身份威胁态势分析

 

一、身份成为新战场

1、全球网络安全事件频发，威胁日益增多

Check Point 2022年Q3全球网络攻击的报告显示：相较2021年，2022年第三季度全球的网络攻击增加了28%，全球每个企业平均每周被攻击多达1130次。

2、教育行业成2022年网络攻击重灾区

在新冠疫情影响下，远程教育场景广泛普及，推动了数字教育市场大幅发展，但同时也为应对复杂的网络威胁带来了巨大的挑战。

报告指出，今年第三季度，教育/研究行业平均每周遭受2148次攻击，同比增长18%，紧随其后的行业是政府/军方，平均每周受攻击1564次，同比增长20%。

3、身份持续增长，身份风险带来无限挑战

身份定义安全联盟的报告《2022-Trends-in-Securing-Digital-Identities》中，98%的受访者表示，他们组织中的身份数量正在增加。采用更多的云应用程序（52%）、第三方关系的增加（46%）以及机器人和物联网设备等机器身份的激增（43%）是增长的主要原因。

根据报告《IDENTITIES AND SECURITY IN 2022 A Global Survey of Identity and Security Stakeholders》，52%的公司管理着超过10,000个身份。

因此，各种身份的不断增加，以及本身管理的身份数量多，成为了当下企业面临的身份管理问题。

4、84%的公司遭受身份攻击

根据Microsoft 拦截的大量攻击显示，2022年中平均每秒发生1,287次密码攻击，即每天超过1.11亿次。在过去的一年里，密码泄露重放攻击增长到每月 58 亿次，而网络钓鱼攻击增长到每月3100万次，密码喷洒攻击猛增到每月500万次。

身份定义安全联盟的报告《2022-Trends-in-Securing-Digital-Identities》中，与身份相关的攻击仍处在不断增加的趋势之中，且影响很大。84%的人表示他们的组织在过去一年中经历了与身份相关的攻击。其中最多的种类为网络钓鱼攻击（59%）、特权管理不当（36%）、凭证盗取（33%）。

5、凭据类攻击成为身份攻击的主要方式

79%的公司在2020年和2021年遭受过与身份相关的攻击活动，这一数字在2022年上升到84%，基于身份相关的攻击仍在增加。攻击者可能会利用网络钓鱼和使用泄露的证书。因为有了这些凭证，就可以利用已有的访问权限绕过限制，窃取数据，部署勒索软件或采取其他恶意行动。

另外，根据报告《IDENTITIES AND SECURITY IN 2022 A Global Survey of Identity and Security Stakeholders》，89%的组织在2022年受到基于身份的攻击活动的影响。

《IBM Security X-Force Threat Intelligence Index 2023》报告显示，2022年影响最大的几类威胁行为，勒索行为以21%的占比暂居第一，数据窃取以19%的占比紧随其后，凭据收集和数据泄漏各占11%。

《2022-data-breach-investigations-report-dbir》报告也显示，有4类攻击方式通常被用来入侵目标组织的资产：凭据，网络钓鱼，漏洞利用和僵尸网络。值得注意的是，基于凭据的攻击大约占50%，可见攻击者已经开始大量利用身份类攻击进行入侵。

6、身份验证威胁处于LMS平台的安全威胁四大类之首

1. Authentication threats（身份认证威胁）
2. Availability threats（可用性威胁）
3. Confidentiality threats（保密性威胁）
4. Integrity threats（完整性威胁）

根据国际科学与技术研究杂志的《Cyber Security Threat Analysis in Higher Education lnstitutions As A Result 0f Distance Learning》报告显示，身份认证威胁处于LMS平台的安全威胁四大类之首，其中明确表示身份验证威胁包括：使用不安全应用层协议（如 HTTP）进行不安全通信，允许传输未加密的流量，活动会话管理不当、未经授权的身份验证，凭据窃取、身份认证绕过等。

7、CC服务的安全威胁五类中，身份认证威胁占据两大类

1. shared Technologies Vulnerabilities（共享技术漏洞）
2. Data Breach（敏感数据泄露）
3. Account or Service Traffic Hijacking（账户或服务流量劫持）
4. Denial of service（拒绝服务攻击）
5. Malicious Insiders（恶意内部人员威胁）

同时在《Cyber Security Threat Analysis in Hiher Education lnstitutions As A Result 0f Distance Learning》报告中的CC服务的安全威胁五大类别中，身份认证威胁占据两大类别，包括：

1. 账户或服务流量劫持：基于认证方式的攻击，例如通过劫持对密码的认证，攻击者可能会获得对用户账户的控制。
2. 恶意内部人员威胁：例如提供云服务的公司员工。他们可以获取传统上无法访问的敏感信息。

从众多报告中的数据可见，基于身份的攻击逐渐被攻击者所重视。随着组织身份的增多，基于身份的攻击将会被应用得越来越多。

 

二、身份认证攻击在真实环境中具有致命的威胁

基于身份的攻击（Identity-based attacks）指的是攻击者利用受害者身份凭据（如用户名、密码、证书等）进行攻击的方式。攻击者通过获取受害者的身份凭据，可以冒充受害者的身份，从而访问受害者的敏感信息、系统、网络等资源。基于身份的攻击包括但不限于以下几种。

1. 微软BING源代码泄漏

2022年3月下旬，据称微软泄露了 Bing、Cortana 和其他项目的源代码，大约 37GB 。微软证实受到 Lapsus$ 黑客组织的敲诈，该组织入侵了微软的某个员工的账户，“有限访问”了项目源代码存储库。

1. Okta入侵事件

攻击者在2022 年 1 月入侵了 Okta 第三方支持工程师的终端，并获得了 Okta 客户数据的访问权限。虽然潜在动机和整体损失情况尚不明确，但有两件事是可以确定的：身份入侵在这些事件中占据主导作用，而受害的主流科技公司并不是此类攻击唯一的预期目标。在 Okta 事件中，Lapsus$ 明确表示，其实际目标是 Okta 的客户。

1. Uber攻击事件

在2022年9月，一名黑客获得了Uber一位员工的Slack（企业聊天平台）账号，并获取了该公司在亚马逊和谷歌云计算平台的访问权限。位于旧金山的Uber公司目前已经证实了这次黑客攻击。

1. 英伟达源代码泄漏

2022年2月底，LAPSU$ 通过入侵英伟达内部服务器，导致超过 1TB 的数据泄露，并公开叫卖 RTX 30 系列显卡的挖矿限制破解算法，还要求NVIDIA 全面解除限制。Nvidia 于 2022年3月1日证实 其网络在上个月遭到破坏，攻击者获得了对员工登录数据和专有信息的访问权限。