè)單點(diǎn)/孤島解決方案。請(qǐng)慎用這樣的方案。 為何是3大支柱，而不是4或5根支柱？作者解釋說：因?yàn)?條腿的凳子不會(huì)晃！ 作者為三大支柱分別寫了一本書：

《身份攻擊向量》：中文版已出版。本文主要引自該書。該書更多地從身份角度出發(fā)，考察攻擊向量，設(shè)計(jì)IAM方案。

《特權(quán)攻擊向量》：中文版尚在編寫過程中，待出版。該書更多地從權(quán)限角度出發(fā)，考察攻擊向量，設(shè)計(jì)PAM方案。

《資產(chǎn)攻擊向量》：中文版尚在編寫過程中，待出版。該書主要講述資產(chǎn)漏洞管理。其重要性在于：漏洞管理是安全的基礎(chǔ)。當(dāng)資產(chǎn)本身可被漏洞利用時(shí)，身份也難以得到保護(hù)。

02 橫向移動(dòng)的攻擊向量 ? 攻擊向量總體上可以分為兩類：1）資產(chǎn)攻擊向量；2）權(quán)限攻擊向量。這兩類正好對(duì)應(yīng)于作者的兩本書：《資產(chǎn)攻擊向量》和《特權(quán)攻擊向量》。

資產(chǎn)攻擊向量/方法：一般通過漏洞和配置缺陷來實(shí)現(xiàn)。防御方法是漏洞管理、補(bǔ)丁管理、配置管理等傳統(tǒng)的網(wǎng)絡(luò)安全最佳實(shí)踐。在這個(gè)方面，每個(gè)組織都應(yīng)該做好，但在現(xiàn)實(shí)中并非如此。

權(quán)限攻擊向量/方法：通常采取某種形式的特權(quán)遠(yuǎn)程訪問，所用技術(shù)包括口令猜測(cè)、字典攻擊、暴力破解、Hash傳遞、口令重置、默認(rèn)憑據(jù)、后門憑證、共享憑據(jù)等。防御方法是零信任模型和即時(shí)(JIT)權(quán)限訪問管理。

值得特別說明的是：(狹義)零信任、即時(shí)身份、特權(quán)訪問管理這樣的現(xiàn)代安全模型，主要用于緩解權(quán)限攻擊向量，并不能緩解資產(chǎn)攻擊向量。 橫向移動(dòng)是勒索軟件、機(jī)器人（Bot）、蠕蟲和其他惡意軟件等現(xiàn)代威脅的主要攻擊手段。 ? 橫向移動(dòng)是指從一種資源轉(zhuǎn)向另一種資源并在這些資源之間持續(xù)跳轉(zhuǎn)的能力。所謂“資源”，不僅指資產(chǎn)（如計(jì)算機(jī)、操作系統(tǒng)、應(yīng)用程序、容器、虛擬機(jī)等），還包括賬戶和身份（如下表第一列所示）。 以橫向移動(dòng)攻擊為例，兩類攻擊向量的示例如下表所示：

表2-橫向移動(dòng)技術(shù)中的攻擊向量

上面只提到了兩個(gè)支柱的攻擊向量，第三個(gè)支柱（身份）的攻擊向量呢？我們將在下一小節(jié)專門呈現(xiàn)。

03 網(wǎng)絡(luò)殺傷鏈中的身份攻擊向量

以業(yè)界熟知的網(wǎng)絡(luò)殺傷鏈為例，來看看身份攻擊向量的表現(xiàn)方式。我們按照殺傷鏈的四個(gè)階段來分別反映（身份攻擊向量以藍(lán)色字體標(biāo)記）： ?

圖3-偵察階段的身份攻擊向量 ?

圖4-入侵階段的身份攻擊向量 ?

圖5-利用階段的身份攻擊向量 ?

圖6-滲出階段的身份攻擊向量 從上述攻擊鏈的四個(gè)階段來看，身份攻擊的重點(diǎn)在于其中的兩個(gè)階段：入侵階段和利用階段。在這兩個(gè)階段中，身份攻擊的主要目標(biāo)是兩個(gè)：權(quán)限提升和橫向移動(dòng)。 所以，可以得出的結(jié)論是：身份攻擊向量的本質(zhì)是構(gòu)建權(quán)限攻擊鏈，以實(shí)現(xiàn)權(quán)限提升和橫向移動(dòng)。如下圖中的藍(lán)色虛線小圈所示：

圖7-權(quán)限攻擊鏈 ? 04 從傳統(tǒng)4A到現(xiàn)代5A

1）IAM(身份訪問管理)的5個(gè)A

圖8-身份管理的五個(gè)A IAM的新5A是指認(rèn)證(Authentication)、授權(quán)(Authorization)、管理(Administration)、審計(jì)(Audit)、分析(Analytics)。 而傳統(tǒng)4A是指認(rèn)證(Authentication)、授權(quán)(Authorization)、賬戶(Account)、審計(jì)(Audit)。 新5A和老4A的共性是：認(rèn)證、授權(quán)、審計(jì)。審計(jì)就不說了。書中對(duì)認(rèn)證、授權(quán)給了如下簡明公式：

認(rèn)證=登錄名+密鑰（口令）；

授權(quán)=權(quán)限(privilege)+認(rèn)證；

新5A和老4A的區(qū)別是：少了賬戶(Account)，但多了管理(Administration)和分析(Analytics)。這塊涉及到新5A和老4A的理念問題，故值得解釋一下。 ? 2）為何少了賬戶(Account)？ 筆者認(rèn)為：這與該書作者強(qiáng)調(diào)“身份”而弱化“賬戶”有關(guān)。 這里就涉及身份與賬戶和用戶的區(qū)別：

賬戶是身份的電子表示；

一個(gè)身份可以對(duì)應(yīng)到多個(gè)賬戶；

一個(gè)身份只能對(duì)應(yīng)到一個(gè)用戶；

從身份安全的角度看，身份比賬戶更重要。但身份只能通過賬戶來發(fā)揮作用，賬戶是身份的表現(xiàn)形式。而賬戶能否真正發(fā)揮身份的價(jià)值，取決于賬戶能否能被映射到身份上。 所以，賬戶與身份的關(guān)聯(lián)至關(guān)重要。無法關(guān)聯(lián)到身份的賬戶，都是身份的攻擊向量。比如企業(yè)中常見的“孤兒帳戶”，即那些沒有關(guān)聯(lián)到已知用戶的帳戶。還有應(yīng)用程序用來訪問數(shù)據(jù)庫的共享服務(wù)賬戶，如果無法關(guān)聯(lián)到真實(shí)的用戶身份，就沒法知道究竟是誰訪問了你的數(shù)據(jù)（參見《誰動(dòng)了你的數(shù)據(jù)？》）。而現(xiàn)代身份治理的核心目標(biāo)之一正是將賬戶與真實(shí)用戶（身份）建立關(guān)聯(lián)，盡量消除孤兒賬戶的存在。 所以，在傳統(tǒng)4A中，盡管已有賬戶體系，但很多時(shí)候卻無法映射到身份。這就是傳統(tǒng)4A只是賬戶安全，而現(xiàn)代5A才是身份安全的原因。 這里甚至涉及到類似哲學(xué)層面的問題：賬戶可以賦予一切網(wǎng)絡(luò)主體，而身份只能賦予人類或軟件機(jī)器人。也就是說，一個(gè)網(wǎng)絡(luò)主體（應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等）是否被賦予身份，要看它是否模仿一個(gè)人。想要模仿人的（比如快遞機(jī)器人）才需要身份，否則只需要賦予賬戶即可。也就是說，通常的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序，只需要分配賬戶即可。過度分配身份，將會(huì)把問題復(fù)雜化，也會(huì)導(dǎo)致更大的攻擊向量（因?yàn)?strong>身份攻擊向量大于賬戶攻擊向量）。 我們?cè)?jīng)設(shè)想，在即將來臨的萬物互聯(lián)時(shí)代，要對(duì)聯(lián)網(wǎng)的萬事萬物（物聯(lián)網(wǎng)設(shè)備）都分配數(shù)字身份。看完這本書時(shí)，你必然產(chǎn)生大大的問號(hào)。因?yàn)樗幌裎覀冎跋氲哪敲春唵巍?? 3）為何多了管理(Administration)？ 此處的管理是指對(duì)身份驗(yàn)證、授權(quán)、審計(jì)的任何變化進(jìn)行配置管理和治理控制。 在IAM領(lǐng)域發(fā)展了25年之后，我們回頭想一想：有多少東西發(fā)生了變化，又有多少東西沒有變化。就會(huì)發(fā)現(xiàn)：認(rèn)證(Authentication)和授權(quán)(Authorization)技術(shù)發(fā)現(xiàn)了太大變化；而管理(Administration)一直是比較穩(wěn)定的需求（也一直沒有做好）。所以，才要把管理從認(rèn)證和授權(quán)中分離出來，構(gòu)成單獨(dú)的一個(gè)A。 也許你會(huì)問起身份治理（Identity Governance），而身份治理恰恰涵蓋了管理(Administration)、審計(jì)(Audit)、分析(Analytics)這三個(gè)A。 ?

4）為何多了分析(Analytics)？

分析是指通過持續(xù)收集和處理與身份相關(guān)的配置、分配、使用數(shù)據(jù)，獲得運(yùn)營和安全洞察。

高級(jí)身份分析支持更明智、更具預(yù)測(cè)性的治理方法。通過使用機(jī)器學(xué)習(xí)(ML)和人工智能(AI)技術(shù)，身份分析工具可以提供重要的對(duì)等組分析信息，有助于擴(kuò)展身份審核和管理功能，并使它們更具動(dòng)態(tài)性和響應(yīng)性。

傳統(tǒng)4A缺少分析。隨著機(jī)器學(xué)習(xí)(ML)和人工智能(AI)的進(jìn)步，現(xiàn)在可以發(fā)現(xiàn)和處理大量的運(yùn)營數(shù)據(jù)，以揭示隱秘的洞察和可操作的指示，遠(yuǎn)遠(yuǎn)超越了傳統(tǒng)的基于規(guī)則的引擎所能實(shí)現(xiàn)的能力。

05 從IAM到PAM

領(lǐng)域的差異。IAM（身份與訪問管理）更加側(cè)重于身份；PAM（特權(quán)訪問管理）更加側(cè)重于權(quán)限。兩者分別應(yīng)對(duì)了兩大支柱（即身份支柱和權(quán)限支柱）的安全需求。

功能的差異。下圖展示了IAM和PAM的功能組成： ? ?

圖9-IAM和PAM的組件 用戶的差異。特權(quán)是比普通權(quán)限更高的權(quán)限。對(duì)用戶的最基本分類是兩種：標(biāo)準(zhǔn)用戶（具有普通權(quán)限）和管理員（具有特權(quán)，還進(jìn)一步分為本地管理員和域管理員）。通常，也會(huì)增加來賓用戶（低于標(biāo)準(zhǔn)用戶的權(quán)限）。 ?

關(guān)于用戶的更加精細(xì)的劃分。我們以具有制造環(huán)境的組織為例，IAM和PAM的用戶范圍如下圖所示：

圖10-IAM和PAM的范疇對(duì)比

資源的差異。權(quán)限的視角一方面是在宏觀用戶級(jí)別上（這是IAM側(cè)重的），另一方面是在微觀資源級(jí)別上（這是PAM側(cè)重的）。從資源層面看，將權(quán)限僅僅視作應(yīng)用程序的一部分，是短視的。權(quán)限還必須嵌入到資源的每個(gè)層次中，即嵌入到操作系統(tǒng)、文件系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫、虛擬機(jī)管理程序、云管理平臺(tái)，甚至通過分段嵌入網(wǎng)絡(luò)中，才能應(yīng)對(duì)高級(jí)別的權(quán)限攻擊。

可見性的差異。IAM可以回答“誰有權(quán)訪問什么？”但是，為了實(shí)現(xiàn)完全的用戶可見性，PAM解決了剩下的問題:“這種訪問合適嗎？”以及“這種訪問是否被恰當(dāng)?shù)厥褂?/strong>?”也就是說，PAM可以對(duì)特權(quán)帳戶的訪問和使用提供更多的可見性和更深入的審計(jì)。