在“企業(yè)邊界正在瓦解，基于邊界的安全防護體系正在失效”的大背景下，“身份即信任”（Identity is Trust）已成為新一代安全能力構(gòu)建的基石。特別是在零信任安全建設(shè)中，對傳統(tǒng)訪問控制技術(shù)進行了理念上的顛覆，倡導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，實現(xiàn)以身份為中心的新型網(wǎng)絡(luò)訪問控制。在此背景下，加強客戶身份安全和訪問管理（CIAM）也成為許多組織的優(yōu)先實現(xiàn)。

CIAM的基本特征與發(fā)展

新一代客戶身份和訪問管理（CIAM）解決方案使組織能夠為需要訪問其業(yè)務(wù)應(yīng)用系統(tǒng)和服務(wù)的外部用戶實現(xiàn)便利性、隱私性和安全性方面的平衡。同時，它還允許組織不斷發(fā)展用戶體驗（UX），以最大限度地減少開發(fā)人員對身份相關(guān)功能的需求，并滿足監(jiān)管和安全要求。

有效的CIAM解決方案需要包含三個基本特征：身份驗證、授權(quán)和身份管理。 

• 正確的身份驗證可確保登錄賬戶的用戶是他們所稱的身份；
• 有效的授權(quán)有助于組織為用戶提供對應(yīng)用程序和/或資源的適當(dāng)訪問級別；
• 全面的身份管理允許管理員更新用戶訪問權(quán)限并實施安全策略。

最近幾年，雖然CIAM的說法一直保持不變，但其內(nèi)在含義已經(jīng)發(fā)生了許多變化。如今，CIAM的主要應(yīng)用類型包括：

• 服務(wù)消費者客戶：在企業(yè)對消費者（business-to-consumer，B2C）應(yīng)用中，有效的CIAM實施使您能夠提供高度個性化的促銷和建議，從而為客戶帶來更多收入并創(chuàng)造更多價值，同時確保在整個企業(yè)中提供便捷的用戶體驗數(shù)字頻道。
• 為企業(yè)客戶提供支持：企業(yè)組織對SaaS系統(tǒng)的應(yīng)用已經(jīng)非常普及。不同類型、級別的用戶需要對不同資源擁有不同級別的訪問權(quán)限，而創(chuàng)建便捷安全的體驗需要通過CIAM精確管理身份和訪問權(quán)限。
• 支持第三方合作伙伴：在許多情況下，身份信息必須由提供服務(wù)的組織管理。為了滿足服務(wù)提供商需求，CIAM系統(tǒng)還需要提供組織客戶賬戶創(chuàng)建、維護和維護所需的所有工具。

在企業(yè)環(huán)境中，安全性的要求有時會高于便利性，因此管理員可以在相對較少考慮用戶體驗的情況下實施控制。但客戶身份管理必須在保持安全性和隱私性的同時，最大限度地減少對業(yè)務(wù)開展的影響，在不影響用戶體驗的情況下抵御日益復(fù)雜的身份安全威脅。

CIAM面臨的主要威脅

利用或針對CIAM服務(wù)的攻擊有多種形式，但是攻擊的主要目標(biāo)多為以下兩種結(jié)果：

• 注冊欺詐：攻擊者創(chuàng)建傀儡賬戶。
• 賬戶接管（ATO）：攻擊者獲得對現(xiàn)有賬戶的訪問權(quán)限。

注冊欺詐攻擊對企業(yè)的主要威脅包括：失去合法用戶和相關(guān)利益、聲譽受損、直接經(jīng)濟損失以及產(chǎn)生高昂的賬號清理費用。而賬戶接管對企業(yè)的安全和隱私構(gòu)成了更大的威脅，除了竊取關(guān)鍵業(yè)務(wù)數(shù)據(jù)，他們還可能獲得有價值的用戶統(tǒng)計信息和個人身份信息（PII），導(dǎo)致組織可能會面臨嚴(yán)格的監(jiān)管處罰，以及失去用戶的信任。

據(jù)最新的研究數(shù)據(jù)顯示，目前最常見的身份安全攻擊手法包括：

1、欺詐性注冊

在欺詐性注冊攻擊（也稱為虛假賬戶創(chuàng)建攻擊）中，威脅行為者會濫用賬戶注冊過程來創(chuàng)建傀儡賬戶。

【欺詐性注冊攻擊剖析】

執(zhí)行欺詐性注冊的動機有很多，包括：

• 不公平地獲得有價值的東西。
• 獲得與創(chuàng)建賬戶相關(guān)的獎勵，包括禮品卡、加密貨幣代幣等。
• 利用賬戶開展垃圾郵件發(fā)送、虛假信息或社會工程攻擊活動。
• 進行合成身份欺詐，通常利用金融服務(wù)和公用事業(yè)賬戶。
• 將賬戶轉(zhuǎn)售給相關(guān)方。
• 損害提供商提供的服務(wù)能力，從而阻止合法用戶注冊。
• 通過使用傀儡賬戶操縱登錄成功率和失敗率以繞過自動安全措施，來實施賬戶接管（ATO）攻擊。

2、憑據(jù)填充

憑據(jù)填充（俗稱“撞庫”）攻擊利用了非常普遍的密碼重用實踐。當(dāng)賬戶持有人在多個站點上重復(fù)使用相同（或相似）的密碼時，就會產(chǎn)生多米諾骨牌效應(yīng)，其中一個憑據(jù)受損將威脅多個應(yīng)用程序。

除了賬戶接管目的外，憑證填充還通常用于賬戶發(fā)現(xiàn)/驗證，其目標(biāo)是開發(fā)可以出售的高質(zhì)量憑證列表。

【憑據(jù)填充攻擊剖析】

大多數(shù)此類攻擊都使用暴力破解一長串被破壞的憑據(jù)。不幸的是，發(fā)動此類攻擊的障礙非常低。根據(jù)最新調(diào)查數(shù)據(jù)顯示，撞庫攻擊是目前直接觀察到的最常見身份攻擊威脅。在2022年第一季度，共計檢測到近100億次撞庫事件，約占總流量/身份驗證事件的34%。

3、MFA繞過

MFA（多因素身份驗證）是防止賬戶接管的有效方法，無論是來自撞庫攻擊還是來自其他一些攻擊媒介。要破壞實施MFA保護的賬戶，攻擊者需要獲取賬戶憑據(jù)，或者通過MFA質(zhì)詢作為身份的輔助證明。研究人員發(fā)現(xiàn)，現(xiàn)在有多種攻擊工具可以很輕松地針對一些身份驗證因素發(fā)起攻擊，尤其是SMS傳遞的一次性密碼（OTP）。此外，積極主動且資源充足的威脅參與者知道（并提供出售）MFA的變通辦法并不罕見。這些繞過機制通常利用遺留身份驗證協(xié)議中的漏洞，因此，組織必須了解禁用或嚴(yán)格管理此類系統(tǒng)的必要性。

【MFA繞過攻擊剖析】

4、會話劫持

在會話劫持攻擊中，攻擊者無需提供密碼即可訪問活躍會話。只要會話保持活躍狀態(tài)，攻擊者就會保持訪問權(quán)限。

【會話劫持攻擊剖析】

實現(xiàn)此結(jié)果的兩種常見攻擊方法是：1. 合法用戶登錄后，攻擊者竊取用戶的會話cookie；2. 攻擊者通過帶有準(zhǔn)備好的會話ID的惡意鏈接誘騙用戶登錄。這兩種方法都可以在一定程度上進行擴展，但會話劫持更有可能被用作針對特定用戶的針對性攻擊的一部分。

5、密碼噴射與猜測

密碼噴射是一種暴力攻擊方法，攻擊者使用自動化工具嘗試跨多個不同賬戶的通用密碼。而密碼猜測則是一種更粗略的方法，會在海量的賬戶中嘗試許多密碼。

【密碼噴射攻擊剖析】

由于用戶不安全的密碼習(xí)慣（例如密碼重用、使用常用詞、設(shè)置弱密碼等），攻擊者只需簡單地利用泄露密碼列表和常用詞詞典就可以顯著提高破解正確密碼的可能性。

6、代碼注入

代碼注入攻擊是將代碼插入到一個字段中，例如用戶名，以利用未能清理輸入的薄弱系統(tǒng)。例如，代碼可能會要求后端忽略密碼檢查，并自動將攻擊者登錄到用戶數(shù)據(jù)庫中的管理員賬戶。一旦攻擊者擁有管理訪問權(quán)限，就可以進行廣泛的入侵操作。

【注入攻擊剖析】

7、會話重寫

與會話劫持一樣，會話ID URL重寫是一種為威脅參與者提供帳戶訪問權(quán)限的攻擊；在這種情況下，攻擊者竊取了會話URL，這可以通過多種方式實現(xiàn)，包括：

• 嗅探不安全的Wi-Fi連接。
• 親自查看URL（例如，無意地后頭瞥見）。
• 使用間諜軟件/惡意軟件抓取屏幕圖像。

CIAM防護優(yōu)化建議

隨著攻擊者將更多注意力集中在入侵客戶身份系統(tǒng)上，且不斷發(fā)展他們的策略、技術(shù)和程序（TTP），下述安全建議對于企業(yè)來說至關(guān)重要：

• 實施縱深防御工具，并在用戶層、應(yīng)用層和網(wǎng)絡(luò)層有效結(jié)合使用。
• 持續(xù)監(jiān)控其應(yīng)用程序的攻擊跡象和TTP變化。
• 根據(jù)防護需要及時進行策略調(diào)整（例如，調(diào)整參數(shù)、收緊限制、引入新工具等）。

【CIAM縱深防御應(yīng)用策略】

正確有效地使用CIAM方案對每個現(xiàn)代組織都是一個挑戰(zhàn)。以下是一些通用優(yōu)化建議：

• 實施和鼓勵MFA：MFA是破壞攻擊最有效的方法之一，實施具有強大認(rèn)證因素的多種方法并鼓勵用戶采用。
• 限制失敗的登錄嘗試：暴力破解、憑證填充和密碼噴射通常會在每次攻擊得手前觸發(fā)許多失敗。
• 實施安全會話管理：使用服務(wù)器端的安全會話管理器，在登錄后生成新的會話ID。不要將會話ID放在URL中，并確保它們在注銷后立即失效。
• 不要附帶默認(rèn)憑據(jù)：默認(rèn)管理員憑據(jù)是主要的攻擊媒介，因為許多用戶保持不變，使系統(tǒng)容易受到字典攻擊；
• 強制使用強密碼：許多暴力攻擊依賴于弱密碼或普通密碼，建議企業(yè)強制要求并執(zhí)行密碼長度和復(fù)雜性管理策略。
• 監(jiān)控已泄露密碼的使用：許多用戶在多個站點上重復(fù)使用相同或相似的密碼，因此一項服務(wù)的泄露可能會威脅到許多其他服務(wù)，應(yīng)該強制用戶及時更改被破壞的憑據(jù)。
• 不要存儲純文本密碼：如果企業(yè)的密碼數(shù)據(jù)庫無法直觀讀取識別，那么它對黑客來說毫無價值，對身份賬號進行加密是必須的，也是合理的。