云计算和远程工作的兴起催生了“无边界”IT的概念,而企业也在努力寻找一个可以保护的边界。难点在于,边界不再是一个物理存在的“东西”,而是一个概念。这个概念就是身份——无论它是什么,无论它来自哪里。
身份一直是安全的关键。但是,当下这个行业变得更加关注流量的内容,而不是流量的来源。如果我们有授权的身份,并且可以验证授权的身份,我们就可以封锁所有人和所有东西。恶意的坏人就是进不去——嗯,理论上是这样的。
但近年来,身份的数量迅速增长。保守估计每全用户共有大约100个身份。云内的扩张、日益增长的业务转型以及物联网的爆炸式发展都需要身份认证。但只有容量发生了变化。身份仍然是进入网络和在网络中移动的关键。
One Identity公司全球IAM战略副总裁Larry Chinski警告说:“随着‘元世界’的发展,身份安全将变得更加重要。”随着元域应用的增加,身份安全和管理问题只会变得更加深刻——对业务弹性更大的威胁。”
没有什么比对身份的攻击在2022年将会增加更确定的了。
数字身份欺诈
欺诈是最常见的基于身份的攻击。欺诈有许多子类别,但都需要滥用某人的身份。2020年,由于越来越多的身份被滥用、暗网上大量被盗证书、以及越来越多的机器人自动化(用于证书填充等)和犯罪分子使用人工智能技术,欺诈行为将继续增长。
账户接管、开户和BEC诈骗是2022年值得关注的三个子类。
当攻击者能够访问合法用户的凭据时,就会发生帐户接管。这些都是通过证书填充获得的,现在通过复杂的机器人传递;通过直接的网络钓鱼攻击(越来越多地通过网络钓鱼即服务来实现);通过恶意软件等信息窃取者;通过会话劫持。帐户收购可能导致针对个人的财务欺诈,或进入用户的公司网络。
当罪犯已经对目标有了详细的了解时,才会开立账户——通常是通过偷来的PII。有了这些数据,罪犯就可以开立新账户,并使用该账户附带的服务。
BEC骗局无疑会增加。当攻击者冒充企业身份并请求或指示同事将资金转移到攻击者控制的帐户时,就会出现这种情况。有迹象表明,犯罪分子正在越来越多地探索使用基于人工智能的深度造假技术作为模拟过程的一部分的可能性。BEC诈骗的规模在2022年将不可避免地增加。
Pindrop研究主管尼古拉•高比奇(Nikolay Gaubitch)预计,2022年呼叫中心诈骗将会增加。2021年,由于大流行,“我们看到远程工作大幅增加,面对面交流减少。这自然导致呼叫中心的流量增加,并在很长一段时间内导致了很长的呼叫等待时间。其中一个令人惊讶的效果是欺诈性电话的减少,”他解释道。
然而,似乎骗子们正开始回归正常的工作习惯,就像我们其他人一样。在过去的几个月里,欺诈性电话不断增加。基于这一观察和经验,我们可以预计,到2022年,欺诈者将重新把目标对准呼叫中心。”
但到2022年,它将不仅仅是呼叫中心,而是全面普及。“我们预计,针对数字身份的攻击在2022年将继续增加,无论是在数量上还是在程度上,主要有两个原因。首先,通过账户创建和账户接管自动化,有很多商业上可行的目标,通过这些目标可以获得经济利益,”approv首席执行官David Stewart说。“其次,最终用户不太可能在短时间内停止跨服务重复使用口令,导致一家机构的数据泄露成为另一家机构的问题,因为现在通过暗网转售凭证,凭证拥塞攻击已被高度武器化。”
机器身份
非人类身份,统称为机器身份,通常在一个组织中超过人类身份的数量。这些账户包括设备、服务和工作负载——通常是“特权”账户。它们的增长仍在加速,与业务转型和自动化保持一致,而且它们在传统上没有像人类身份那样受到那么多的安全关注。这种不断增长的身份扩张将在2022年被证明是一种挑战。
“机器身份的增长将为组织带来更大的身份扩展挑战,”Larry Chinski说。“由于大流行加速了人工智能创新、数字化和异步劳动力的融合,企业正在越来越多地部署RPA(机器人流程自动化)等解决方案,以实现任务自动化、提高生产率和增强客户服务。”
但是,Larry Chinski表示:“当谈到人工智能创新时,有一个大问题经常被忽视——安全。如今,94%部署过机器人或RPA的组织表示,在保护它们方面存在挑战。造成这一挑战的原因是,安全专家没有意识到机器人和人类一样具有身份。”
由于RPA需要访问数据,它们最终需要像人类一样得到保护。“因此,随着企业成倍地部署像RPA这样的人工智能解决方案,”他补充说,“我们应该会看到一系列基于机器人的入侵,因为安全专业人士没有能力处理与机器增长相关的身份蔓延。”
针对云的基于身份的攻击
配置错误
云的错误配置仍然是一个严重的问题。有时包含敏感和个人信息的数据库经常暴露在互联网上,根本没有基于身份的访问控制。这样的数据库经常被研究人员发现和披露。
然而,值得注意的是,研究人员用来发现这些错误配置的工具通常与网络罪犯使用的工具相同。当研究人员发现了错误配置,研究并发现了所有者,并向所有者披露了错误时,犯罪分子肯定也已经找到并访问了数据库。
我们可以寄希望于,尽管没有很大的信心,但人们对这一问题的认识不断提高,将在2022年减少错误配置。但“2022年,我们将看到网络犯罪分子利用配置错误的SaaS api,以前所未有的规模利用私人数据,”Swimlane的安全解决方案架构师Josh Rickard警告说。“这将导致核心软件代码的大规模分发遭到破坏,并影响全球数千家组织。”
基于证书的攻击
然而,对网络罪犯来说,错误配置并不是一个可靠的攻击选择——他们所能做的就是从他们发现的错误配置中挑选。更重要、更有吸引力的目标几乎肯定会得到更好的保护。仅仅因为这个原因,我们可以预期通过Active Directory进行的云攻击会增加。
Semperis的首席技术专家Guido Grillenmeier警告说:“在大多数公司,Windows的目录服务AD (On-premises Active Directory)仍然是一个明显的弱点。”“作为Windows操作系统的核心,AD管理用户权限,并持有许多关键业务流程和服务的关键——但它的默认配置使其很容易成为目标。”
虽然企业越来越多地将工作负载从本地转移到云上,但AD仍然是大多数组织在这两种环境下的基础设施。
“网络犯罪分子知道这一点,”他继续说,“他们越来越多地利用AD的弱点来攻击云中的数据和应用程序,从而绕过传统的云保护系统。”
但是,无论罪犯如何获得可用的证书,云攻击的数量和严重程度都会增加。XM Cyber的首席技术官兼联合创始人Boaz Gorodissky评论道:“随着攻击者通过泄露凭证来获取公共云上的重要数据,云漏洞将变得更加常见。”
云身份系统
Guido Grillenmeier还认为,攻击者将越来越多地瞄准身份识别系统。“正如最近的Facebook宕机事件所显示的那样,当核心身份提供商瘫痪时,那些依赖他们进行用户认证的应用程序也会受到影响。”
用户对共享基础设施的依赖越大,此类中断就会越严重。“这使得大型身份提供者成为黑客的完美目标,”他继续说。“随着全球依赖微软Azure云的企业数量快速增长,Azure AD成为了主要的身份认证提供商,每分钟都在认证无数用户。因此,攻击Azure AD的黑客可能会同时删除几个应用程序,造成大规模的破坏。”
总结
ThycoticCentrify首席安全科学家约瑟夫•卡森(Joseph Carson)表示:“身份是新的边界,访问是新的安全。”“向远程工作的范式转变正在加速,这使得传统的企业边界几乎完全多余。为了确保新领域的安全,各组织必须首先应对正确定义它的挑战。云计算、家庭办公网络、终端、移动应用程序和遗留的内部系统等因素加剧了这个问题。一些组织试图实施多个边缘边界点,但这反过来又成为管理和安全的主要挑战。”
关键是整个组织的接触点,包括内部实体和外部实体;共同因素是身份。“这意味着访问已成为组织边界的新安全控制,”他继续说道。“在 2022 年,企业必须通过将身份和访问安全作为重中之重来重新掌控局面。特权访问已成为数字测谎仪测试,用于在启用资源授权之前验证身份的真实性。”
如果在 2022 年不这样做,在大规模身份攻击蔓延、攻击者的复杂性和专业性提高以及对抗式AI援助的到来,将导致越来越多的攻击入侵和数据泄露行为。
关于《安全周刊》 2022年网络空间洞察专辑
《Cyber Insights 2022》是一系列文章,探讨了新的一年及以后威胁的潜在演变。讨论了六个主要的威胁领域:
•勒索软件
•对抗式AI
•供应链
•国家行为体
•身份
•提高犯罪复杂性
虽然主题是分开讨论的,但事实上的攻击很少单独发生。国家行为体和供应链的攻击通常会联系在一起——供应链和勒索软件也是如此。对抗性AI可能主要出现在对身份的攻击中;至少在短期内是这样。而在这一切的背后,是网络犯罪日益的成熟和专业化。
原文链接
https://www.securityweek.com/cyber-insights-2022-identity
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
