随着企业身份复杂性增加,IAM需从管理转变为核心防御。CISOs应优先持续态势评估、攻击路径分析和自动化缓解,并将身份防御融入SOC,以抵御现代攻击。
译自:Rising identity complexity: How CISOs can prevent it from becoming an attacker’s roadmap
作者:Jay Reddy
身份一直是将企业IT整合在一起的纽带,但其本质已发生巨大变化。二十年前,身份意味着公司目录中的用户名和密码。访问权限与公司局域网中的桌面绑定。身份相对静态、人工且可预测。
快进到今天,一切都变了。身份不再仅仅是员工;它们是承包商、合作伙伴、机器、机器人、API、云工作负载和SaaS连接器。它们也不是静态的;权限会根据角色、项目或集成动态变化。此外,身份不再局限于单一环境。一个身份现在横跨本地Active Directory、Azure AD、AWS 身份和访问管理角色、Okta租户以及数百个SaaS应用。同时,机器到机器的身份和SaaS集成呈倍数增长,扩大了暴露面。
换句话说,身份表面已经爆炸式增长,随之而来的还有攻击面。
IAM从管理转向防御
这种扩张迫使IAM发生改变。混合云、SaaS采用和远程工作触发了身份蔓延,导致账户分散、权限重叠和控制不一致。错误配置和权限蠕变变得司空见惯。攻击者注意到了这一点,凭证滥用迅速成为企业内部横向移动最简单的路径。
安全团队现在面临着大量问题。分析师在EDR、SIEM、IAM、PAM和MFA控制台之间来回切换,试图拼凑不完整的图像,而攻击者则利用以下方式溜走:
- 凭证转储在受感染的端点上。
- MFA疲劳导致用户批准欺诈性登录。
- 横向移动跨越混合AD和云连接器。
- 就地取材攻击(LotL),滥用合法的管理工具而非植入恶意软件。
过去五年中最具破坏性的漏洞都是由身份故障、错误配置、过度权限以及被串联到攻击路径中的被忽视账户造成的。
2024年Snowflake数据泄露事件证实了这一点。来自UNC5537组织的攻击者通过使用信息窃取恶意软件窃取的凭证,入侵了超过160个客户环境。许多客户环境缺乏MFA,导致攻击者仅凭用户名和密码即可直接认证。受害者包括AT&T、Santander和Ticketmaster。暴露的数据范围从PII到500亿条通话记录。
“过去五年中最具破坏性的漏洞都是由身份故障、错误配置、过度权限以及被串联到攻击路径中的被忽视账户造成的。”
因此,IAM从一个运营推动者转变为一个事关存亡的防御层。十年前,IAM的成功以入职时间或密码重置量来衡量。如今,你禁用受感染账户、切断权限升级以及阻止漏洞蔓延至系统性中断的速度决定了成功与否。
IAM的演变:从管理工具到防御系统
IAM的轨迹反映了企业风险形态的变化:
- 运营时代: IAM作为一个管理工具运行,专注于账户配置、强制执行密码策略以及将用户映射到角色。
- 主动时代: 合规压力促使SSO、MFA和条件访问的引入。IAM有助于减少摩擦、展示控制并预测一些风险。然而,IAM仍然以预防为基础。
- 被动时代: 混合IT加速了身份蔓延。IAM数据开始输入到SIEM中,以突出可疑登录或权限滥用。但警报堆积如山,调查滞后,攻击者在拖延中茁壮成长。
- 持续时代: 随着攻击者完全转向身份滥用,IAM必须直接与安全运营集成。持续的态势评估、实时攻击路径映射以及自动化响应(禁用可疑账户、撤销令牌或触发升级认证)变得至关重要。这种身份管理和安全运营的融合现在被认为是身份威胁检测与响应(ITDR),这是IAM成熟的必然下一阶段。
IAM团队和SOC防御者之间的旧界限已经消失。如果一个服务账户被利用来提升权限,这是IAM问题还是SOC问题?答案是两者都是。将它们分开处理只会给攻击者留下可利用的盲点。
CIO和CISO在威胁感知型IAM策略中应优先考虑什么
优先事项不是增加更多的点工具,而是将IAM重塑为一门积极防御企业的学科。
这需要建立在三大支柱之上——持续态势评估、攻击路径分析和自动化缓解——并将其嵌入日常运营中。
1. 将身份整合到一个单一的真相来源
分散的目录会造成分散的防御。如今,身份涵盖员工、承包商、服务账户、机器人、工作负载和SaaS连接器。如果它们不统一,监管是不可能的。
应该有一个单一的权威视图,涵盖所有身份,包括本地和云端,人类和机器:
- 消除重复项,使每个人或服务都映射到一个记录。
- 为每个账户和权限分配清晰的所有权和责任。
- 建立基线指标,如权限级别、敏感性和暴露程度,以指导优先级。
没有这个基础,态势保障和风险分析将永远是不完整的。
2. 持续态势评估:实时管理暴露
季度审查和年度审计不再反映现实。身份每天都在变化;角色变化、SaaS连接器新增、承包商离开,但他们的账户仍然存在。每一次变化都会引入一个无形的风险。
现代程序必须从静态审计转向持续保障:
- 实时检测权限漂移并发现不合规的访问。
- 在休眠或孤立账户成为攻击者的立足点之前将其标记。
- 对服务账户和机器账户应用与管理员相同的审查。
- 使用自适应、上下文感知的控制,根据设备健康状况、位置、会话历史和角色关键性调整访问决策。
- 整合行为分析以发现异常,例如不可能的登录、大规模数据提取或不寻常的权限使用。
- 运行与业务负责人挂钩的定期访问审查,确保权限保持适当和可防御。
这将态势从一项回顾性的合规工作转变为一张鲜活的风险图。
3. 攻击路径分析:揭示入侵如何蔓延
攻击者很少只利用一个漏洞。他们将小的失误、一个错误配置的角色、一个权限过高的账户以及一个被遗忘的SaaS连接器串联起来,形成跨越整个企业的权限升级路径。
应该能够看到入侵实际上是如何展开的:
- 映射用户、群组、角色、应用和域之间的关系。
- 识别可能将低级别账户提升为域或云管理员的权限升级路径。
- 评估单个受损身份的爆炸半径并量化业务影响。
- 运行模拟以测试攻击者在环境中移动的速度。
- 持续查看风险最高的账户和权限,并根据暴露程度和敏感性进行优先级排序。
这将IAM从一个静态的权限目录转变为一个动态的攻击图。永远不要猜测攻击者可能去哪里;提前看到它被映射出来,并在它们被利用之前解决关键节点。
4. 将身份纳入SOC神经中枢
历史上,IAM被视为“管理”,而SOC被视为防御。攻击者利用这种分裂。一个被滥用于横向移动的服务账户既是IAM的失败,也是SOC的失败,如果这些团队各自为政,攻击者就会得逞。
确保IAM成为SOC的肌肉记忆一部分:
- 将身份信号——权限变化、异常行为、攻击路径警报——流入SIEM和SOAR管道。
- 赋予SOC分析师通过IAM控制直接禁用账户、撤销令牌或强制升级认证的权限。
- 进行联合演习,使检测和遏制成为熟练的动作,而非组织间的争论。
通过将IAM整合到运营中,领导者确保身份泄露被视为安全事件,而非管理问题。
身份的当务之急
企业已经层层叠叠地部署了无数安全控制,但攻击者仍然能够入侵,因为身份是连接每个系统、云和工作流的结缔组织。这使得IAM不仅仅是一个安全工具;它是韧性的基础。
对于CIO和CISO来说,问题不再是是否投资IAM,而是如何以防御项目的紧迫性而非IT管理的节奏来对待它。
“问题不再是是否投资IAM,而是如何以防御项目的紧迫性而非IT管理的节奏来对待它。”
这就是威胁感知型IAM策略的核心:持续态势评估、攻击路径可视化和自动化遏制,将身份从一个被忽视的弱点提升为企业防御的控制平面。
在一个没有边界的世界里,每个工作负载、机器人和合作伙伴账户都可能是攻击者的第一步,以过去用于网络和端点的同等严格性防御身份,是能够抵御现代攻击的企业与成为下一个头条新闻的企业之间的区别。
