Verizon近日发布的《2022年数据泄露调查报告》显示,61%的数据泄露事件可以追溯到身份凭证的泄露。很大的原因之一是黑色产业链的成熟。在过去几年中,专门从事交易身份的名为IngressAccessBroker(IAB)的角色越来越受欢迎,它显着降低了参与网络犯罪活动的门槛。一些猖獗的勒索软件,如LockBit、Avaddon、DarkSide、Conti、Blackyte等勒索软件通过在线黑市上的IAB购买访问凭证。身份相关攻击的激增一种流行的基于凭证的攻击称为帐户接管(ATO)。攻击者往往以他们认为有价值的账户为目标,例如银行账户和包含支付信息的账户,使用机器爬虫和机器学习等自动化工具对面向消费者的网站进行大规模和持续的攻击。借助自动化工具、基于购买证明的凭据填充(credentialstuffing),或者干脆暴力破解,接管受害者的账户。除了自动化工具,网络犯罪分子还可以通过钓鱼、中间人劫持、甚至冒充人工客服等方式,诱骗受害者点击恶意链接,最终获取身份账号。根据身份安全公司sift的数据,ATO已成为网络犯罪分子的首选武器,2019年至2020年间,对ATO的攻击激增了282%。通常,大多数组织依靠自动化访问控制工具来实施身份验证和授权服务,以确认身份的合法性。身份验证是关于知道用户是谁,而授权是关于允许用户做什么。此安全级别的访问控制层是抵御帐户攻击的第一道防线,但更高级的攻击者可以轻松绕过这些措施。因此,我们不仅要考虑“谁是用户,他们能做什么”的第二道防线,也就是一个可以学习和适应的动态身份检测系统。身份图网络攻击往往关注安全性和可用性的交叉点,因此只强调安全性或可用性必然会出错。如果只看安全协议应该怎样(为了安全而安全),我们忽略了用户真正的业务特征。如果我们只想着如何让它好用,无异于给坏人敞开了大门。传统的访问控制建立“允许/禁止”的决定,但这种“你是谁,你能做什么”的静态认证方式无法应对动态变化的攻击。为了解决这个差距,一个强大的学习系统来识别和阻止动态变化的攻击者策略,这就是为什么需要引入动态身份检测,一种称为身份图的技术。这种检测技术可以根据系统的使用方式和攻击者的策略进行观察和学习,包括暴力破解、重定向、篡改等ATO等攻击策略。IdentityGraph是一种基于海量(亿级图数据库)身份相关数据的实时防护技术,包括画像和行为模式,协助安全团队快速识别用户账户异常行为。通过这种实时的、数据驱动的方法,团队可以识别由自动化工具(例如机器人和机器学习算法)生成的行为和活动,并在它们造成任何损害(例如盗窃或欺诈性购买)之前检测到它们。防止。为了弥补静态身份验证和动态网络攻击的缺失,必须建立一个随着时间的推移不断发展以跟上攻击者策略并在整个身份生命周期中识别攻击者策略的学习系统。
