客户身份与访问管理(CIAM)常见威胁分析与应对
日期:2022年09月26日 阅:44
在“企业边界正在瓦解,基于边界的安全防护体系正在失效”的大背景下,“身份即信任”(Identity is Trust)已成为新一代安全能力构建的基石。特别是在零信任安全建设中,对传统访问控制技术进行了理念上的颠覆,倡导安全体系架构从网络中心化走向身份中心化,实现以身份为中心的新型网络访问控制。在此背景下,加强客户身份安全和访问管理(CIAM)也成为许多组织的优先实现。
CIAM的基本特征与发展
新一代客户身份和访问管理(CIAM)解决方案使组织能够为需要访问其业务应用系统和服务的外部用户实现便利性、隐私性和安全性方面的平衡。同时,它还允许组织不断发展用户体验(UX),以最大限度地减少开发人员对身份相关功能的需求,并满足监管和安全要求。
有效的CIAM解决方案需要包含三个基本特征:身份验证、授权和身份管理。
最近几年,虽然CIAM的说法一直保持不变,但其内在含义已经发生了许多变化。如今,CIAM的主要应用类型包括:
在企业环境中,安全性的要求有时会高于便利性,因此管理员可以在相对较少考虑用户体验的情况下实施控制。但客户身份管理必须在保持安全性和隐私性的同时,最大限度地减少对业务开展的影响,在不影响用户体验的情况下抵御日益复杂的身份安全威胁。
CIAM面临的主要威胁
利用或针对CIAM服务的攻击有多种形式,但是攻击的主要目标多为以下两种结果:
注册欺诈攻击对企业的主要威胁包括:失去合法用户和相关利益、声誉受损、直接经济损失以及产生高昂的账号清理费用。而账户接管对企业的安全和隐私构成了更大的威胁,除了窃取关键业务数据,他们还可能获得有价值的用户统计信息和个人身份信息(PII),导致组织可能会面临严格的监管处罚,以及失去用户的信任。
据最新的研究数据显示,目前最常见的身份安全攻击手法包括:
01
欺诈性注册
在欺诈性注册攻击(也称为虚假账户创建攻击)中,威胁行为者会滥用账户注册过程来创建傀儡账户。
【欺诈性注册攻击剖析】
执行欺诈性注册的动机有很多,包括:
02
凭据填充
凭据填充(俗称“撞库”)攻击利用了非常普遍的密码重用实践。当账户持有人在多个站点上重复使用相同(或相似)的密码时,就会产生多米诺骨牌效应,其中一个凭据受损将威胁多个应用程序。
除了账户接管目的外,凭证填充还通常用于账户发现/验证,其目标是开发可以出售的高质量凭证列表。
【凭据填充攻击剖析】
大多数此类攻击都使用暴力破解一长串被破坏的凭据。不幸的是,发动此类攻击的障碍非常低。根据最新调查数据显示,撞库攻击是目前直接观察到的最常见身份攻击威胁。在2022年第一季度,共计检测到近100亿次撞库事件,约占总流量/身份验证事件的34%。
03
MFA绕过
MFA(多因素身份验证)是防止账户接管的有效方法,无论是来自撞库攻击还是来自其他一些攻击媒介。要破坏实施MFA保护的账户,攻击者需要获取账户凭据,或者通过MFA质询作为身份的辅助证明。研究人员发现,现在有多种攻击工具可以很轻松地针对一些身份验证因素发起攻击,尤其是SMS传递的一次性密码(OTP)。此外,积极主动且资源充足的威胁参与者知道(并提供出售)MFA的变通办法并不罕见。这些绕过机制通常利用遗留身份验证协议中的漏洞,因此,组织必须了解禁用或严格管理此类系统的必要性。
【MFA绕过攻击剖析】
04
会话劫持
在会话劫持攻击中,攻击者无需提供密码即可访问活跃会话。只要会话保持活跃状态,攻击者就会保持访问权限。
【会话劫持攻击剖析】
实现此结果的两种常见攻击方法是:1. 合法用户登录后,攻击者窃取用户的会话cookie;2. 攻击者通过带有准备好的会话ID的恶意链接诱骗用户登录。这两种方法都可以在一定程度上进行扩展,但会话劫持更有可能被用作针对特定用户的针对性攻击的一部分。
05
密码喷射与猜测
密码喷射是一种暴力攻击方法,攻击者使用自动化工具尝试跨多个不同账户的通用密码。而密码猜测则是一种更粗略的方法,会在海量的账户中尝试许多密码。
【密码喷射攻击剖析】
由于用户不安全的密码习惯(例如密码重用、使用常用词、设置弱密码等),攻击者只需简单地利用泄露密码列表和常用词词典就可以显著提高破解正确密码的可能性。
06
代码注入
代码注入攻击是将代码插入到一个字段中,例如用户名,以利用未能清理输入的薄弱系统。例如,代码可能会要求后端忽略密码检查,并自动将攻击者登录到用户数据库中的管理员账户。一旦攻击者拥有管理访问权限,就可以进行广泛的入侵操作。
【注入攻击剖析】
07
会话重写
与会话劫持一样,会话ID URL重写是一种为威胁参与者提供帐户访问权限的攻击;在这种情况下,攻击者窃取了会话URL,这可以通过多种方式实现,包括:
CIAM防护优化建议
随着攻击者将更多注意力集中在入侵客户身份系统上,且不断发展他们的策略、技术和程序(TTP),下述安全建议对于企业来说至关重要:
【CIAM纵深防御应用策略】
正确有效地使用CIAM方案对每个现代组织都是一个挑战。以下是一些通用优化建议:
参考链接: