?編者薦語(yǔ)：

隨著身份變得越來(lái)越重要，攻擊者越來(lái)越多地將目標(biāo)對(duì)準(zhǔn)身份基礎(chǔ)設(shè)施本身。在復(fù)雜的攻擊鏈路當(dāng)中，身份將是一個(gè)核心的鏈路點(diǎn)，更是關(guān)鍵的檢測(cè)點(diǎn)與阻斷點(diǎn)。

以下內(nèi)容譯自Illusive《Illusive-Identity-Risk-Report-AIR-2022》

摘要

從勒索軟件到?APT，身份風(fēng)險(xiǎn)是重要的攻擊向量。 管理 Active Directory 的復(fù)雜性，導(dǎo)致所有組織都存在1/6的可利用的特權(quán)身份風(fēng)險(xiǎn)。 這些身份風(fēng)險(xiǎn)包括使用過時(shí)密碼的本地管理員、具有不必要權(quán)限的錯(cuò)誤配置用戶、在終端上暴露的緩存憑據(jù)等。?

當(dāng)攻擊者利用這些特權(quán)身份風(fēng)險(xiǎn)入侵終端時(shí)，他們將會(huì)安裝惡意軟件和竊取數(shù)據(jù)。?特權(quán)身份是重要的憑據(jù)，攻擊者利用它來(lái)竊取組織中重要數(shù)據(jù)。?不幸的是，大多數(shù)組織都沒有意識(shí)到這種風(fēng)險(xiǎn)——直到他們受到攻擊或直到Illusive公司幫助他們發(fā)現(xiàn)這些風(fēng)險(xiǎn)。

1.介紹，每個(gè)組織都易受到身份風(fēng)險(xiǎn)的影響

身份風(fēng)險(xiǎn)無(wú)處不在。根據(jù)?2021 年?Verizon?數(shù)據(jù)泄露事件報(bào)告，憑據(jù)是數(shù)據(jù)泄露事件中最受歡迎的數(shù)據(jù)類型。The Identity Defined Security Alliance報(bào)告稱，79% 的組織經(jīng)歷過與身份相關(guān)的安全威脅。The Identity Theft Resource Center報(bào)告稱，勒索軟件攻擊在?2021 年翻了一番，并有望在 2022年超越網(wǎng)絡(luò)釣魚成為數(shù)據(jù)泄露的主要原因。?

然而，令人驚訝的是，所有組織都缺乏對(duì)這些身份風(fēng)險(xiǎn)的了解。在與金融服務(wù)、醫(yī)療保健和零售行業(yè)（以及其他行業(yè)）的眾多安全團(tuán)隊(duì)合作時(shí)，?Illusive 親眼目睹了這些風(fēng)險(xiǎn)，這些團(tuán)隊(duì)通常擁有最成熟的安全體系。 在過去 12 個(gè)月內(nèi)完成了這些組織的身份風(fēng)險(xiǎn)分析，我們的首份分析身份風(fēng)險(xiǎn)?(AIR) 2022 報(bào)告中展現(xiàn)了這些分析結(jié)果。

特權(quán)身份在企業(yè)組織中具有不同尋常的力量。它們可以重置密碼、更改策略、安裝軟件以及提取或加密數(shù)據(jù)。當(dāng)一個(gè)攻擊者使用這些特權(quán)身份之一入侵了一個(gè)終端，它就像用作弊代碼玩游戲一樣——他們幾乎可以做任何他們想做的事情。 可利用的身份風(fēng)險(xiǎn)使攻擊者能夠獲得初始訪問權(quán)限，在網(wǎng)絡(luò)上讓他們的權(quán)限得以維持，提升他們的權(quán)限，逃避防御，并加速他們的橫向移動(dòng)，直到他們完全控制目標(biāo)。?

不幸的是，Illusive 研究表明，所有組織都容易受到攻擊，并且1/6的終端具有至少一種可利用的身份風(fēng)險(xiǎn)。本研究從三個(gè)維度研究了這些風(fēng)險(xiǎn)：未經(jīng)管理的身份風(fēng)險(xiǎn)、錯(cuò)誤配置的身份風(fēng)險(xiǎn)和暴露的身份風(fēng)險(xiǎn)。其中許多風(fēng)險(xiǎn)相互重疊，并且現(xiàn)實(shí)情況是，Illusive 在每個(gè)組織中都發(fā)現(xiàn)了未經(jīng)管理、配置錯(cuò)誤和暴露身份風(fēng)險(xiǎn)的案例。

2.未經(jīng)管理的身份風(fēng)險(xiǎn)

未經(jīng)管理的身份風(fēng)險(xiǎn)可能表現(xiàn)的形式為過時(shí)的本地管理員密碼，使用臨時(shí)或測(cè)試管理員賬戶，或沒有應(yīng)用賬戶管理解決方案的本地管理員，等等。例如，在對(duì)一家金融服務(wù)機(jī)構(gòu)的分析中，Illusive發(fā)現(xiàn)了近400個(gè)本地管理員應(yīng)用了微軟的本地管理員密碼解決方案（LAPS），但有近500個(gè)本地管理員沒有應(yīng)用——這是一個(gè)合格的水平，但仍然遠(yuǎn)遠(yuǎn)好于平均水平。

作為一個(gè)最佳解決辦法，本地管理員應(yīng)該應(yīng)用特權(quán)賬戶管理解決方案；然而，這些解決方案的不斷變化和某些限制會(huì)導(dǎo)致未被管理和被遺忘的本地管理員賬號(hào)數(shù)量急劇增加。像應(yīng)用LAPS這樣的解決方案的目的是確保每個(gè)本地管理員都有唯一的密碼。在沒有這些解決方案的情況下，出現(xiàn)密碼重復(fù)使用的可能性更大，使攻擊者能夠入侵?jǐn)?shù)百個(gè)本地管理員賬戶，就像入侵一個(gè)賬戶一樣容易。

反過來(lái)說，本地管理員默認(rèn)賬戶名的使用（administrator）也降低了攻擊者入侵的門檻。如果這些默認(rèn)的管理員賬戶都使用相同的密碼，這將會(huì)使得攻擊者更容易入侵。

同樣，不受管理的身份風(fēng)險(xiǎn)的另一個(gè)來(lái)源是過時(shí)的密碼。作為最佳解決辦法，管理員密碼應(yīng)每?30 至 90 天更改一次。 密碼越舊越容易受到影響，特別是在這種情況下重用密碼，那么就可能遭受各種暴力攻擊。 此外，使用過時(shí)的密碼表明這些潛在的本地風(fēng)險(xiǎn)管理員仍然不受管理。

另一個(gè)與密碼有關(guān)的風(fēng)險(xiǎn)是本地管理員密碼從未被設(shè)置過的情況。有一些學(xué)術(shù)上的論點(diǎn)支持永遠(yuǎn)不要設(shè)置管理密碼，但現(xiàn)實(shí)是，這大大增加了內(nèi)部攻擊的風(fēng)險(xiǎn)，并且，在設(shè)備丟失或被盜的情況下，可能是災(zāi)難性的。

最后一個(gè)不受管理的風(fēng)險(xiǎn)是存在完全未知的本地管理員。這些管理員往往被命名為“temp”或“test”。 你可能想知道我們?nèi)绾螌⑦@種風(fēng)險(xiǎn)定義為未知，這是因?yàn)槊看挝覀兿蚪M織組織展示我們的發(fā)現(xiàn)時(shí)，他們反映并不知道那些管理員是誰(shuí)。 由于這些帳戶具有很高的權(quán)限，但不為人知，安全團(tuán)隊(duì)?wèi)?yīng)優(yōu)先考慮此類風(fēng)險(xiǎn)的補(bǔ)救措施。

3.錯(cuò)誤配置的身份風(fēng)險(xiǎn)

錯(cuò)誤配置的身份風(fēng)險(xiǎn)廣泛體現(xiàn)了我們所說的"影子管理員"。正如 "影子IT "是指在IT管理員未知的情況下部署IT系統(tǒng)。影子管理員是由具有權(quán)限的用戶定義的， 超出 IT 管理員的權(quán)限——這些權(quán)力可能會(huì)被用來(lái)提升權(quán)限。在我們對(duì)身份風(fēng)險(xiǎn)的分析中，Illusive在所有的組織中都發(fā)現(xiàn)了錯(cuò)誤配置影子管理員的例子。

例如，在一個(gè)醫(yī)療機(jī)構(gòu)的例子中。Illusive發(fā)現(xiàn)一個(gè)一級(jí)服務(wù)臺(tái)員工負(fù)責(zé)重設(shè)密碼，同時(shí)擁有三級(jí)權(quán)限來(lái)添加域管理員。如果這個(gè)一級(jí)管理員賬戶被入侵，那么攻擊者就可以將他們的賬戶添加為域管理員來(lái)提升他們的權(quán)限。坦白地說，我們?cè)谠S多組織中看到了這些風(fēng)險(xiǎn)。

最重要的是，40%的影子管理員風(fēng)險(xiǎn)可以一步到位地被利用——如果攻擊者入侵了其中一個(gè)錯(cuò)誤配置的身份，他們只需要一個(gè)權(quán)限，例如重新設(shè)置域管理員的密碼，就可以將他們的權(quán)限提升到域管理員。這對(duì)于攻擊者來(lái)說，很容易得到，也很容易利用。

有能力接管整個(gè)域的影子管理員是一個(gè)更令人擔(dān)憂的風(fēng)險(xiǎn)，它被發(fā)現(xiàn)的概率較低。如果說特權(quán)身份是相對(duì)重要的憑據(jù)，那么這些影子管理員就可以理解為更為重要的憑據(jù)。如果攻擊者入侵這些影子管理員之一，那么他們將無(wú)所不能。

最大的風(fēng)險(xiǎn)，但很少能夠觀察到，?是具有Microsoft Active Directory DCSync 權(quán)限的影子管理員（1.7% 的影子管理員擁有 DCSync權(quán)限）。 DCSync 權(quán)限是最高級(jí)別的權(quán)限——它們提供了以下能力：復(fù)制域控制器以創(chuàng)建新的域控或同步兩個(gè)控制器之間信息。

另一個(gè)需要注意的風(fēng)險(xiǎn)是，1/50的影子管理員是普通用戶。這是一個(gè)風(fēng)險(xiǎn)，因?yàn)樗鼈兩踔翉?IT 管理中被刪除（其他影子管理員可能至少在特權(quán)帳戶管理解決方案中被注冊(cè)）。這些員工在IT部門工作并被升職到新的崗位，可能是無(wú)意中被添加到特權(quán)的用戶組、臨時(shí)被授予權(quán)限的賬戶被遺忘、或賬戶被莫名其妙地創(chuàng)建。

例如，在一個(gè)在線零售商的例子中，Illusive發(fā)現(xiàn)了一個(gè)名叫“Steve Rogers”的影子管理員。如果這個(gè)名字感覺很熟悉，是因?yàn)樗敲绹?guó)隊(duì)長(zhǎng)的名字。當(dāng)我們調(diào)查這個(gè)發(fā)現(xiàn)時(shí)，我們發(fā)現(xiàn)所有的復(fù)仇者聯(lián)盟中的名字（例如, Tony Stark、Bruce Banner 等）以影子管理員的身份出現(xiàn)。事實(shí)證明這些影子管理員是由紅隊(duì)在滲透測(cè)試期間創(chuàng)建，測(cè)試結(jié)束之后，從未被刪除。它們存在于 Active Directory 中兩年多才被Illusive發(fā)現(xiàn)。

4.暴露的身份風(fēng)險(xiǎn)

暴露的風(fēng)險(xiǎn)包括緩存的憑據(jù)、應(yīng)用內(nèi)密碼存儲(chǔ)、操作系統(tǒng)密碼存儲(chǔ)和斷開連接的或掛起的遠(yuǎn)程桌面協(xié)議(RDP) 會(huì)話。這些數(shù)據(jù)是相當(dāng)于把你的用戶名和密碼記錄在紙上，攻擊者還可以使用各種工具來(lái)轉(zhuǎn)儲(chǔ)這些特權(quán)憑據(jù)，以便可以利用它們。

不幸的是，超過十分之一的終端包含已暴露的特權(quán)帳戶密碼，這是最普遍的身份風(fēng)險(xiǎn)之一。然而，它也是最容易補(bǔ)救的身份風(fēng)險(xiǎn)之一，暴露的特權(quán)帳戶密碼只需從終端中刪除即可。

網(wǎng)絡(luò)瀏覽器是暴露的身份風(fēng)險(xiǎn)的最大來(lái)源之一。云遷移和遠(yuǎn)程工作大趨勢(shì)導(dǎo)致軟件即服務(wù)的廣泛應(yīng)用（SaaS），但是當(dāng)特權(quán)憑據(jù)暴露在網(wǎng)絡(luò)瀏覽器中時(shí)，它們經(jīng)常被忽略，大多數(shù)特權(quán)訪問管理 (PAM) 解決方案往往會(huì)忽略這些風(fēng)險(xiǎn)。然而，攻擊者已經(jīng)自動(dòng)收集和利用這些憑據(jù)，這些憑據(jù)以極快的速度傳播到整個(gè)域。幾分鐘內(nèi)，攻擊可以迅速感染組織的大部分資產(chǎn)。

三分之一的暴露身份信息被存儲(chǔ)為"應(yīng)用內(nèi) "憑據(jù)，這些憑據(jù)也沒有被PAM解決方案所管理。這些憑據(jù)往往是硬編碼在舊版本的應(yīng)用中的，并且這些應(yīng)用程序存在于活動(dòng)目錄之外。這意味著任何旨在審計(jì)Windows域的工具，都會(huì)錯(cuò)過三分之一的憑據(jù)，如Bloodhound。其余三分之二暴露的憑據(jù)是來(lái)自特權(quán)Windows域賬戶。

超過四分之一的暴露憑據(jù)來(lái)自具有域管理員權(quán)限的特權(quán)Windows 域帳戶 。同樣，這些是重要的高權(quán)限賬戶。 如果攻擊者使用暴露的域管賬戶入侵終端，那么他們能做的攻擊就太廣泛了。

例如，在另一個(gè)金融服務(wù)機(jī)構(gòu)的一個(gè)案例中，Illusive發(fā)現(xiàn)了一個(gè)有密碼的域管服務(wù)賬戶已超過10年未更改密碼。更糟糕的是，這個(gè)管理賬戶的憑據(jù)是由一個(gè)軟件部署代理使用的，這使斷開的會(huì)話暴露在整個(gè)組織中，那么每一個(gè)終端都有暴露賬戶的最高權(quán)限。

此外，暴露憑據(jù)的41%來(lái)自具有影子管理員權(quán)限的特權(quán)Windows 域帳戶。 這種風(fēng)險(xiǎn)更大，因?yàn)橛白庸芾韱T通常是未知的，這意味著其他安全控制不會(huì)應(yīng)用于，使得針對(duì)它們的攻擊在更長(zhǎng)時(shí)間內(nèi)不被發(fā)現(xiàn)。

這不僅說明了這些身份風(fēng)險(xiǎn)如何重疊，而且也說明了組織如何努力發(fā)現(xiàn)并解決這些風(fēng)險(xiǎn)。?影子管理員從現(xiàn)有的身份管理解決方案中逃脫檢測(cè)，但發(fā)現(xiàn)它們暴露在外意味著它們正在積極被利用中。當(dāng)涉及到這些風(fēng)險(xiǎn)時(shí)，組織真的“不知道他們漏掉什么風(fēng)險(xiǎn)點(diǎn)”。

最后，許多來(lái)自特權(quán)?Windows 域帳戶暴露的憑據(jù)都有非常陳舊的密碼， 進(jìn)一步說明了這些身份風(fēng)險(xiǎn)如何重疊。事實(shí)上，這些暴露憑據(jù)的密碼年齡甚至比我們?cè)诒狙芯宽敳坑懻摰谋镜毓芾韱T密碼的年齡還要大，而且風(fēng)險(xiǎn)也同樣顯著。

5.結(jié)論：一個(gè)宏觀問題的微觀視角

每個(gè)組織都容易受到未經(jīng)管理、配置不當(dāng)和暴露的身份風(fēng)險(xiǎn)的影響。隨著組織依賴于越來(lái)越多的系統(tǒng)和應(yīng)用程序，組織必須管理的身份數(shù)量急劇增加。為了支持業(yè)務(wù)，身份和認(rèn)證在不斷變化，這就導(dǎo)致了身份管理和安全方面的巨大復(fù)雜性。在一個(gè)攻擊者利用身份作為重要攻擊向量的時(shí)代，即使是短時(shí)間暴露特權(quán)身份也會(huì)帶來(lái)重大風(fēng)險(xiǎn)。

大多數(shù)組織似乎都了解這種風(fēng)險(xiǎn)，因?yàn)樗麄兓ㄙM(fèi)了大量時(shí)間和精力來(lái)管理身份并投資部署?PAM 和 MFA 解決方案保護(hù)他們最有特權(quán)的帳戶。 盡管如此，他們
并不知道他們的組織中仍然存在的身份風(fēng)險(xiǎn)規(guī)模。?雖然大多數(shù)組織會(huì)定期掃描易受攻擊的代碼和應(yīng)用程序，但他們不會(huì)掃描脆弱的身份風(fēng)險(xiǎn)。

本報(bào)告的結(jié)果有助于解釋攻擊者在現(xiàn)代勒索軟件和其它網(wǎng)絡(luò)攻擊中越來(lái)越多地使用基于身份的攻擊策略。?大數(shù)圍繞身份的安全態(tài)勢(shì)存在差距，即使是在具有高度成熟的安全實(shí)踐的組織，只是讓攻擊者更容易入侵。

即使是最優(yōu)秀的安全團(tuán)隊(duì)也無(wú)法減輕身份風(fēng)險(xiǎn)，除非他們意識(shí)到這些風(fēng)險(xiǎn)。?雖然有些組織試圖通過紅隊(duì)演習(xí)、年度審計(jì)、腳本和電子表格來(lái)評(píng)估風(fēng)險(xiǎn)，但這些都是非常不完整的，因此是無(wú)效的。?與安全團(tuán)隊(duì)通過使用常規(guī)漏洞掃描器來(lái)管理漏洞類似，這些團(tuán)隊(duì)需要能夠自動(dòng)并連續(xù)掃描其業(yè)務(wù)中的身份風(fēng)險(xiǎn)。

勒索軟件攻擊占據(jù)了新聞?lì)^條，但組織要了解身份攻擊風(fēng)險(xiǎn)要困難得多。當(dāng)在實(shí)施身份風(fēng)險(xiǎn)評(píng)估時(shí)，Illusive處在一個(gè)獨(dú)特的位置，闡明了組織易受攻擊的脆弱身份風(fēng)險(xiǎn)。

這種易于執(zhí)行的遠(yuǎn)程評(píng)估可以識(shí)別關(guān)鍵的漏洞，包括緩存的憑據(jù)、未被管理的本地管理員和影子管理員。這些評(píng)估可以幫助安全團(tuán)隊(duì)圍繞他們的風(fēng)險(xiǎn)做出明智的決定，以應(yīng)對(duì)最主要的攻擊向量——可利用的身份憑據(jù)。

6.數(shù)據(jù)來(lái)源

從2021年1月1日到2021年12月31日，Illusive從部署了數(shù)百萬(wàn)個(gè)終端中抽取樣本進(jìn)行分析。該抽樣是來(lái)自全球25個(gè)以上的組織，包括一些世界上最大的金融服務(wù)、醫(yī)療保健和零售公司，每個(gè)樣本的容量是大約1500到75000個(gè)終端。

7.原文報(bào)告

https://illusive.com/wp-content/uploads/2022/02/Illusive-Identity-Risk-Report-AIR-2022.pdf