中安网星杨常城：身份威胁检测（ITDR）为何重要？

从攻击链路看攻击的核心三要素

经过对大量历年攻击案例的剖析总结，我们发现每个案例的攻击链路的复杂程度都有差异，通常是各种不规律的排列组合；攻击过程中不同阶段或者环节用到的技术方法可能都是不一样的。

不管是从早期的Kill Chain攻击杀伤链还是近几年大家讨论的ATT&CK攻击矩阵，我们可以将攻击过程大概分成：侦查突破、武器利用、防护绕过、横向拓展、安装植入、命令控制、目标达成 这7个阶段，ATT&CK我们主要分成了14个阶段。当然是7个阶段还是14个阶段大家可以有自己的理解，重要的是提出这种将攻击过程的分类思想如何结构化是值得思考的；以ATT&CK 举例，不仅将攻击阶段分类，同时还将每个阶段攻击场景和常见攻击方法进行列举。

过去我在复盘一些攻击案例的时候，可能会尝试将案例的攻击链路对应到ATT&CK 的分类过程及攻击技术方法中，但最后往往发现真实的案例可能只用到其中部分的分类过程，有些也没用到其中的技术方法，最后没办法将其关联起来。

我思考可能是攻击的过程不够标准，太过简单，但实际上每一次的攻击对应的攻击目的可能都不一样。比如内部发起的攻击可能并不需要过多的侦查突破攻击动作，比如在只针对一个网站的拖库攻击可能就没有后续动作。

我也思考是否是因为没有将不同阶段过程内的各种可能攻击场景和攻击技术枚举的更细一些，但实际上随着IT架构的不断变革，新业务场景对应新的攻击方法，攻击技术会一直变化和增多，是没办法枚举穷尽。

经过大量的分析，我发现无论多复杂的攻击链路都离不开最核心的三个攻击要素：

第一个要素是要知道攻击对象是谁，比如是一个IP地址，是一个应用系统，是一个账户等；

第二个要素是要拿到一个身份信息，比如是一个密码，是一个私钥，是一个凭据或证书等

第三个要素是进行身份的登录验证，验证登录这个对象。

三个要素不断的循环其实就可以形成一个复杂攻击链路。

现代化的攻击有什么特点和变化

IT架构变化，催生出很多新的业务及办公场景，对应被攻击的场景也将更加丰富，现在可能一个企业办公软件账户泄露，可能就会导致这个企业的大量数据丢失。

这几年安全领域讨论很多的是零信任（身份安全），零信任中很核心的一块就是身份安全，强调身份是新边界，身份对企业无处不在，端层、网络层、应用层、存储层等各个场景都会用到身份来验证。所以多数的零信任方案在落地的时候都有IAM、零信任网关这些，来掌控身份的颗粒度及授权管理。

那IAM、零信任网关被攻破呢，这对企业的影响会更大，年初也在网上看到了国外知名零信任公司okta被黑，泄露了大量账户；

未来部署在企业内部的IAM、零信任网关等零信任方案组件，也会持续被黑客关注，架构在变化，攻击者的关注重点也会发生变化。

零信任派系是偏安全管理理念，不会因为零信任的存在，安全检测派系就日渐式微，因为针对零信任相关的安全检测也是不可或缺的，比如针对身份的威胁检测。

过去我们已经看到国内大量攻击案例中都会去攻击AD、堡垒机、云平台、Vecenter、4a等身份基础设施，甚至有些安全厂商的系统也被攻击者攻击利用，针对零信任组件的攻击我相信也会越来越多。

为什么攻击者会选择这些对象进行攻击，无论是AD/堡垒机/IAM等对象都满足三个特点：

第一保存的身份凭据多，攻破之后能够拿到大量的身份密码或凭据等；

第二本身网络权限广，是攻击很好的跳板；

第三是控制机器多，能够让攻击者以此快速拓展战场。

对攻击者而言，这些对象攻击价值是极高的，所以企业应该去保护这些身份基础设施。

各个攻击环节都将充斥着身份类的攻击方法

攻击者在不同的场景不同的过程都会存在不同的身份类攻击手法。

第一在侦察突破环节，攻击者关注的口令的探测利用，会进行弱口令爆破、口令枚举、社工窃取密码、口令规律喷洒等身份类攻击动作。在进入内网控制端点之后攻击者会关注凭据窃取使用，会进行浏览器凭据提取、内存密码提取、本地密码窃取、应用凭据窃取等操作，不断通过账号密码来滚雪球控制更多机器扩大战场，同时攻击者也会重点关注被攻击企业的身份基础设施，比如IAM、AD、堡垒机、4A，控制类软件后台等。身份类的攻击在各个环节各个场景，攻击者都会高频地利用。

从前段时间Uber被黑案例来看身份攻击对整个攻击链路的重要性。

1、Uber员工感染恶意软件,导致员工凭据被泄漏；

2、涵盖Uber员工凭据的文件被放在暗网，黑客购买拿到员工凭据，黑客通过社工绕过了企业MFA身份验证；

3、黑客通过凭据和MAF认证权限利用vpn登录Uber内网，

4、黑客进入内网找到脚本文件里面存在PAM账户密码，利用PAM特权账号登录了各种敏感系统，比如vecenter、edr系统等，对企业资源一览无余。

在Uber事件中，一个员工凭据的泄漏，为攻击者打开了通往Uber网络世界的大门。PAM凭据的泄漏，攻击者成为Uber大量系统的控制者。我们发现整个攻击过程中，这个攻击者没有用到特别高超的攻击方法，漏洞技术等，只是通过持续不断的找账户、骗身份进行不断的登录验证就完成了攻击目的，形成这次的攻击链。

攻击者在内网的攻击思路将由单点突破变为利用特权身份批量横向移动，而这种攻击往往是使用特权账号的正常登录行为，这种攻击在行为特征上来看也是非恶意的。

部署在内网的NDR以及在业务系统边界防护设备等均难以识别此类行为，传统的终端安全更无法对此类身份向的恶意利用做出有效检测。Uber公司有端安全，有云安全的投入，也配了应急响应团队，但缺少身份安全运营才导致账号和凭据被黑客窃取滥用，从而使攻击者完成这次攻击。

构建全场景的身份防护和监控能力

通过集成接入各类场景里面身份基础设施（AD/IAM/堡垒机等）身份信息、身份日志等相关身份维度数据，也对各类身份设施本身做攻击面管理；

通过故事线引擎对收集到的数据做行为分析、告警分析等，也能够通过图计算技术梳理出每个账户的权限访问条目，以网状方式来展示；

通过标记一些新增密账户来反哺监控能力，密饵账户会自动同步到AD、IAM、云桌面、堡垒机中；同时也要支持响应功能，能够隔离账户权限，禁用用户等。

为什么攻击越来越复杂，因为IT架构在不断发展变化，从而企业的网络复杂度也逐步变高，攻击者需要进行繁杂的攻击过程才能完成攻击目的。

就像从最早很单一的网络架构，用户需要传统的网络边界防火墙；

再到web2.0时代，用户需要跟企业的网站进行交互，催生出WEB应用防火墙（WAF）；

再到如今身份是企业的新边界，那么应该需要一个身份防火墙（ITDR）。

Gartner今年发布的数份安全趋势报告中曾提及身份优先安全，将其解读为安全管理者在未来必须解决的重要趋势之一.