虽然99%的企业计划在安全方面投入更多,但只有52% 的企业完全实施了多因素身份验证 (MFA),只有41% 的企业在访问管理中遵守最小特权原则。
包括民族国家、国家资助的攻击者和网络犯罪团伙在内的对手继续利用生成式人工智能、机器学习 (ML) 和不断增长的人工智能武器库来磨练他们的技术,以发起日益复杂的身份攻击。深度伪造、精心策划的社会工程和基于人工智能的身份攻击、合成欺诈、土地居住 (LOTL) 攻击以及许多其他技术和策略表明,安全团队有可能在与对抗性人工智能的战争中失败。
“身份仍然是安全领域中最棘手的领域之一——从最基本的术语来说:您需要授权(authZ:访问权限)和身份验证(authN:访问方式)。在计算机安全领域,我们非常努力地将 authZ 和 authN 结合起来,” Reco.ai的 CISO Merritt Baer在最近的一次采访中表示。
“我们必须确保使用人工智能进行本土防御,因为你无法在人类规模上对抗来自对手的人工智能武器化攻击。你必须在机器规模上做到这一点,”思科执行副总裁兼首席产品官 Jeetu Patel 在今年早些时候接受 VentureBeat 采访时表示。
最重要的是,身份继续受到攻击,而对手不断努力改进针对弱身份安全性的基于人工智能的间谍技术,这是快速增长的威胁。身份定义安全联盟 (IDSA)最近的报告《2024 年数字身份安全趋势》反映了身份的脆弱性以及对手正在以多快的速度创建新的攻击策略来利用它们。
对身份的攻击确实存在,并且还在不断加剧。
“云、身份和远程管理工具以及合法凭证是攻击者一直在关注的领域,因为在端点上不受约束地操作太难了。既然你可以以管理员用户身份登录,为什么要尝试绕过并在端点上处理像 CrowdStrike 这样的复杂平台呢?” CrowdStrike的首席技术官 Elia Zaitsev在最近的一次采访中告诉 VentureBeat。
绝大多数企业(90%)在过去 12 个月内至少经历过一次与身份相关的入侵和违规行为。IDSA 还发现,今年有84%的公司遭受了直接业务影响,高于 2023 年的 68%。
“未来将不再是电视直播,而是情境化的。坏人利用 0-day(新)漏洞来获取访问权限的情况很少见——既然可以使用前门,为什么要使用特殊的东西呢?他们几乎总是使用有效的凭证,”贝尔说。
“我们发现 80% 的攻击都与身份有关,这是攻击者使用的关键技术,”CrowdStrike 总裁 Michael Sentonas 在今年的Fal.Con 2024上向观众说道。Sentonas 继续说道:“像 Scattered Spider 和 Cozy Bear 这样的老练团体向我们展示了攻击者如何利用身份。他们使用密码喷洒、网络钓鱼和 MTM 框架。他们窃取合法凭证并注册自己的设备。”
基于身份的攻击为何激增
根据CrowdStrike 的 2023 年威胁搜寻报告,基于身份的攻击今年激增,通过云实例元数据 API 收集凭据的尝试增加了160% ,Kerberoasting 攻击增加了583%。
对身份的全面攻击凸显了需要采取更具适应性、身份优先的安全策略,以降低风险并超越传统的基于边界的方法:
不受控制的人机身份蔓延正在迅速扩大威胁面。IDSA发现,81% 的 IT 和安全领导者表示,他们所在组织的身份数量在过去十年中翻了一番,这进一步增加了潜在攻击面的数量。超过半数的受访高管(57%)认为,管理身份蔓延是 2025 年的首要任务,93% 的高管正在采取措施控制它。随着机器身份不断增加,安全团队也需要制定策略来管理它们。一般来说,组织的机器身份数量是人类身份数量的45 倍,许多组织甚至不知道自己到底有多少个机器身份。管理机器身份的挑战在于考虑到 DevOps、网络安全、IT、IAM 和 CIO 团队的不同需求。
利用深度伪造和基于模仿的网络钓鱼技术发起的对抗性人工智能攻击日益增多。深度伪造代表着对抗性人工智能攻击的最前沿,仅去年一年就增长了 3,000%。预计到 2024 年,深度伪造事件将增加 50% 至 60%,今年全球预计将发生 14 万至 15 万起此类事件。对抗性人工智能正在创造出意想不到的新攻击媒介,并创建一个新的、更复杂、更微妙的威胁格局,其中优先考虑身份驱动的攻击。Ivanti的最新研究发现,30% 的企业尚未制定计划来识别和防御对抗性人工智能攻击,74% 的受访企业已经看到了人工智能威胁的证据。在参与研究的大多数 CISO、CIO 和 IT 领导者中,60% 的人表示,他们担心自己的企业没有做好准备防御人工智能带来的威胁和攻击。
从 Microsoft Active Directory (AD) 开始,更加积极地瞄准身份平台。每个攻击者都知道,他们越快控制 AD,就越快控制整个公司。从赋予自己管理员权限到删除所有其他管理员帐户以在攻击期间进一步保护自己,攻击者知道锁定 AD 会锁定整个企业。一旦 AD 受到控制,攻击者就会在网络中横向移动并安装勒索软件、窃取有价值的数据,并且已知会重新编程 ACH 帐户。对外付款将进入攻击者控制的影子账户。
远程和混合员工过度依赖单因素身份验证,而没有在公司范围内强制实施应用级别的多因素身份验证。最近对身份验证趋势的研究发现,73%的用户在多个帐户中重复使用密码,而如今密码共享在企业中十分普遍。此外,远程员工的特权帐户凭据不受监控,为特权帐户滥用创造了条件,这是今年74%基于身份的入侵事件的根源。
Telesign信任指数显示,在确保网络安全方面,确实存在值得担忧的因素。他们的研究发现,99% 的成功数字入侵都是在账户多因素身份验证(MFA) 关闭时发生的。Telesign 首席执行官 Christophe Van de Weyer 在最近的一次采访中说:“过去一年,人工智能的出现将数字世界中信任的重要性推到了风口浪尖。随着人工智能的不断发展和普及,我们必须优先考虑信任和安全,以保护个人和机构数据的完整性。在 Telesign,我们致力于利用人工智能和机器学习技术打击数字欺诈,确保为所有人提供更安全、更值得信赖的数字环境。”
执行良好的 MFA 计划将要求用户提供他们知道的、拥有的或某种形式的生物识别因素的组合。如此多的Snowflake 客户遭到入侵的主要原因之一是默认情况下未启用 MFA。CISA提供了一份关于MFA的有用事实表,其中详细说明了 MFA 的重要性及其工作原理。
勒索软件越来越频繁地使用被盗凭证发起攻击,助长了勒索软件即服务的繁荣。VentureBeat继续看到勒索软件攻击在医疗保健和制造业中呈指数级增长,因为攻击者知道中断他们的服务会导致更大的勒索软件支付倍数。德勤的 2024 年网络威胁趋势报告发现,44.7% 的违规行为都涉及被盗凭证作为初始攻击媒介。基于凭证的勒索软件攻击因造成运营混乱并因此造成重大财务损失而臭名昭著。勒索软件即服务 (RaaS) 攻击持续增加,因为攻击者正在积极钓鱼目标公司以获取其特权访问凭证。
安全领导者现在可以为小型团队采取的实用步骤
安全团队和支持他们的领导者需要首先假设他们的公司已经遭到入侵或即将遭到入侵。这是开始保护身份和攻击者瞄准的攻击面的至关重要的第一步。
Level 6 Cybersecurity 首席执行官 Kevin Jackson 表示:“我创办这家公司就是因为这是一个痛点。大规模管理访问权限确实非常困难。对于高权限用户(高管),你不能犯错,顺便说一句,他们也是在国外出差时‘需要立即访问电子邮件!’的人。
以下是任何安全领导者可以采取的保护整个企业身份的实用步骤:
- 审核并撤销前雇员、承包商和管理员的任何访问权限安全团队需要养成定期审核所有访问权限(尤其是管理员的访问权限)的习惯,以查看这些权限是否仍然有效以及此人是否仍在公司任职。对于任何安全团队来说,养成强化访问权限的习惯都是最好的肌肉记忆,因为事实证明,这样做可以阻止违规行为。定期寻找僵尸账户和凭证,并考虑如何使用 genAI 创建脚本来自动化此过程。内部攻击是安全团队及其领导的 CISO 的噩梦。此外,92%的安全领导者表示内部攻击与外部攻击一样复杂或更难识别,控制访问权限的必要性就变得显而易见。几乎所有 IAM 提供商都拥有自动异常检测工具,可帮助实施彻底的身份和访问权限清理。大约 60% 的公司在其网络安全套件中为此功能付费,但并未使用它。
- 将 MFA 视为无一例外的标准,并考虑如何将生物识别和无密码身份验证融入具有管理员权限和敏感数据的用户角色和角色中。安全团队需要依靠供应商来做到这一点,因为 Snowflake 和现在的Okta 使用 52 个字符长的用户名登录,无需提供密码即可访问登录会话。Gartner预计,到明年,50% 的劳动力将使用无密码身份验证。领先的无密码身份验证提供商包括Microsoft Azure Active Directory (Azure AD)、OneLogin Workforce Identity、Thales SafeNet Trusted Access和Windows Hello for Business。其中,Ivanti 的零登录 (ZSO)已集成到其 UEM 平台中,结合了无密码身份验证 FIDO2 协议,并支持生物识别技术,包括将 Apple 的 Face ID 作为辅助身份验证因素。
- 正确使用即时 (JIT) 配置是提供最低权限访问的核心部分。即时 ( JIT) 配置是零信任架构的关键要素,旨在通过将资源权限限制为特定持续时间和角色来降低访问风险。通过根据角色、工作负载和数据分类配置 JIT 会话,组织可以进一步控制和保护敏感资产。最近推出的Ivanti Neurons for App Control通过应用程序控制增强端点安全性,补充了 JIT 安全措施。该解决方案通过验证文件所有权和应用细粒度的权限管理来阻止未经授权的应用程序,有助于防止恶意软件和零日攻击。
- 通过配置 IAM 以获得最低特权访问,防止对手和潜在的内部威胁在 AWS 中承担机器角色。针对 AWS 实例的网络攻击正在增加,攻击者正在冒充机器角色。务必避免在 DevOps、工程、生产和 AWS 承包商中混合使用人类和机器角色。如果角色分配有误,流氓员工或承包商可以并且已经从 AWS 实例中窃取了机密数据,而无人知晓。审计交易并实施最低特权访问以防止此类入侵。AWS Identity and Access Management中有可配置选项来确保这种级别的保护。
预测 2025 年身份管理的未来
如果要为 2025 年的挑战做好准备,那么每个安全团队都需要假设身份驱动的入侵已经发生或即将发生。强制执行最低特权访问(零信任的核心组成部分)和关闭入侵的成熟策略需要成为优先事项。强制执行 JIT 配置也是必备条件。
更多的安全团队及其领导者需要对供应商进行严厉批评,并要求他们对支持 MFA 和高级身份验证技术的平台和应用程序负责。
在 2025 年推出网络安全项目时,没有理由不默认安装和启用 MFA。像 Snowflake 这样的复杂云数据库平台指出了为什么这必须成为新常态。Okta 最近疏忽允许使用 52 个字符的用户名来绕过密码,这表明这些公司需要更加努力、更加勤奋地在内部连接他们的工程、质量和红队,这样他们才不会将客户和他们的业务置于风险之中。
原创文章,作者:王 浩然,如若转载,请注明出处:https://www.dian8dian.com/2025-nian-de-shen-fen-guan-li-an-quan-tuan-dui-ke-tong-guo