身份攻擊向量 Identity Attack Vectors: Implementing an Effective Identity and Access Management Solution

在身份盜用頻發、身份管理不完善的現狀下，如何應對由此引發的企業安全風險成為安全從業人員關心的重點主題。本書針對IAM相關的風險、攻擊人員可以利用的技術，以及企業應該採用的最佳實踐進行瞭解讀。

《身份攻擊向量》分為21章，主要內容包括：什麽是身份，以及如何將身份相關的賬戶和憑據用作攻擊向量；實施有效的IAM計劃，並提供監管合規證明；瞭解身份管理控制在網絡殺傷鏈中的作用，以及如何將權限作為薄弱環節進行管理；將關鍵身份管理技術集成到企業生態系統中；通過周密計劃、實施部署、審計發現、報告和監督等多種手段來降低通過利用身份發起的攻擊。

《身份攻擊向量》適合網絡安全管理人員、身份訪問與管理實施人員和審計人員閱讀、參考。

 

莫雷·哈伯（Morey Haber）是BeyondTrust公司的首席技术官兼首席信息安全官。他在信息技术行业拥有20多年的工作经验，委托Apress出版了两本著作：Privileged Attack Vectors与Asset Attack Vectors。2018年，Bomgar收购了BeyondTrust，并保留了BeyondTrust这个名称。2012年，BeyondTrust公司收购eEye Digital Security公司后，Morey随之加入BeyondTrust公司。目前，Morey在BeyondTrust公司从事特权访问管理（PAM）、远程访问和漏洞管理（VM）解决方案的有关工作。2004年，Morey加入eEye公司，担任安全技术部门主管，负责财富500强企业的经营战略审议和漏洞管理架构。进入eEye之前，Morey曾担任CA公司的开发经理，负责新产品测试，以及跟进客户工作。Morey最初被一家开发飞行训练模拟器的政府承包商聘用，担任产品可靠性及可维护工程师，并由此开始了自己的职业生涯。Morey拥有纽约州立大学石溪分校电气工程专业理学学士学位。

 

达兰?罗尔斯（Darran Rolls）是SailPoint公司的首席信息安全官兼首席技术官，负责指导公司的技术战略和安全运营。他曾在Tivoli Systems、IBM、Waveset Technologies和Sun Microsystems等公司长期从事身份管理和安全工作。Darran曾协助设计、构建和交付一些新颖且具有突破性的技术解决方案，这些解决方案定义和塑造了“身份与访问管理”（IAM）行业。过去25年间，他经常在世界各地的身份与安全行业活动中发表演讲，在身份识别、隐私保护、身份治理与管理方面受到业内人士的尊重。Darran还是一位积极的行业标准贡献者，致力于推动身份管理和访问管理的标准化工作。

 

奇安信身份安全实验室，作为奇安信集团下属的实验室，专注于“零信任身份安全架构”的研究，率先在国内大力推广零信任的理念及技术落地，并翻译并出版了《零信任网络：在不可信网络中构建安全系统》一书。

奇安信身份安全实验室（以下简称为“实验室”）以“零信任安全，新身份边界”为技术理念，构建了涵盖“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力、适应数字化时代政企环境的零信任安全解决方案，推动了“零信任身份安全架构”在各行业的建设实践，并牵头制定了首个国家标准《信息安全技术 零信任参考体系架构》。

实验室凭借其领先的技术实力与方案优势，多次获得Forrester、Gartner、IDC、安全牛等国内外知名机构的推荐，并入选了工业和信息化部2021年大数据产业发展试点示范项目名单、工业和信息化部2021年数字技术融合创新应用典型解决方案名单。此外，还先后荣获我国智能科学技术最高奖“吴文俊人工智能科技进步奖”（企业技术创新工程项目）、2021年数博会领先科技成果“黑科技奖”等诸多奖项。

为了帮助广大读者和技术爱好者更好地理解零信任身份安全的相关信息，实验室成立了“零信任安全社区”公众号（微信ID：izerotrust），并定期分享和推送“零信任身份安全架构”在业界的研究和落地实践，欢迎广大读者和业界人士关注。

第 1章 網絡安全三大支柱 1

第 2章 橫向移動 5

第3章 企業IAM的5個A 8

3.1 認證 9

3.2 授權 9

3.3 管理 10

3.4 審計 11

3.5 分析 11

第4章 認識企業身份 13

4.1 人與人格 14

4.1.1 物理人格 15

4.1.2 電子人格 15

4.2 賬戶 17

4.3 憑據 17

4.4 實現 18

4.5 用戶 19

4.6 應用程序 20

4.7 機器 22

4.8 所有關系 23

4.9 自動化 24

4.10 賬戶類型 24

4.10.1 本地賬戶 25

4.10.2 集中式賬戶 26

4.10.3 功能型賬戶 27

4.10.4 管理型賬戶 27

4.10.5 服務型賬戶 28

4.10.6 應用程序管理賬戶 28

4.10.7 雲賬戶 29

4.11 權限 30

4.11.1 簡單權限 31

4.11.2 復雜權限 31

4.11.3 控制與治理 31

4.12 角色 31

4.12.1 業務角色 33

4.12.2 IT角色 33

4.12.3 支持最小權限原則的角色關系 34

4.12.4 發現、管理和生命周期控制 34

第5章 機器人 35

5.1 安全挑戰 35

5.2 管理機會 36

5.3 治理機器人 36

第6章 定義身份治理 37

6.1 誰可以訪問什麽 37

6.2 管理用戶訪問的復雜度 38

6.3 問題範圍 39

6.4 管理訪問的整個生命周期 40

第7章 身份治理流程 41

7.1 可見性、連接性與上下文 41

7.1.1 權威身份源 42

7.1.2 連接方法 43

7.1.3 API直連 44

7.1.4 共享存儲庫連接與延遲訪問 45

7.1.5 基於標準的連接器 45

7.1.6 自定義應用程序連接器 46

7.1.7 連接器核查和本地變化檢測 46

7.1.8 關聯和孤兒賬戶 47

7.1.9 非結構化數據的可見性 48

7.1.10 建立權限目錄 48

7.1.11 搜索與報表的力量 49

7.2 全生命周期管理 50

7.2.1 LCM狀態模型與生命周期事件 51

7.2.2 委托和手動事件 52

7.2.3 採取基於模型的方法 53

7.2.4 企業角色作為一種治理策略模型 53

7.2.5 嵌入式控制 54

7.3 開通與實現 54

7.3.1 開通網關和遺留開通流程 54

7.3.2 開通代理、重試和回滾 55

7.3.3 權限粒度與賬戶級開通 56

7.4 治理策略的執行 56

7.4.1 訪問合規的業務規則 57

7.4.2 防禦性策略與檢測性策略的執行 58

7.4.3 違規管理 59

7.5 核準與訪問審查 59

7.5.1 目的與流程 59

7.5.2 核準中的陷阱 61

7.5.3 演進與未來態 62

7.5.4 企業角色管理 63

7.5.5 為什麽是角色 64

7.5.6 角色模型基礎 65

7.5.7 工程、發現和分析 67

7.5.8 角色生命周期管理 68

7.5.9 企業角色相關提示與技巧 68

7.5.10 角色的未來 69

7.6 治理非結構化數據 70

7.6.1 改變問題的範圍 70

7.6.2 文件訪問治理能力 71

7.7 自助服務與委托 71

7.7.1 整合ITSM和IGA自助服務 72

7.7.2 自助服務訪問請求 73

7.7.3 密碼管理和賬戶自助服務 75

第8章 滿足合規性要求 77

8.1 持續合規 78

8.2 建立一個可重復流程 78

第9章 失陷指標 80

第 10章 身份攻擊向量 83

10.1 方法 83

10.2 手段 85

10.3 影響 86

10.4 特權 87

第 11章 網絡殺傷鏈中的身份管理控制 90

11.1 網絡殺傷鏈 90

11.1.1 偵察 91

11.1.2 入侵 92

11.1.3 利用 93

11.1.4 滲出 93

11.2 彌補IAM漏洞和疊加治理控制措施 94

第 12章 身份管理項目集規劃 97

12.1 項目集與項目 97

12.2 建立IG項目集 98

12.2.1 關鍵角色和責任 98

12.2.2 項目集的關鍵組件 99

12.3 項目集路線圖問題 100

第 13章 特權訪問管理 107

第 14章 即時訪問管理 116

第 15章 身份混淆 119

第 16章 跨域身份管理系統 121

第 17章 遠程訪問 123

第 18章 基於身份的威脅響應 125

第 19章 與身份有關的生物識別風險 128

第 20章 區塊鏈與身份管理 130

20.1 瞭解區塊鏈和分佈式賬本技術 130

20.1.1 哈希 131

20.1.2 區塊和鏈 131

20.1.3 工作量證明 133

20.1.4 缺陷與保護 135

20.2 對DLT應用身份管理 136

20.3 治理區塊鏈 139

第 21章 結束語 140