一文解析網(wǎng)絡(luò)安全的三大支柱

BeyondTrust公司（連續(xù)4年Gartner特權(quán)訪問管理象限之領(lǐng)導者）的首席技術(shù)官和首席信息安全官Morey Haber（莫雷·哈伯），與人合著，一口氣寫了三本書：

《身份攻擊向量》：從身份角度出發(fā)，考察攻擊向量，設(shè)計IAM(身份與訪問管理)方案。

《特權(quán)攻擊向量》：從權(quán)限角度出發(fā)，考察攻擊向量，設(shè)計PAM(特權(quán)訪問管理)方案。

《資產(chǎn)攻擊向量》：從資產(chǎn)角度出發(fā)，考察攻擊向量，設(shè)計漏洞管理方案。

有趣的是，作者認為：這三本書正好構(gòu)建了網(wǎng)絡(luò)安全的三大支柱：1）身份；2）權(quán)限；3）資產(chǎn)。而只有基于穩(wěn)固的三角架結(jié)構(gòu)，才能構(gòu)建穩(wěn)健的安全基礎(chǔ)。

最值得提醒的是：三大支柱的集成/整合至關(guān)重要。一個好的安全解決方案一定要有利于三大支柱的集成。反之，如果一個安全方案沒有跨這三個支柱來運行，也沒有促進三大支柱的互操作性和數(shù)據(jù)集成，那么它就是一個孤島解決方案。

對于如此系統(tǒng)闡述其安全框架和具體方案的系列書籍，筆者自然不愿錯過。在縱覽近千頁的英文版后，希望將其推薦給大家。

目前，《身份攻擊向量》中文版已經(jīng)于2022年8月面市，在此感謝譯者贈書！據(jù)悉，另外兩本也在翻譯過程之中。

本文試圖以世界頂級IAM和PAM專家的視角，反映身份和權(quán)限的攻擊向量和防御之道。

看見是王道！孤島很糟糕。你是在創(chuàng)造“看見”，還是在創(chuàng)造“孤島”？你能同時看見漏洞、身份、權(quán)限嗎？

關(guān)鍵詞：IAM（身份和訪問管理）；PAM（特權(quán)訪問管理）； 目? 錄

1.網(wǎng)絡(luò)安全的三大支柱

2.橫向移動的攻擊向量

3.網(wǎng)絡(luò)殺傷鏈中的身份攻擊向量

4.從傳統(tǒng)4A到現(xiàn)代5A

1）IAM(身份訪問管理)的5個A

2）為何少了賬戶(Account)？

3）為何多了管理(Administration)？

4）為何多了分析(Analytics)？

5.從IAM(身份訪問管理)到PAM(特權(quán)訪問管理)

6.洞察和見解

01 網(wǎng)絡(luò)安全的三大支柱

作者認為：在宏觀層面上，如果對所有安全解決方案進行分組，就會發(fā)現(xiàn)每個方案都屬于三個邏輯分組之一。這三個邏輯分組構(gòu)成了網(wǎng)絡(luò)安全的三大支柱。如下圖所示：

圖1-網(wǎng)絡(luò)安全的三大支柱?

三大支柱：

身份(Identity)：保護用戶的身份、帳戶、憑證，免受不當?shù)脑L問；

權(quán)限(Privilege)：對權(quán)限和特權(quán)的保護，以及對身份或帳戶的訪問控制；

資產(chǎn)(Asset)：對一個身份所使用（直接使用或作為服務(wù)使用）的資源的保護；

一個好的安全解決方案應(yīng)該同時涵蓋所有三個支柱，而這三大支柱的集成/整合至關(guān)重要。所以，一個好的安全解決方案一定要有利于三大支柱的集成/整合。 如果一個安全解決方案只能孤立運行，無法與其它方案兼容，也無法使三個支柱互通，就無法有效應(yīng)對現(xiàn)代威脅：

比如孤立的殺毒軟件方案：雖然能夠報告資產(chǎn)的感染情況，卻無法判斷惡意軟件使用什么身份（賬戶或用戶）或權(quán)限來入侵目標資產(chǎn)。因為它無法共享和獲取用戶的身份信息和身份的上下文。

再比如孤立的漏洞管理方案：雖然能夠掃描到資產(chǎn)的漏洞信息，卻無法發(fā)現(xiàn)可訪問該資產(chǎn)的賬戶和用戶組信息，也就無法更好地幫助確定補丁的優(yōu)先級，也無法幫助管理好身份攻擊向量。

話再說得狠一點：如果一個安全廠商沒有跨這三個支柱來運行，也沒有促進三大支柱的互操作性和數(shù)據(jù)交換的集成/整合策略，那么它確實就是一個單點/孤島解決方案。請慎用這樣的方案。 為何是3大支柱，而不是4或5根支柱？作者解釋說：因為3條腿的凳子不會晃！ 作者為三大支柱分別寫了一本書：

《身份攻擊向量》：中文版已出版。本文主要引自該書。該書更多地從身份角度出發(fā)，考察攻擊向量，設(shè)計IAM方案。

《特權(quán)攻擊向量》：中文版尚在編寫過程中，待出版。該書更多地從權(quán)限角度出發(fā)，考察攻擊向量，設(shè)計PAM方案。

《資產(chǎn)攻擊向量》：中文版尚在編寫過程中，待出版。該書主要講述資產(chǎn)漏洞管理。其重要性在于：漏洞管理是安全的基礎(chǔ)。當資產(chǎn)本身可被漏洞利用時，身份也難以得到保護。

02 橫向移動的攻擊向量 ? 攻擊向量總體上可以分為兩類：1）資產(chǎn)攻擊向量；2）權(quán)限攻擊向量。這兩類正好對應(yīng)于作者的兩本書：《資產(chǎn)攻擊向量》和《特權(quán)攻擊向量》。

資產(chǎn)攻擊向量/方法：一般通過漏洞和配置缺陷來實現(xiàn)。防御方法是漏洞管理、補丁管理、配置管理等傳統(tǒng)的網(wǎng)絡(luò)安全最佳實踐。在這個方面，每個組織都應(yīng)該做好，但在現(xiàn)實中并非如此。

權(quán)限攻擊向量/方法：通常采取某種形式的特權(quán)遠程訪問，所用技術(shù)包括口令猜測、字典攻擊、暴力破解、Hash傳遞、口令重置、默認憑據(jù)、后門憑證、共享憑據(jù)等。防御方法是零信任模型和即時(JIT)權(quán)限訪問管理。

值得特別說明的是：(狹義)零信任、即時身份、特權(quán)訪問管理這樣的現(xiàn)代安全模型，主要用于緩解權(quán)限攻擊向量，并不能緩解資產(chǎn)攻擊向量。 橫向移動是勒索軟件、機器人（Bot）、蠕蟲和其他惡意軟件等現(xiàn)代威脅的主要攻擊手段。 ? 橫向移動是指從一種資源轉(zhuǎn)向另一種資源并在這些資源之間持續(xù)跳轉(zhuǎn)的能力。所謂“資源”，不僅指資產(chǎn)（如計算機、操作系統(tǒng)、應(yīng)用程序、容器、虛擬機等），還包括賬戶和身份（如下表第一列所示）。 以橫向移動攻擊為例，兩類攻擊向量的示例如下表所示：

表2-橫向移動技術(shù)中的攻擊向量

上面只提到了兩個支柱的攻擊向量，第三個支柱（身份）的攻擊向量呢？我們將在下一小節(jié)專門呈現(xiàn)。

03 網(wǎng)絡(luò)殺傷鏈中的身份攻擊向量

以業(yè)界熟知的網(wǎng)絡(luò)殺傷鏈為例，來看看身份攻擊向量的表現(xiàn)方式。我們按照殺傷鏈的四個階段來分別反映（身份攻擊向量以藍色字體標記）： ?

圖3-偵察階段的身份攻擊向量 ?

圖4-入侵階段的身份攻擊向量 ?

圖5-利用階段的身份攻擊向量 ?

圖6-滲出階段的身份攻擊向量 從上述攻擊鏈的四個階段來看，身份攻擊的重點在于其中的兩個階段：入侵階段和利用階段。在這兩個階段中，身份攻擊的主要目標是兩個：權(quán)限提升和橫向移動。 所以，可以得出的結(jié)論是：身份攻擊向量的本質(zhì)是構(gòu)建權(quán)限攻擊鏈，以實現(xiàn)權(quán)限提升和橫向移動。如下圖中的藍色虛線小圈所示：

圖7-權(quán)限攻擊鏈 ? 04 從傳統(tǒng)4A到現(xiàn)代5A

1）IAM(身份訪問管理)的5個A

圖8-身份管理的五個A IAM的新5A是指認證(Authentication)、授權(quán)(Authorization)、管理(Administration)、審計(Audit)、分析(Analytics)。 而傳統(tǒng)4A是指認證(Authentication)、授權(quán)(Authorization)、賬戶(Account)、審計(Audit)。 新5A和老4A的共性是：認證、授權(quán)、審計。審計就不說了。書中對認證、授權(quán)給了如下簡明公式：

認證=登錄名+密鑰（口令）；

授權(quán)=權(quán)限(privilege)+認證；

新5A和老4A的區(qū)別是：少了賬戶(Account)，但多了管理(Administration)和分析(Analytics)。這塊涉及到新5A和老4A的理念問題，故值得解釋一下。 ? 2）為何少了賬戶(Account)？ 筆者認為：這與該書作者強調(diào)“身份”而弱化“賬戶”有關(guān)。 這里就涉及身份與賬戶和用戶的區(qū)別：

賬戶是身份的電子表示；

一個身份可以對應(yīng)到多個賬戶；

一個身份只能對應(yīng)到一個用戶；

從身份安全的角度看，身份比賬戶更重要。但身份只能通過賬戶來發(fā)揮作用，賬戶是身份的表現(xiàn)形式。而賬戶能否真正發(fā)揮身份的價值，取決于賬戶能否能被映射到身份上。 所以，賬戶與身份的關(guān)聯(lián)至關(guān)重要。無法關(guān)聯(lián)到身份的賬戶，都是身份的攻擊向量。比如企業(yè)中常見的“孤兒帳戶”，即那些沒有關(guān)聯(lián)到已知用戶的帳戶。還有應(yīng)用程序用來訪問數(shù)據(jù)庫的共享服務(wù)賬戶，如果無法關(guān)聯(lián)到真實的用戶身份，就沒法知道究竟是誰訪問了你的數(shù)據(jù)（參見《誰動了你的數(shù)據(jù)？》）。而現(xiàn)代身份治理的核心目標之一正是將賬戶與真實用戶（身份）建立關(guān)聯(lián)，盡量消除孤兒賬戶的存在。 所以，在傳統(tǒng)4A中，盡管已有賬戶體系，但很多時候卻無法映射到身份。這就是傳統(tǒng)4A只是賬戶安全，而現(xiàn)代5A才是身份安全的原因。 這里甚至涉及到類似哲學層面的問題：賬戶可以賦予一切網(wǎng)絡(luò)主體，而身份只能賦予人類或軟件機器人。也就是說，一個網(wǎng)絡(luò)主體（應(yīng)用程序、網(wǎng)絡(luò)設(shè)備等）是否被賦予身份，要看它是否模仿一個人。想要模仿人的（比如快遞機器人）才需要身份，否則只需要賦予賬戶即可。也就是說，通常的網(wǎng)絡(luò)設(shè)備和應(yīng)用程序，只需要分配賬戶即可。過度分配身份，將會把問題復雜化，也會導致更大的攻擊向量（因為身份攻擊向量大于賬戶攻擊向量）。 我們曾經(jīng)設(shè)想，在即將來臨的萬物互聯(lián)時代，要對聯(lián)網(wǎng)的萬事萬物（物聯(lián)網(wǎng)設(shè)備）都分配數(shù)字身份。看完這本書時，你必然產(chǎn)生大大的問號。因為它不像我們之前想的那么簡單。 ? 3）為何多了管理(Administration)？ 此處的管理是指對身份驗證、授權(quán)、審計的任何變化進行配置管理和治理控制。 在IAM領(lǐng)域發(fā)展了25年之后，我們回頭想一想：有多少東西發(fā)生了變化，又有多少東西沒有變化。就會發(fā)現(xiàn)：認證(Authentication)和授權(quán)(Authorization)技術(shù)發(fā)現(xiàn)了太大變化；而管理(Administration)一直是比較穩(wěn)定的需求（也一直沒有做好）。所以，才要把管理從認證和授權(quán)中分離出來，構(gòu)成單獨的一個A。 也許你會問起身份治理（Identity Governance），而身份治理恰恰涵蓋了管理(Administration)、審計(Audit)、分析(Analytics)這三個A。 ?

4）為何多了分析(Analytics)？

分析是指通過持續(xù)收集和處理與身份相關(guān)的配置、分配、使用數(shù)據(jù)，獲得運營和安全洞察。

高級身份分析支持更明智、更具預(yù)測性的治理方法。通過使用機器學習(ML)和人工智能(AI)技術(shù)，身份分析工具可以提供重要的對等組分析信息，有助于擴展身份審核和管理功能，并使它們更具動態(tài)性和響應(yīng)性。

傳統(tǒng)4A缺少分析。隨著機器學習(ML)和人工智能(AI)的進步，現(xiàn)在可以發(fā)現(xiàn)和處理大量的運營數(shù)據(jù)，以揭示隱秘的洞察和可操作的指示，遠遠超越了傳統(tǒng)的基于規(guī)則的引擎所能實現(xiàn)的能力。

05 從IAM到PAM

領(lǐng)域的差異。IAM（身份與訪問管理）更加側(cè)重于身份；PAM（特權(quán)訪問管理）更加側(cè)重于權(quán)限。兩者分別應(yīng)對了兩大支柱（即身份支柱和權(quán)限支柱）的安全需求。

功能的差異。下圖展示了IAM和PAM的功能組成： ? ?

圖9-IAM和PAM的組件 用戶的差異。特權(quán)是比普通權(quán)限更高的權(quán)限。對用戶的最基本分類是兩種：標準用戶（具有普通權(quán)限）和管理員（具有特權(quán)，還進一步分為本地管理員和域管理員）。通常，也會增加來賓用戶（低于標準用戶的權(quán)限）。 ?

關(guān)于用戶的更加精細的劃分。我們以具有制造環(huán)境的組織為例，IAM和PAM的用戶范圍如下圖所示：

圖10-IAM和PAM的范疇對比

資源的差異。權(quán)限的視角一方面是在宏觀用戶級別上（這是IAM側(cè)重的），另一方面是在微觀資源級別上（這是PAM側(cè)重的）。從資源層面看，將權(quán)限僅僅視作應(yīng)用程序的一部分，是短視的。權(quán)限還必須嵌入到資源的每個層次中，即嵌入到操作系統(tǒng)、文件系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫、虛擬機管理程序、云管理平臺，甚至通過分段嵌入網(wǎng)絡(luò)中，才能應(yīng)對高級別的權(quán)限攻擊。

可見性的差異。IAM可以回答“誰有權(quán)訪問什么？”但是，為了實現(xiàn)完全的用戶可見性，PAM解決了剩下的問題:“這種訪問合適嗎？”以及“這種訪問是否被恰當?shù)厥褂?/strong>?”也就是說，PAM可以對特權(quán)帳戶的訪問和使用提供更多的可見性和更深入的審計。