BeyondTrust公司（連續4年Gartner特權訪問管理象限之領導者）的首席技術官和首席信息安全官Morey Haber（莫雷·哈伯），與人合著，一口氣寫了三本書：

《身份攻擊向量》：從身份角度出發，考察攻擊向量，設計IAM(身份與訪問管理)方案。

《特權攻擊向量》：從權限角度出發，考察攻擊向量，設計PAM(特權訪問管理)方案。

《資產攻擊向量》：從資產角度出發，考察攻擊向量，設計漏洞管理方案。

有趣的是，作者認為：這三本書正好構建了網絡安全的三大支柱：1）身份；2）權限；3）資產。而只有基于穩固的三角架結構，才能構建穩健的安全基礎。

最值得提醒的是：三大支柱的集成/整合至關重要。一個好的安全解決方案一定要有利于三大支柱的集成。反之，如果一個安全方案沒有跨這三個支柱來運行，也沒有促進三大支柱的互操作性和數據集成，那么它就是一個孤島解決方案。

對于如此系統闡述其安全框架和具體方案的系列書籍，筆者自然不愿錯過。在縱覽近千頁的英文版后，希望將其推薦給大家。

目前，《身份攻擊向量》中文版已經于2022年8月面市，在此感謝譯者贈書！據悉，另外兩本也在翻譯過程之中。

本文試圖以世界頂級IAM和PAM專家的視角，反映身份和權限的攻擊向量和防御之道。

看見是王道！孤島很糟糕。你是在創造“看見”，還是在創造“孤島”？你能同時看見漏洞、身份、權限嗎？

關鍵詞：IAM（身份和訪問管理）；PAM（特權訪問管理）； 目? 錄

1.網絡安全的三大支柱

2.橫向移動的攻擊向量

3.網絡殺傷鏈中的身份攻擊向量

4.從傳統4A到現代5A

1）IAM(身份訪問管理)的5個A

2）為何少了賬戶(Account)？

3）為何多了管理(Administration)？

4）為何多了分析(Analytics)？

5.從IAM(身份訪問管理)到PAM(特權訪問管理)

6.洞察和見解

01 網絡安全的三大支柱

作者認為：在宏觀層面上，如果對所有安全解決方案進行分組，就會發現每個方案都屬于三個邏輯分組之一。這三個邏輯分組構成了網絡安全的三大支柱。如下圖所示：

圖1-網絡安全的三大支柱?

三大支柱：

身份(Identity)：保護用戶的身份、帳戶、憑證，免受不當的訪問；

權限(Privilege)：對權限和特權的保護，以及對身份或帳戶的訪問控制；

資產(Asset)：對一個身份所使用（直接使用或作為服務使用）的資源的保護；

一個好的安全解決方案應該同時涵蓋所有三個支柱，而這三大支柱的集成/整合至關重要。所以，一個好的安全解決方案一定要有利于三大支柱的集成/整合。 如果一個安全解決方案只能孤立運行，無法與其它方案兼容，也無法使三個支柱互通，就無法有效應對現代威脅：

比如孤立的殺毒軟件方案：雖然能夠報告資產的感染情況，卻無法判斷惡意軟件使用什么身份（賬戶或用戶）或權限來入侵目標資產。因為它無法共享和獲取用戶的身份信息和身份的上下文。

再比如孤立的漏洞管理方案：雖然能夠掃描到資產的漏洞信息，卻無法發現可訪問該資產的賬戶和用戶組信息，也就無法更好地幫助確定補丁的優先級，也無法幫助管理好身份攻擊向量。

話再說得狠一點：如果一個安全廠商沒有跨這三個支柱來運行，也沒有促進三大支柱的互操作性和數據交換的集成/整合策略，那么它確實就是一個單點/孤島解決方案。請慎用這樣的方案。 為何是3大支柱，而不是4或5根支柱？作者解釋說：因為3條腿的凳子不會晃！ 作者為三大支柱分別寫了一本書：

《身份攻擊向量》：中文版已出版。本文主要引自該書。該書更多地從身份角度出發，考察攻擊向量，設計IAM方案。

《特權攻擊向量》：中文版尚在編寫過程中，待出版。該書更多地從權限角度出發，考察攻擊向量，設計PAM方案。

《資產攻擊向量》：中文版尚在編寫過程中，待出版。該書主要講述資產漏洞管理。其重要性在于：漏洞管理是安全的基礎。當資產本身可被漏洞利用時，身份也難以得到保護。

02 橫向移動的攻擊向量 ? 攻擊向量總體上可以分為兩類：1）資產攻擊向量；2）權限攻擊向量。這兩類正好對應于作者的兩本書：《資產攻擊向量》和《特權攻擊向量》。

資產攻擊向量/方法：一般通過漏洞和配置缺陷來實現。防御方法是漏洞管理、補丁管理、配置管理等傳統的網絡安全最佳實踐。在這個方面，每個組織都應該做好，但在現實中并非如此。

權限攻擊向量/方法：通常采取某種形式的特權遠程訪問，所用技術包括口令猜測、字典攻擊、暴力破解、Hash傳遞、口令重置、默認憑據、后門憑證、共享憑據等。防御方法是零信任模型和即時(JIT)權限訪問管理。

值得特別說明的是：(狹義)零信任、即時身份、特權訪問管理這樣的現代安全模型，主要用于緩解權限攻擊向量，并不能緩解資產攻擊向量。 橫向移動是勒索軟件、機器人（Bot）、蠕蟲和其他惡意軟件等現代威脅的主要攻擊手段。 ? 橫向移動是指從一種資源轉向另一種資源并在這些資源之間持續跳轉的能力。所謂“資源”，不僅指資產（如計算機、操作系統、應用程序、容器、虛擬機等），還包括賬戶和身份（如下表第一列所示）。 以橫向移動攻擊為例，兩類攻擊向量的示例如下表所示：

表2-橫向移動技術中的攻擊向量

上面只提到了兩個支柱的攻擊向量，第三個支柱（身份）的攻擊向量呢？我們將在下一小節專門呈現。

03 網絡殺傷鏈中的身份攻擊向量

以業界熟知的網絡殺傷鏈為例，來看看身份攻擊向量的表現方式。我們按照殺傷鏈的四個階段來分別反映（身份攻擊向量以藍色字體標記）： ?

圖3-偵察階段的身份攻擊向量 ?

圖4-入侵階段的身份攻擊向量 ?

圖5-利用階段的身份攻擊向量 ?

圖6-滲出階段的身份攻擊向量 從上述攻擊鏈的四個階段來看，身份攻擊的重點在于其中的兩個階段：入侵階段和利用階段。在這兩個階段中，身份攻擊的主要目標是兩個：權限提升和橫向移動。 所以，可以得出的結論是：身份攻擊向量的本質是構建權限攻擊鏈，以實現權限提升和橫向移動。如下圖中的藍色虛線小圈所示：

圖7-權限攻擊鏈 ? 04 從傳統4A到現代5A

1）IAM(身份訪問管理)的5個A

圖8-身份管理的五個A IAM的新5A是指認證(Authentication)、授權(Authorization)、管理(Administration)、審計(Audit)、分析(Analytics)。 而傳統4A是指認證(Authentication)、授權(Authorization)、賬戶(Account)、審計(Audit)。 新5A和老4A的共性是：認證、授權、審計。審計就不說了。書中對認證、授權給了如下簡明公式：

認證=登錄名+密鑰（口令）；

授權=權限(privilege)+認證；

新5A和老4A的區別是：少了賬戶(Account)，但多了管理(Administration)和分析(Analytics)。這塊涉及到新5A和老4A的理念問題，故值得解釋一下。 ? 2）為何少了賬戶(Account)？ 筆者認為：這與該書作者強調“身份”而弱化“賬戶”有關。 這里就涉及身份與賬戶和用戶的區別：

賬戶是身份的電子表示；

一個身份可以對應到多個賬戶；

一個身份只能對應到一個用戶；

從身份安全的角度看，身份比賬戶更重要。但身份只能通過賬戶來發揮作用，賬戶是身份的表現形式。而賬戶能否真正發揮身份的價值，取決于賬戶能否能被映射到身份上。 所以，賬戶與身份的關聯至關重要。無法關聯到身份的賬戶，都是身份的攻擊向量。比如企業中常見的“孤兒帳戶”，即那些沒有關聯到已知用戶的帳戶。還有應用程序用來訪問數據庫的共享服務賬戶，如果無法關聯到真實的用戶身份，就沒法知道究竟是誰訪問了你的數據（參見《誰動了你的數據？》）。而現代身份治理的核心目標之一正是將賬戶與真實用戶（身份）建立關聯，盡量消除孤兒賬戶的存在。 所以，在傳統4A中，盡管已有賬戶體系，但很多時候卻無法映射到身份。這就是傳統4A只是賬戶安全，而現代5A才是身份安全的原因。 這里甚至涉及到類似哲學層面的問題：賬戶可以賦予一切網絡主體，而身份只能賦予人類或軟件機器人。也就是說，一個網絡主體（應用程序、網絡設備等）是否被賦予身份，要看它是否模仿一個人。想要模仿人的（比如快遞機器人）才需要身份，否則只需要賦予賬戶即可。也就是說，通常的網絡設備和應用程序，只需要分配賬戶即可。過度分配身份，將會把問題復雜化，也會導致更大的攻擊向量（因為身份攻擊向量大于賬戶攻擊向量）。 我們曾經設想，在即將來臨的萬物互聯時代，要對聯網的萬事萬物（物聯網設備）都分配數字身份?？赐赀@本書時，你必然產生大大的問號。因為它不像我們之前想的那么簡單。 ? 3）為何多了管理(Administration)？ 此處的管理是指對身份驗證、授權、審計的任何變化進行配置管理和治理控制。 在IAM領域發展了25年之后，我們回頭想一想：有多少東西發生了變化，又有多少東西沒有變化。就會發現：認證(Authentication)和授權(Authorization)技術發現了太大變化；而管理(Administration)一直是比較穩定的需求（也一直沒有做好）。所以，才要把管理從認證和授權中分離出來，構成單獨的一個A。 也許你會問起身份治理（Identity Governance），而身份治理恰恰涵蓋了管理(Administration)、審計(Audit)、分析(Analytics)這三個A。 ?

4）為何多了分析(Analytics)？

分析是指通過持續收集和處理與身份相關的配置、分配、使用數據，獲得運營和安全洞察。

高級身份分析支持更明智、更具預測性的治理方法。通過使用機器學習(ML)和人工智能(AI)技術，身份分析工具可以提供重要的對等組分析信息，有助于擴展身份審核和管理功能，并使它們更具動態性和響應性。

傳統4A缺少分析。隨著機器學習(ML)和人工智能(AI)的進步，現在可以發現和處理大量的運營數據，以揭示隱秘的洞察和可操作的指示，遠遠超越了傳統的基于規則的引擎所能實現的能力。

05 從IAM到PAM

領域的差異。IAM（身份與訪問管理）更加側重于身份；PAM（特權訪問管理）更加側重于權限。兩者分別應對了兩大支柱（即身份支柱和權限支柱）的安全需求。

功能的差異。下圖展示了IAM和PAM的功能組成： ? ?

圖9-IAM和PAM的組件 用戶的差異。特權是比普通權限更高的權限。對用戶的最基本分類是兩種：標準用戶（具有普通權限）和管理員（具有特權，還進一步分為本地管理員和域管理員）。通常，也會增加來賓用戶（低于標準用戶的權限）。 ?

關于用戶的更加精細的劃分。我們以具有制造環境的組織為例，IAM和PAM的用戶范圍如下圖所示：

圖10-IAM和PAM的范疇對比

資源的差異。權限的視角一方面是在宏觀用戶級別上（這是IAM側重的），另一方面是在微觀資源級別上（這是PAM側重的）。從資源層面看，將權限僅僅視作應用程序的一部分，是短視的。權限還必須嵌入到資源的每個層次中，即嵌入到操作系統、文件系統、應用程序、數據庫、虛擬機管理程序、云管理平臺，甚至通過分段嵌入網絡中，才能應對高級別的權限攻擊。

可見性的差異。IAM可以回答“誰有權訪問什么？”但是，為了實現完全的用戶可見性，PAM解決了剩下的問題:“這種訪問合適嗎？”以及“這種訪問是否被恰當地使用?”也就是說，PAM可以對特權帳戶的訪問和使用提供更多的可見性和更深入的審計。

很多時候，IAM會將用戶添加到系統或應用程序組中，但不會提供有關該組成員具備的訪問權限的詳細信息，也不會提供對特權會話期間收集的詳細會話日志或鍵盤記錄的訪問能力。而PAM可以擴展這些能力。因此，PAM擴展了IAM解決方案的可見性。 特別說明：在同一作者的另一篇書籍《特權攻擊向量》中，系統闡述了PAM。而《身份攻擊向量》的翻譯團隊也正在對其進行翻譯中。期待譯本在不久的未來面世。 ? 06 洞察和見解 ? 在該書的最后一章中，作者給出了身份訪問管理（IAM）的關鍵原則：

思考身份而非賬戶。組織中的一個用戶通常擁有多個帳戶和每個帳戶的多項權限。如果企業只將IAM計劃的重點放在帳戶級別（而非身份級別）的管理上，它將永遠無法獲得正確了解“誰有權訪問什么”所需的整體可見性。理解身份與其帳戶之間、帳戶與其權限之間、權限與其保護的數據/信息之間的三向關系是關鍵。只有圍繞身份（而非賬戶）來集中相關數據，企業才能形成正確的視圖和可見性。

看見是王道！孤島很糟糕。伴隨著云、物、移、大的趨勢，集中化的單點可見性成為組織安全性之關鍵。唯有如此，才能確保在企業范圍內看見其身份和訪問數據。

全生命周期的身份治理是必需的。通過在身份的整個生命周期中嵌入策略和控制，組織可以實現增強的自動化、持續的合規性、降低的安全風險。

將IAM與PAM集成部署。PAM是對IAM方案的補充，增加了對"特權"帳戶的控制和審計層。

采用預測性方法。積極應用機器學習和人工智能技術，以實現更加智能、更加明智的訪問決策。

實現最小權限。

用戶體驗至上！身份治理和權限管理技術必須有助于提供更好的用戶體驗，如果不想被業務人員否定其安全價值。

編輯：黃飛

?