客戶身份與訪問管理(CIAM)常見威脅分析與應對

在「企業邊界正在瓦解,基於邊界的安全防護體系正在失效」的大背景下,「身份即信任」(Identity is Trust)已成為新一代安全能力構建的基石。特別是在零信任安全建設中,對傳統訪問控制技術進行了理念上的顛覆,倡導安全體系架構從網路中心化走向身份中心化,實現以身份為中心的新型網路訪問控制。在此背景下,加強客戶身份安全和訪問管理(CIAM)也成為許多組織的優先實現。

CIAM的基本特徵與發展

新一代客戶身份和訪問管理(CIAM)解決方案使組織能夠為需要訪問其業務應用系統和服務的外部使用者實現便利性、隱私性和安全性方面的平衡。同時,它還允許組織不斷發展使用者體驗(UX),以最大限度地減少開發人員對身份相關功能的需求,並滿足監管和安全要求。

有效的CIAM解決方案需要包含三個基本特徵:身份驗證、授權和身份管理。

  • 正確的身份驗證可確保登入賬戶的使用者是他們所稱的身份;

  • 有效的授權有助於組織為使用者提供對應用程序和/或資源的適當訪問級別;

  • 全面的身份管理允許管理員更新使用者訪問許可權並實施安全策略。

最近幾年,雖然CIAM的說法一直保持不變,但其內在含義已經發生了許多變化。如今,CIAM的主要應用類型包括:

  • 服務消費者客戶:在企業對消費者(business-to-consumer,B2C)應用中,有效的CIAM實施使您能夠提供高度個性化的促銷和建議,從而為客戶帶來更多收入並創造更多價值,同時確保在整個企業中提供便捷的使用者體驗數字頻道;

  • 為企業客戶提供支持:企業組織對SaaS系統的應用已經非常普及。不同類型、級別的使用者需要對不同資源擁有不同級別的訪問許可權,而創建便捷安全的體驗需要通過CIAM精確管理身份和訪問許可權;

  • 支持第三方合作伙伴:在許多情況下,身份資訊必須由提供服務的組織管理。為了滿足服務提供商需求,CIAM系統還需要提供組織客戶賬戶創建、維護和維護所需的所有工具。

在企業環境中,安全性的要求有時會高於便利性,因此管理員可以在相對較少考慮使用者體驗的情況下實施控制。但客戶身份管理必須在保持安全性和隱私性的同時,最大限度地減少對業務開展的影響,在不影響使用者體驗的情況下抵禦日益複雜的身份安全威脅。

CIAM面臨的主要威脅

利用或針對CIAM服務的攻擊有多種形式,但是攻擊的主要目標多為以下兩種結果:

  • 註冊欺詐:攻擊者創建傀儡賬戶;

  • 賬戶接管(ATO):攻擊者獲得對現有賬戶的訪問許可權。

註冊欺詐攻擊對企業的主要威脅包括:失去合法使用者和相關利益、聲譽受損、直接經濟損失以及產生高昂的賬號清理費用。而賬戶接管對企業的安全和隱私構成了更大的威脅,除了竊取關鍵業務資料,他們還可能獲得有價值的使用者統計資訊和個人身份資訊(PII),導致組織可能會面臨嚴格的監管處罰,以及失去使用者的信任。

據最新的研究資料顯示,目前最常見的身份安全攻擊手法包括:

01

欺詐性註冊

在欺詐性註冊攻擊(也稱為虛假賬戶創建攻擊)中,威脅行為者會濫用賬戶註冊過程來創建傀儡賬戶。

【欺詐性註冊攻擊剖析】

【欺詐性註冊攻擊剖析】

執行欺詐性註冊的動機有很多,包括:

  • 不公平地獲得有價值的東西;

  • 獲得與創建賬戶相關的獎勵,包括禮品卡、加密貨幣代幣等;

  • 利用賬戶開展垃圾郵件發送、虛假資訊或社會工程攻擊活動;

  • 進行合成身份欺詐,通常利用金融服務和公用事業賬戶;

  • 將賬戶轉售給相關方;

  • 損害提供商提供的服務能力,從而阻止合法使用者註冊;

  • 通過使用傀儡賬戶操縱登入成功率和失敗率以繞過自動安全措施,來實施賬戶接管(ATO)攻擊。

02

憑據填充

憑據填充(俗稱「撞庫」)攻擊利用了非常普遍的密碼重用實踐。當賬戶持有人在多個站點上重複使用相同(或相似)的密碼時,就會產生多米諾骨牌效應,其中一個憑據受損將威脅多個應用程序。

除了賬戶接管目的外,憑證填充還通常用於賬戶發現/驗證,其目標是開發可以出售的高質量憑證列表。

【憑據填充攻擊剖析】

【憑據填充攻擊剖析】

大多數此類攻擊都使用暴力破解一長串被破壞的憑據。不幸的是,發動此類攻擊的障礙非常低。根據最新調查資料顯示,撞庫攻擊是目前直接觀察到的最常見身份攻擊威脅。在2022年第一季度,共計檢測到近100億次撞庫事件,約佔總流量/身份驗證事件的34%。

03

MFA繞過

MFA(多因素身份驗證)是防止賬戶接管的有效方法,無論是來自撞庫攻擊還是來自其他一些攻擊媒介。要破壞實施MFA保護的賬戶,攻擊者需要獲取賬戶憑據,或者通過MFA質詢作為身份的輔助證明。研究人員發現,現在有多種攻擊工具可以很輕鬆地針對一些身份驗證因素髮起攻擊,尤其是SMS傳遞的一次性密碼(OTP)。此外,積極主動且資源充足的威脅參與者知道(並提供出售)MFA的變通辦法並不罕見。這些繞過機制通常利用遺留身份驗證協議中的漏洞,因此,組織必須了解禁用或嚴格管理此類系統的必要性。

【MFA繞過攻擊剖析】

【MFA繞過攻擊剖析】

04

會話劫持

在會話劫持攻擊中,攻擊者無需提供密碼即可訪問活躍會話。只要會話保持活躍狀態,攻擊者就會保持訪問許可權。

【會話劫持攻擊剖析】

【會話劫持攻擊剖析】

實現此結果的兩種常見攻擊方法是:1. 合法使用者登入後,攻擊者竊取使用者的會話cookie;2. 攻擊者通過帶有準備好的會話ID的惡意連結誘騙使用者登入。這兩種方法都可以在一定程度上進行擴展,但會話劫持更有可能被用作針對特定使用者的針對性攻擊的一部分。

05

密碼噴射與猜測

密碼噴射是一種暴力攻擊方法,攻擊者使用自動化工具嘗試跨多個不同賬戶的通用密碼。而密碼猜測則是一種更粗略的方法,會在海量的賬戶中嘗試許多密碼。

【密碼噴射攻擊剖析】

【密碼噴射攻擊剖析】

由於使用者不安全的密碼習慣(例如密碼重用、使用常用詞、設置弱密碼等),攻擊者只需簡單地利用洩露密碼列表和常用詞詞典就可以顯著提高破解正確密碼的可能性。

06

程式碼注入

程式碼注入攻擊是將程式碼插入到一個欄位中,例如使用者名,以利用未能清理輸入的薄弱系統。例如,程式碼可能會要求後端忽略密碼檢查,並自動將攻擊者登入到使用者資料庫中的管理員賬戶。一旦攻擊者擁有管理訪問許可權,就可以進行廣泛的入侵操作。

【注入攻擊剖析】

【注入攻擊剖析】

07

會話重寫

與會話劫持一樣,會話ID URL重寫是一種為威脅參與者提供帳戶訪問許可權的攻擊;在這種情況下,攻擊者竊取了會話URL,這可以通過多種方式實現,包括:

  • 嗅探不安全的Wi-Fi連接;

  • 親自查看URL(例如,無意地後頭瞥見);

  • 使用間諜軟體/惡意軟體抓取螢幕圖像。

CIAM防護最佳化建議

隨著攻擊者將更多注意力集中在入侵客戶身份系統上,且不斷發展他們的策略、技術和程序(TTP),下述安全建議對於企業來說至關重要:

  • 實施縱深防禦工具,並在使用者層、應用層和網路層有效結合使用;

  • 持續監控其應用程序的攻擊跡象和TTP變化;

  • 根據防護需要及時進行策略調整(例如,調整參數、收緊限制、引入新工具等)。

【CIAM縱深防禦應用策略】

【CIAM縱深防禦應用策略】

正確有效地使用CIAM方案對每個現代組織都是一個挑戰。以下是一些通用最佳化建議:

  • 實施和鼓勵MFA:MFA是破壞攻擊最有效的方法之一,實施具有強大認證因素的多種方法並鼓勵使用者採用;

  • 限制失敗的登入嘗試:暴力破解、憑證填充和密碼噴射通常會在每次攻擊得手前觸發許多失敗;

  • 實施安全會話管理:使用伺服器端的安全會話管理器,在登入後生成新的會話ID。不要將會話ID放在URL中,並確保它們在註銷後立即失效;

  • 不要附帶默認憑據:默認管理員憑據是主要的攻擊媒介,因為許多使用者保持不變,使系統容易受到字典攻擊;

  • 強制使用強密碼:許多暴力攻擊依賴於弱密碼或普通密碼,建議企業強制要求並執行密碼長度和複雜性管理策略;

  • 監控已洩露密碼的使用:許多使用者在多個站點上重複使用相同或相似的密碼,因此一項服務的洩露可能會威脅到許多其他服務,應該強制使用者及時更改被破壞的憑據;

  • 不要儲存純文字密碼:如果企業的密碼資料庫無法直觀讀取識別,那麼它對駭客來說毫無價值,對身份賬號進行加密是必須的,也是合理的。

參考連結:

https://assets.ctfassets.net/2ntc334xpx65/5B8jmyTUmE1P6SDCaBh8mz/3062de705791d0e2aec249022ff50840/The_State_of_Secure_Identity_2022_Auth0.pdf

相關文章

新一代IAM技術發展面面觀

新一代IAM技術發展面面觀

統一身份和訪問管理(Identity and access management,IAM)並非一個新安全概念,但它在當今「數字優先」的世界中...

CNNVD 通報微軟多個安全漏洞

CNNVD 通報微軟多個安全漏洞

近日,CNNVD(國家資訊安全漏洞庫)正式通報微軟多個安全漏洞,其中微軟產品本身漏洞77個,影響到微軟產品的其他廠商漏洞8個。包括Micro...

2022年10大最酷網路安全新品

2022年10大最酷網路安全新品

2022年的網路安全領域新品迭出,從下一代網路防火牆到最新的安全訪問服務邊緣(SASE),各大安全廠商都在全力滿足使用者對創新網路安全技術不...