威瑞森前不久发布的“2022数据泄露调查报告”显示,61%的数据泄露可追溯到身份凭证的泄露。其中一个很大的原因是黑色产业链的成熟。一种称之为“入口访问经纪人”(IAB)的角色,专门从事身份账号的交易,在过去几年中越来越受欢迎,大大降低了从事网络犯罪活动的门槛。一些泛滥的,如LockBit、Avaddon、DarkSide、Conti、Blackyte等勒索软件均在网络黑市上通过IAB购买访问凭证。
针对身份相关攻击的激增
一种流行的针对凭证进行攻击的手法,叫做账户接管(ATO)。攻击者往往将目标锁定在他们认为非常有价值的账户上,如银行账户和包含支付信息的账户,使用机器爬虫和机器学习等自动化工具,对面向消费者的网站进行大规模且持续的攻击。借助自动化工具,或基于购买的凭证进行撞库(凭证填充),或者干脆使用暴力破解手段来接管受害者的账户。
除了自动化工具以外,网络犯罪分子还可通过网络钓鱼、中间人劫持,甚至是冒充人工客服来骗取受害者点击恶意链接,最终获得身份账号。ATO已经成为网络罪犯的首选武器,据身份安全公司sift的统计,在2019年至2020年期间间,ATO的攻击数量激增了282%。
一般而言,大多数机构依赖自动化的访问控制工具,来实现身份验证和授权服务以确认身份的合法性。身份验证是为了知道用户是谁,授权的重点则是允许用户能做什么。这种安全级别的访问控制层是防范账号攻击的第一道防线,但稍微高级一些的攻击者可以轻松地绕过这些措施。因此,我们要考虑不仅仅做到“用户是谁、能做什么”的第二道防线,即能够学习并适应的动态身份检测系统。
身份图谱
网络攻击手段往往集中于安全性和可用性的交叉点,因此仅强调安全性或可用性注定会出问题。如果我们只看安全协议应该如何如何(为了安全而安全),我们就忽略了用户的真实业务特点。如果我们只考虑如何使其易于使用,则无异于向坏人敞开大门。
传统的访问控制建立了“允许/不允许”的决策,但这种“你是谁、你能做什么”的静态认证方式无法应对动态变化的攻击,为了解决这一差距,需要一个健壮的学习系统来识别和拦截动态变化的攻击者战术,这就是需要引入动态身份检测的原因,即一种名为身份图谱的技术。这种检测技术可根据系统的使用方式和攻击者的手法进行观察和学习,包括暴力破解、重定向、篡改和其他ATO等攻击策略。
身份图谱是一种实时的防护技术,它基于海量(十亿量级的图谱数据库)的身份相关数据,包括人物画像和行为模式,辅助安全团队快速识别用户帐户中的异常行为。通过这种实时、数据驱动的方法,团队可以识别自动化工具(如机器人和机器学习算法)产生的行为和活动,并在这些行为造成任何损坏(如盗窃或欺诈性购买)之前将其检测出来并阻止。
为了弥补静态身份验证和动态网络攻击的缺失,必须建立一个随着时间推移不断发展完善的学习系统,以跟上攻击者的战术,识别整个身份生命周期中的攻击者策略。