零信任作為新一代的網(wǎng)絡(luò)安全防護(hù)理念，已經(jīng)成為全球網(wǎng)絡(luò)安全管理的基石。零信任的核心是「安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化」，「以身份為中心」的網(wǎng)絡(luò)訪問控制理念也逐漸被越來越多企業(yè)接受并實(shí)踐。

然而企業(yè)在面向用戶身份訪問和管理的實(shí)踐中還是面臨諸多網(wǎng)絡(luò)安全威脅，不同類型的行業(yè)、不同體量、不同地理位置等因素導(dǎo)致企業(yè)所面臨的安全風(fēng)險(xiǎn)也不盡相同，企業(yè)需要具備持續(xù)監(jiān)控的能力來了解所面臨的安全風(fēng)險(xiǎn)情況，同時(shí)具備強(qiáng)有力的安全防范措施來幫助企業(yè)應(yīng)對(duì)面臨的安全威脅。

本文根據(jù)最新的研究數(shù)據(jù)，盤點(diǎn)企業(yè)目前面臨的最常見的 6 個(gè)身份攻擊手段，以及對(duì)應(yīng)的防范建議。

01.欺詐性注冊(cè)

欺詐性注冊(cè)是指故意通過提供虛假信息以注冊(cè)欺詐性賬號(hào)或者身份，以此來獲得對(duì)受限資源、信息的訪問權(quán)限。

欺詐性注冊(cè)所造成的風(fēng)險(xiǎn)和影響有很多種，例如常見的通過賬號(hào)注冊(cè)漏洞虛假注冊(cè)大量僵尸賬號(hào)用以平臺(tái)活動(dòng)中來“薅羊毛”，或者發(fā)送大量垃圾、違法信息影響平臺(tái)聲譽(yù)。嚴(yán)重情況下可以獲取未經(jīng)授權(quán)訪問金融賬戶、竊取公司敏感信息或從事其他非法活動(dòng)。欺詐性注冊(cè)是身份盜用的一種形式，也是絕大多數(shù)企業(yè)最常面臨的安全風(fēng)險(xiǎn)。

防止欺詐性注冊(cè)的關(guān)鍵方法之一是實(shí)施強(qiáng)大的身份驗(yàn)證和驗(yàn)證流程。例如使用「自適應(yīng)多因素認(rèn)證」來驗(yàn)證訪問者身份，包括除賬密以外的安全問題、生物識(shí)別、口令認(rèn)證、手機(jī)或郵件驗(yàn)證碼等作為身份驗(yàn)證條件。

同時(shí)，在上文基礎(chǔ)上，另一個(gè)重要手段是監(jiān)控和檢測(cè)可疑活動(dòng)。這可能包括監(jiān)控異常登錄或?qū)γ舾行畔⒌脑L問，以及跟蹤 IP 地址和其他識(shí)別信息。例如某時(shí)刻注冊(cè)失敗率激增，側(cè)面反映該應(yīng)用程序可能正在遭受欺詐性注冊(cè)攻擊，如果檢測(cè)到類似可疑數(shù)據(jù)，企業(yè)可以采取措施，例如修改注冊(cè)規(guī)則或閾值來防止進(jìn)一步未經(jīng)授權(quán)的訪問。

02.撞庫(kù)攻擊

撞庫(kù)攻擊是指通過使用被盜或泄露的登錄憑據(jù)來未經(jīng)授權(quán)訪問賬戶。通常是通過使用自動(dòng)化工具在不同的網(wǎng)站和服務(wù)上嘗試大量用戶名和密碼組合來找到對(duì)應(yīng)的匹配項(xiàng)。因?yàn)楹芏嗳说亩鄠€(gè)賬戶可能使用相同的用戶名和密碼。這意味著如果攻擊者能夠獲得一組登錄憑據(jù)，就可以使用它來訪問多個(gè)賬戶。

攻擊者可能通過釣魚鏈接、網(wǎng)站以及個(gè)人或企業(yè)自身的數(shù)據(jù)漏洞來獲取登錄憑據(jù)，每年都因釣魚網(wǎng)站導(dǎo)致很多人泄漏了其信息，從而被不法分子用來竊取金融資產(chǎn)或者售賣個(gè)人信息等。對(duì)于企業(yè)而言用戶或員工的數(shù)據(jù)泄露將為企業(yè)帶來巨大的信任危機(jī)以及財(cái)產(chǎn)損失風(fēng)險(xiǎn)。

現(xiàn)在的不法分子可能通過多種手段來規(guī)避系統(tǒng)的監(jiān)測(cè)，例如通過變更 IP 來規(guī)避監(jiān)測(cè)，或通過爆破攻擊的手段短時(shí)間來嘗試數(shù)百個(gè)登錄憑據(jù)來暴力破解。部分企業(yè)設(shè)置了自動(dòng)監(jiān)測(cè)爆破攻擊的預(yù)警系統(tǒng)，但狡詐的攻擊者通過涓流等手段，及通過自動(dòng)化的工具在固定的時(shí)間內(nèi)極少量的攻擊以及穿插已知的有效憑據(jù)來誤導(dǎo)系統(tǒng)監(jiān)測(cè)，從而繞過安全防線。

防止撞庫(kù)攻擊的關(guān)鍵方案是企業(yè)和個(gè)人應(yīng)為每個(gè)賬戶設(shè)置強(qiáng)而獨(dú)特的密碼，并定期更新和更改密碼。對(duì)于企業(yè)而言，可以設(shè)置有效的密碼策略以及定期輪換，此外，使用多因素身份認(rèn)證可以提供額外的防護(hù)層。

03.繞過多因素認(rèn)證 (MFA)?

繞過多因素認(rèn)證 (MFA) 是指規(guī)避或繞過 MFA 安全措施以獲得對(duì)賬戶或系統(tǒng)的未授權(quán)訪問的手段。如上文所述，多因素認(rèn)證（MFA）包括短信驗(yàn)證、郵箱驗(yàn)證、生物特征認(rèn)證以及 OTP 口令認(rèn)證等。

繞過 MFA 可能通過多種方式完成，特別是針對(duì)一些相對(duì)較弱的次因素。例如，不法分子可以通過釣魚網(wǎng)站來獲取相應(yīng)的 OTP 指令或者通過建設(shè)偽基站等方式來截取短信驗(yàn)證碼從而盜取銀行賬戶信息或者其它個(gè)人信息。以及有些狡詐的攻擊者會(huì)通過引發(fā)系統(tǒng)大量發(fā)送 OTP 指令，讓用戶誤以為是系統(tǒng)漏洞，誘導(dǎo)用戶關(guān)閉 MFA 認(rèn)證，從而繞過 MFA 盜取信息。

有效防止讓過多因素認(rèn)證攻擊的關(guān)鍵就是摒棄傳統(tǒng)較弱的多因素認(rèn)證，轉(zhuǎn)換為「自適應(yīng)多因素認(rèn)證」。「自適應(yīng)多因素」認(rèn)證相較于傳統(tǒng)多因素認(rèn)證 MFA，能夠根據(jù)當(dāng)前安全狀況，選擇應(yīng)用不同的 MFA 方式，例如可以判斷用戶屬性，或?qū)ζ湫袨檫M(jìn)行分析（是否多次輸錯(cuò)密碼、或者是否在常用登錄地）或硬件設(shè)備信息 、ip 地址等。在用戶進(jìn)行認(rèn)證流程時(shí)，自適應(yīng)多因素認(rèn)證對(duì)當(dāng)前登錄的用戶生成的多種「關(guān)鍵要素」，在保障安全的同時(shí)兼顧用戶體驗(yàn)。

04.會(huì)話劫持

會(huì)話劫持是指攻擊者通過竊取用戶 Cookie 來獲得其訪問該應(yīng)用的全部權(quán)限和數(shù)據(jù)。會(huì)話劫持通常發(fā)生在瀏覽器或 Web 應(yīng)用會(huì)話中，在多數(shù)情況下，當(dāng)用戶登錄 Web 應(yīng)用時(shí)，服務(wù)器會(huì)生成一個(gè)臨時(shí)的會(huì)話 Cookie，以記住該用戶當(dāng)前已通過身份驗(yàn)證并登錄。攻擊者會(huì)通過誘導(dǎo)用戶點(diǎn)擊釣魚鏈接或者使用跨站點(diǎn)腳本通過系統(tǒng)漏洞注入腳本代碼等多種方式來劫持會(huì)話 Cookie。

一旦會(huì)話劫持成功，系統(tǒng)會(huì)將攻擊者的連接視為對(duì)應(yīng)原始用戶的有效會(huì)話。并可以執(zhí)行該用戶在其系統(tǒng)中所有權(quán)限，例如在金融賬戶中可以轉(zhuǎn)移資產(chǎn)或者在公司系統(tǒng)中可以隨意刪庫(kù)或者盜取企業(yè)機(jī)密等。防止會(huì)話劫持的方式有很多種，例如確保對(duì)所有會(huì)話流量進(jìn)行 SSL/TLS 加密。這將防止攻擊者攔截純文本會(huì)話 ID，即使他們正在監(jiān)視受害者的流量。或者使用強(qiáng)身份驗(yàn)證等手段（如 MFA），讓每一次涉及安全的操作都需要被監(jiān)聽或者驗(yàn)證。

05.密碼噴射或猜測(cè)

密碼噴射是指通過對(duì)許多不同的用戶賬戶嘗試使用一個(gè)密碼來獲得對(duì)賬戶的未授權(quán)訪問。這與暴力攻擊不同，在暴力攻擊中，攻擊者針對(duì)單個(gè)賬戶嘗試許多不同的密碼。

密碼猜測(cè)是一種類似的技術(shù)，攻擊者通過猜測(cè)特定用戶賬密。例如常用的密碼（123456 等）或使用有關(guān)用戶的其他信息（例如他們的姓名、生日或愛好）來生成潛在密碼來完成。密碼噴灑或猜測(cè)仍然是目前賬密被盜的主要手段，尤其是當(dāng)用戶使用弱密碼或容易猜到的密碼時(shí)。

防止這類攻擊的關(guān)鍵是確保用戶設(shè)置的密碼是強(qiáng)密碼，例如設(shè)置特定的密碼策略來引導(dǎo)用戶需要按照平臺(tái)的強(qiáng)密碼規(guī)則來設(shè)置其密碼。并且增加多因素認(rèn)證來進(jìn)一步保障認(rèn)證的安全性。并設(shè)置定期更新的密碼策略或者引導(dǎo)用戶定期更新密碼以降低被盜風(fēng)險(xiǎn)。

06.注入攻擊

注入攻擊是指攻擊者將惡意代碼注入網(wǎng)站或應(yīng)用程序。注入攻擊通常用于利用 Web 應(yīng)用程序、數(shù)據(jù)庫(kù)或其他系統(tǒng)中的漏洞。注入攻擊包括 SQL 注入、代碼注入和命令注入。通常注入攻擊有以下行為：

• 識(shí)別漏洞：攻擊者必須識(shí)別目標(biāo)網(wǎng)站或應(yīng)用程序中可以通過注入利用的漏洞。通常攻擊者通過手動(dòng)測(cè)試應(yīng)用程序或使用自動(dòng)化工具掃描漏洞。

• 注入惡意代碼：一旦攻擊者確定了易受攻擊的目標(biāo)，他們就可以將惡意代碼注入應(yīng)用程序。

• 執(zhí)行代碼：注入代碼后，攻擊者可以執(zhí)行代碼以獲取敏感信息或執(zhí)行其他惡意操作。例如通過相應(yīng)指令使得系統(tǒng)忽略密碼監(jiān)測(cè)等操作，使得攻擊者可以竊取、修改或刪除數(shù)據(jù)等。

防止注入攻擊的關(guān)鍵是需要有嚴(yán)格有效的權(quán)限管理策略，限制不同用戶的訪問權(quán)限，以及包括但不限于使用參數(shù)傳值、基礎(chǔ)過濾和二次過濾、漏洞檢測(cè)工具、安全參數(shù)、數(shù)據(jù)庫(kù)加密等策略。

以上列舉了常見的身份攻擊方式以及一些防范措施，企業(yè)可以根據(jù)特定情況來設(shè)置更完善的安全防范措施。包括但不僅限于自適應(yīng)多因素認(rèn)證、密碼策略、權(quán)限管理、數(shù)據(jù)加密、異地登錄檢測(cè)、登錄/注冊(cè)速率限制、機(jī)器人檢測(cè)、Cookie 時(shí)效等等。

除此之外擁有完善的行為分析和風(fēng)險(xiǎn)預(yù)警機(jī)制也至關(guān)重要，以及能通過可視化的審計(jì)日志幫助管理員迅速獲悉風(fēng)險(xiǎn)并設(shè)置對(duì)應(yīng)防范策略。

在如今變幻莫測(cè)的安全環(huán)境下，企業(yè)需要擁有足夠的安全能力將這些能力編排在業(yè)務(wù)系統(tǒng)的各個(gè)環(huán)節(jié)來保障用戶的身份安全以及不損失用戶體驗(yàn)，這對(duì)于絕大多數(shù)企業(yè)實(shí)施起來都是非常困難的。所以擁有一個(gè)可以快速集成、配置和管理的身份安全管理解決方案將極大降低企業(yè)自己實(shí)施的投入成本以及安全風(fēng)險(xiǎn)。

如果您的企業(yè)正在面臨復(fù)雜的安全挑戰(zhàn)，或者您希望未雨綢繆提前為企業(yè)布局安全措施，可以聯(lián)系我們的身份安全專家免費(fèi)為您的企業(yè)定制解決方案。