在“企业边界正在崩溃,基于边界的安全防护体系正在失效”的背景下,“身份即信任”成为新的基石一代安全能力。特别是在零信任安全建设中,颠覆了传统的访问控制技术理念,将安全体系架构从网络中心化转向身份中心化,实现以身份为中心的新型网络访问控制.在此背景下,加强客户身份安全和访问管理(CIAM)也成为许多组织的优先事项。CIAM的基本特征和发展新一代客户身份和访问管理(CIAM)解决方案使组织能够为需要访问其业务应用程序和服务的外部用户实现便利性、隐私性和安全性的平衡。同时,它还允许组织不断改进用户体验(UX),以最大限度地减少开发人员对身份相关功能的需求,并满足监管和安全要求。一个有效的CIAM解决方案需要包括三个基本特征:身份验证、授权和身份管理。适当的身份验证可确保登录其帐户的用户与他们所说的一样;有效授权有助于组织为用户提供适当级别的应用程序和/或资源访问权限;全面的身份管理允许管理员更新用户访问权限并执行安全策略。CIAM这个词虽然近几年没变,但其内涵却发生了很多变化。如今,CIAM应用程序的主要类型包括:为消费者客户提供服务:在企业对消费者(B2C)应用程序中,有效的CIAM实施使您能够提供高度个性化的促销活动并推动更多收入和创造更多价值,同时确保轻松的用户体验整个企业的数字渠道。为企业客户提供支持:企业组织对SaaS系统的应用已经非常普遍。不同类型、不同层次的用户需要对不同资源拥有不同层次的访问权限,而打造便捷安全的体验需要通过CIAM对身份和访问权限进行精准管理。对第三方合作伙伴的支持:在许多情况下,身份信息必须由提供服务的组织管理。为了满足服务提供商的需求,CIAM系统还需要提供组织客户帐户创建、维护和维护所需的所有工具。在企业环境中,安全性有时胜过便利性,因此管理员可以在相对较少考虑用户体验的情况下进行控制。但客户身份管理必须在保持安全和隐私的同时将对业务运营的影响降到最低,并在不影响用户体验的情况下抵御日益复杂的身份安全威胁。CIAM面临的主要威胁CIAM服务的利用或攻击形式多种多样,但主要攻击目标多为以下两种结果:注册欺诈:攻击者创建傀儡账??户。帐户接管(ATO):攻击者获得对现有帐户的访问权限。注册欺诈攻击对企业的主要威胁包括:合法用户及相关利益的损失、声誉受损、直接经济损失、账户清理成本高等。账户盗用对企业的安全和隐私构成了更大的威胁。除了窃取关键业务数据外,他们还可能获得有价值的用户统计数据和个人身份信息(PII),这可能会导致组织受到严格的监管处罚。以及失去用户信任。根据最新的研究数据,当今最常见的身份安全攻击方法包括:1.欺诈注册在欺诈注册攻击(也称为虚假账户创建攻击)中,威胁行为者滥用账户注册过程来创建傀儡账??户。[欺诈注册攻击剖析]进行欺诈注册的动机有很多,包括:不公平地获取有价值的东西。赚取与创建帐户相关的奖励,包括礼品卡、加密货币令牌等。使用帐户发送垃圾邮件、虚假信息或进行社会工程攻击。进行合成身份欺诈,通常利用金融服务和公用事业账户。将帐户转售给关联方。损害提供商提供服务的能力,从而阻止合法用户注册。帐户接管(ATO)攻击是通过使用傀儡帐户来操纵登录成功率和失败率以绕过自动安全措施来实施的。2.凭据填充凭据填充(通常称为“凭据填充”)攻击利用了非常普遍的密码重用做法。当帐户持有人在多个站点重复使用相同(或相似)的密码时,会产生多米诺骨牌效应,即一个被盗用的凭据会危及多个应用程序。除了帐户接管目的外,凭据填充通常用于帐户发现/验证,目的是开发可出售的高质量凭据列表。[凭证填充攻击剖析]大多数此类攻击都使用暴力破解一长串受损凭证。不幸的是,发动此类攻击的障碍非常低。根据最新的调查数据,撞库是迄今为止直接观察到的最常见的身份攻击威胁。2022年第一季度共检测到近百亿次撞库事件,约占总流量/认证事件的34%。3.MFA绕过MFA(多因素身份验证)是防止帐户接管的有效方法,无论是来自凭据填充还是其他一些攻击媒介。要破坏受MFA保护的帐户,攻击者需要获取帐户凭据,或通过MFA质询作为辅助身份证明。研究人员发现,多种身份验证因素,尤其是SMS提供的一次性密码(OTP),现在很容易被各种攻击工具利用。此外,主动且资源充足的威胁参与者了解(并提供出售)MFA解决方法的情况并不少见。这些绕过机制通常利用遗留身份验证协议中的漏洞,因此,组织必须了解禁用或严格管理此类系统的必要性。【MFA旁路攻击分析】4.会话劫持在会话劫持攻击中,攻击者无需提供密码即可访问活动会话。只要会话保持活动状态,攻击者就可以保持访问。【session劫持攻击分析】实现这种结果的两种常见的攻击方式是:1.合法用户登录后,攻击者窃取用户的sessioncookie;2.攻击者使用准备好的sessionID通过恶意链接诱使用户登录。这两种方法都可以在一定程度上进行扩展,但会话劫持更??有可能被用作针对特定用户的针对性攻击的一部分。5.密码喷洒和猜测密码喷洒是一种暴力攻击方法,攻击者使用自动化工具尝试跨多个不同帐户使用通用密码。另一方面,密码猜测是一种更粗暴的方法,涉及在大量帐户中尝试许多密码。【密码喷洒攻击分析】由于用户不安全的密码习惯(如密码复用、使用常用词、设置弱密码等),攻击者只需利用泄露的密码列表和常用词词典。可能性。6.代码注入代码注入攻击是将代码插入到一个字段中,例如用户名,以利用无法清理输入的弱系统。例如,代码可能会要求后端忽略密码检查并自动将攻击者登录到用户数据库中的管理员帐户。一旦攻击者拥有管理访问权限,就可以执行范围广泛的入侵操作。[注入攻击剖析]7.会话重写与会话劫持一样,会话IDURL重写是一种向威胁参与者提供帐户访问权限的攻击;在这种情况下,攻击者窃取会话URL,这可以通过多种方式实现,包括:嗅探不安全的Wi-Fi连接。自己查看URL(例如,无意中回头看了一眼)。使用间谍软件/恶意软件来抓取屏幕图像。CIAM保护优化建议随着攻击者更多地关注破坏客户身份系统并发展他们的策略、技术和程序(TTP),以下安全建议对组织至关重要:实施深度防御工具,并在用户层有效地结合它们,应用层和网络层。持续监控他们的应用程序是否存在攻击迹象和TTP更改。根据保护需要及时进行政策调整(例如调整参数、收紧限制、引入新工具等)。[CIAM深度防御应用策略]正确有效地使用CIAM解决方案是每个现代组织面临的挑战。以下是一些一般优化建议:实施和鼓励MFA:MFA是破坏攻击的最有效方法之一,实施具有强大身份验证因素的多种方法并鼓励用户采用。限制失败的登录尝试:暴力破解、凭据填充和密码喷洒通常会在每次攻击成功之前触发许多失败。实施安全会话管理:使用服务器端安全会话管理器在登录后生成新的会话ID。不要将会话ID放在URL中,并确保它们在注销后立即过期。不要附带默认凭据:默认管理员凭据是主要的攻击媒介,因为许多用户保持不变,使系统容易受到字典攻击;强制使用强密码:许多暴力攻击依赖于弱密码或普通密码,建议企业强制执行密码长度和复杂性管理策略。监控泄露密码的使用:许多用户在多个站点重复使用相同或相似的密码,因此一项服务的泄露可能会危及许多其他服务,用户应该被迫及时更改泄露的凭据。不要存储明文密码:如果一个公司的密码数据库不能被直观地读取和识别,那么对于黑客来说就毫无价值,身份账户的加密是必要和合理的。
