|
文末获取下载链接
介绍身份和访问管理(IAM)是一个业务流程、策略和技术框架,可促进数字身份的管理,以确保用户只有在拥有适当的凭据时才能访问数据。除了物理用户之外,服务和系统帐户也在IAM的范围内,对于IAM管理员在其组织内进行管理至关重要。清点、审核和跟踪所有这些身份及其访问权限对于确保定期执行适当的IAM(包括权限和活动状态)至关重要。管理日益复杂的数字身份可能令人生畏,尤其是在行业向云和混合计算环境推进的情况下;然而,如今对IAM的需求比以往任何时候都更加重要。近年来,我们看到各种国家主导的网络行动通过瞄准网络内建立的信任或利用IAM产品和/或IAM实施中的漏洞,成功地访问了受保护的数据。具体来说,美国境内的关键基础设施对对手来说是一个有吸引力的目标。事实上,根据2022年Verizon数据泄露调查报告,80%的Web应用程序攻击利用了被盗凭据,这是基本网络犯罪分子和民族国家不良行为者使用的一种技术。此外,不包括基于用户错误和内部滥用的违规行为,40%的违规行为涉及被盗凭据,近20%涉及网络钓鱼。最近值得注意的攻击包括:- 2021年,泄露的凭据被用来攻击和关闭美国殖民地国家天然气管道。
- 在2021年的另一项网络攻击中,一名未知攻击者操纵了佛罗里达州水处理厂的计算机系统,将供水中的氢氧化钠浓度提高了100倍。
- 2022年,另一次袭击针对英国南斯塔福德郡的一家水处理厂。
因此,关键基础设施组织负有实施、维护和监控安全IAM解决方案和流程的特殊责任,不仅要保护自己的业务功能和信息,还要保护与他们交互的组织和个人。请务必记住,IAM系统实施凭证管理、身份验证和授权功能,这些功能是安全性的基础,而且如果实施不正确,也非常复杂,并且容易受到漏洞的影响。与任何类型的软件一样,IAM解决方案也受到软件漏洞的影响,必须进行修补、更新和管理。易受攻击的IAM解决方案可以促进对整个组织中多个系统和数据的访问。因此,保护IAM基础设施至关重要。最终,目标是组织主动采取适当的措施来防范攻击,而不是部署基本的IAM功能为时已晚。为了解决各种关键公共和私营部门网络的风险,持久安全框架(ESF)主持了一个由政府和行业主题专家组成的工作小组,负责评估IAM面临的挑战和威胁,并确定有关如何减轻这些风险的建议。虽然工作组认识到需要一种广泛的分层网络防御方法,但本指南侧重于IAM中确定的对解决本文中列出的威胁至关重要的方面。范围本文阐述了管理员为解决极有可能、极具影响力或两者兼而有之的威胁而实施的IAM最佳实践。此外,它还确定了在减少这些威胁对IAM的影响方面最有效的缓解领域。本文重点介绍针对不良行为者经常使用的以下技术的缓解措施:- 接管前雇员的账户,这些账户在员工解雇时没有被暂停。
- 利用漏洞伪造身份验证断言(例如Kerberos票证、安全断言标记语言(SAML)断言、OAuth2)。
- 通过各种策略(例如网络钓鱼、多因素身份验证(MFA)绕过、撞库、密码喷洒、社会工程、暴力破解)泄露密码。
- 利用内置或系统账户中的默认密码,利用主动攻击降级,以及利用已弃用的加密或纯文本协议访问凭据。
威胁形势组织受到来自各种威胁来源的攻击,包括民族国家、恐怖组织、有组织犯罪、黑客活动主义者以及希望伤害或使组织难堪的个人。此外,组织会受到受信任的用户是危害源的攻击(例如,内部威胁)。威胁源的范围在功能、动机和方法方面差异很大。例如,民族国家行为者拥有大量资源,可以制定长期计划来获得关键资源。他们还可以使用间接方法,例如利用供应链。利用已知的IAM漏洞可以通过模仿合法活动,使不良行为者的检测复杂化,从而允许不良行为者与合法用户访问资源。这为不良参与者提供了更多时间来获取对资源的访问权限,并提升权限以获得持久访问权限。例如,最近的CISA警报(AA21-321A)4显示,伊朗政府资助的高级持续性威胁(APT)参与者正在利用IAM漏洞破坏凭证、提升权限并在域控制器、服务器、工作站以及负责身份验证和身份验证的目录中建立新的用户账户,从而积极瞄准美国多个关键基础设施部门的广泛受害者。授权用户和设备。这些参与者可以利用此访问权限进行后续操作,例如数据泄露或加密、勒索软件和勒索。
|
