威瑞森前不久發(fā)布的“2022數(shù)據(jù)泄露調(diào)查報(bào)告”顯示，61%的數(shù)據(jù)泄露可追溯到身份憑證的泄露。其中一個(gè)很大的原因是黑色產(chǎn)業(yè)鏈的成熟。一種稱之為“入口訪問(wèn)經(jīng)紀(jì)人”(IAB)的角色，專門從事身份賬號(hào)的交易，在過(guò)去幾年中越來(lái)越受歡迎，大大降低了從事網(wǎng)絡(luò)犯罪活動(dòng)的門檻。一些泛濫的，如LockBit、Avaddon、DarkSide、Conti、Blackyte等勒索軟件均在網(wǎng)絡(luò)黑市上通過(guò)IAB購(gòu)買訪問(wèn)憑證。

針對(duì)身份相關(guān)攻擊的激增

一種流行的針對(duì)憑證進(jìn)行攻擊的手法，叫做賬戶接管(ATO)。攻擊者往往將目標(biāo)鎖定在他們認(rèn)為非常有價(jià)值的賬戶上，如銀行賬戶和包含支付信息的賬戶，使用機(jī)器爬蟲(chóng)和機(jī)器學(xué)習(xí)等自動(dòng)化工具，對(duì)面向消費(fèi)者的網(wǎng)站進(jìn)行大規(guī)模且持續(xù)的攻擊。借助自動(dòng)化工具，或基于購(gòu)買的憑證進(jìn)行撞庫(kù)（憑證填充），或者干脆使用暴力破解手段來(lái)接管受害者的賬戶。

除了自動(dòng)化工具以外，網(wǎng)絡(luò)犯罪分子還可通過(guò)網(wǎng)絡(luò)釣魚(yú)、中間人劫持，甚至是冒充人工客服來(lái)騙取受害者點(diǎn)擊惡意鏈接，最終獲得身份賬號(hào)。ATO已經(jīng)成為網(wǎng)絡(luò)罪犯的首選武器，據(jù)身份安全公司sift的統(tǒng)計(jì)，在2019年至2020年期間間，ATO的攻擊數(shù)量激增了282%。

一般而言，大多數(shù)機(jī)構(gòu)依賴自動(dòng)化的訪問(wèn)控制工具，來(lái)實(shí)現(xiàn)身份驗(yàn)證和授權(quán)服務(wù)以確認(rèn)身份的合法性。身份驗(yàn)證是為了知道用戶是誰(shuí)，授權(quán)的重點(diǎn)則是允許用戶能做什么。這種安全級(jí)別的訪問(wèn)控制層是防范賬號(hào)攻擊的第一道防線，但稍微高級(jí)一些的攻擊者可以輕松地繞過(guò)這些措施。因此，我們要考慮不僅僅做到“用戶是誰(shuí)、能做什么”的第二道防線，即能夠?qū)W習(xí)并適應(yīng)的動(dòng)態(tài)身份檢測(cè)系統(tǒng)。

身份圖譜

網(wǎng)絡(luò)攻擊手段往往集中于安全性和可用性的交叉點(diǎn)，因此僅強(qiáng)調(diào)安全性或可用性注定會(huì)出問(wèn)題。如果我們只看安全協(xié)議應(yīng)該如何如何（為了安全而安全），我們就忽略了用戶的真實(shí)業(yè)務(wù)特點(diǎn)。如果我們只考慮如何使其易于使用，則無(wú)異于向壞人敞開(kāi)大門。

傳統(tǒng)的訪問(wèn)控制建立了“允許/不允許”的決策，但這種“你是誰(shuí)、你能做什么”的靜態(tài)認(rèn)證方式無(wú)法應(yīng)對(duì)動(dòng)態(tài)變化的攻擊，為了解決這一差距，需要一個(gè)健壯的學(xué)習(xí)系統(tǒng)來(lái)識(shí)別和攔截動(dòng)態(tài)變化的攻擊者戰(zhàn)術(shù)，這就是需要引入動(dòng)態(tài)身份檢測(cè)的原因，即一種名為身份圖譜的技術(shù)。這種檢測(cè)技術(shù)可根據(jù)系統(tǒng)的使用方式和攻擊者的手法進(jìn)行觀察和學(xué)習(xí)，包括暴力破解、重定向、篡改和其他ATO等攻擊策略。

身份圖譜是一種實(shí)時(shí)的防護(hù)技術(shù)，它基于海量（十億量級(jí)的圖譜數(shù)據(jù)庫(kù)）的身份相關(guān)數(shù)據(jù)，包括人物畫(huà)像和行為模式，輔助安全團(tuán)隊(duì)快速識(shí)別用戶帳戶中的異常行為。通過(guò)這種實(shí)時(shí)、數(shù)據(jù)驅(qū)動(dòng)的方法，團(tuán)隊(duì)可以識(shí)別自動(dòng)化工具（如機(jī)器人和機(jī)器學(xué)習(xí)算法）產(chǎn)生的行為和活動(dòng)，并在這些行為造成任何損壞（如盜竊或欺詐性購(gòu)買）之前將其檢測(cè)出來(lái)并阻止。

為了彌補(bǔ)靜態(tài)身份驗(yàn)證和動(dòng)態(tài)網(wǎng)絡(luò)攻擊的缺失，必須建立一個(gè)隨著時(shí)間推移不斷發(fā)展完善的學(xué)習(xí)系統(tǒng)，以跟上攻擊者的戰(zhàn)術(shù)，識(shí)別整個(gè)身份生命周期中的攻擊者策略。