身份攻擊向量 Identity Attack Vectors: Implementing an Effective Identity and Access Management Solution

莫雷·哈伯（Morey Haber）是BeyondTrust公司的首席技術官兼首席信息安全官。他在信息技術行業擁有20多年的工作經驗，委托Apress出版了兩本著作：Privileged Attack Vectors與Asset Attack Vectors。2018年，Bomgar收購了BeyondTrust，並保留了BeyondTrust這個名稱。2012年，BeyondTrust公司收購eEye Digital Security公司後，Morey隨之加入BeyondTrust公司。目前，Morey在BeyondTrust公司從事特權訪問管理（PAM）、遠程訪問和漏洞管理（VM）解決方案的有關工作。2004年，Morey加入eEye公司，擔任安全技術部門主管，負責財富500強企業的經營戰略審議和漏洞管理架構。進入eEye之前，Morey曾擔任CA公司的開發經理，負責新產品測試，以及跟進客戶工作。Morey最初被一家開發飛行訓練模擬器的政府承包商聘用，擔任產品可靠性及可維護工程師，並由此開始了自己的職業生涯。Morey擁有紐約州立大學石溪分校電氣工程專業理學學士學位。

 

達蘭?羅爾斯（Darran Rolls）是SailPoint公司的首席信息安全官兼首席技術官，負責指導公司的技術戰略和安全運營。他曾在Tivoli Systems、IBM、Waveset Technologies和Sun Microsystems等公司長期從事身份管理和安全工作。Darran曾協助設計、構建和交付一些新穎且具有突破性的技術解決方案，這些解決方案定義和塑造了“身份與訪問管理”（IAM）行業。過去25年間，他經常在世界各地的身份與安全行業活動中發表演講，在身份識別、隱私保護、身份治理與管理方面受到業內人士的尊重。Darran還是一位積極的行業標準貢獻者，致力於推動身份管理和訪問管理的標準化工作。

 

奇安信身份安全實驗室，作為奇安信集團下屬的實驗室，專註於“零信任身份安全架構”的研究，率先在國內大力推廣零信任的理念及技術落地，並翻譯並出版了《零信任網絡：在不可信網絡中構建安全系統》一書。

奇安信身份安全實驗室（以下簡稱為“實驗室”）以“零信任安全，新身份邊界”為技術理念，構建了涵蓋“以身份為基石、業務安全訪問、持續信任評估、動態訪問控制”四大關鍵能力、適應數字化時代政企環境的零信任安全解決方案，推動了“零信任身份安全架構”在各行業的建設實踐，並牽頭制定了首個國家標準《信息安全技術 零信任參考體系架構》。

實驗室憑借其領先的技術實力與方案優勢，多次獲得Forrester、Gartner、IDC、安全牛等國內外知名機構的推薦，並入選了工業和信息化部2021年大數據產業發展試點示範項目名單、工業和信息化部2021年數字技術融合創新應用典型解決方案名單。此外，還先後榮獲我國智能科學技術最高獎“吳文俊人工智能科技進步獎”（企業技術創新工程項目）、2021年數博會領先科技成果“黑科技獎”等諸多獎項。

為了幫助廣大讀者和技術愛好者更好地理解零信任身份安全的相關信息，實驗室成立了“零信任安全社區”公眾號（微信ID：izerotrust），並定期分享和推送“零信任身份安全架構”在業界的研究和落地實踐，歡迎廣大讀者和業界人士關註。

第 1章 網絡安全三大支柱 1

第 2章 橫向移動 5

第3章 企業IAM的5個A 8

3.1 認證 9

3.2 授權 9

3.3 管理 10

3.4 審計 11

3.5 分析 11

第4章 認識企業身份 13

4.1 人與人格 14

4.1.1 物理人格 15

4.1.2 電子人格 15

4.2 賬戶 17

4.3 憑據 17

4.4 實現 18

4.5 用戶 19

4.6 應用程序 20

4.7 機器 22

4.8 所有關系 23

4.9 自動化 24

4.10 賬戶類型 24

4.10.1 本地賬戶 25

4.10.2 集中式賬戶 26

4.10.3 功能型賬戶 27

4.10.4 管理型賬戶 27

4.10.5 服務型賬戶 28

4.10.6 應用程序管理賬戶 28

4.10.7 雲賬戶 29

4.11 權限 30

4.11.1 簡單權限 31

4.11.2 復雜權限 31

4.11.3 控制與治理 31

4.12 角色 31

4.12.1 業務角色 33

4.12.2 IT角色 33

4.12.3 支持最小權限原則的角色關系 34

4.12.4 發現、管理和生命周期控制 34

第5章 機器人 35

5.1 安全挑戰 35

5.2 管理機會 36

5.3 治理機器人 36

第6章 定義身份治理 37

6.1 誰可以訪問什麽 37

6.2 管理用戶訪問的復雜度 38

6.3 問題範圍 39

6.4 管理訪問的整個生命周期 40

第7章 身份治理流程 41

7.1 可見性、連接性與上下文 41

7.1.1 權威身份源 42

7.1.2 連接方法 43

7.1.3 API直連 44

7.1.4 共享存儲庫連接與延遲訪問 45

7.1.5 基於標準的連接器 45

7.1.6 自定義應用程序連接器 46

7.1.7 連接器核查和本地變化檢測 46

7.1.8 關聯和孤兒賬戶 47

7.1.9 非結構化數據的可見性 48

7.1.10 建立權限目錄 48

7.1.11 搜索與報表的力量 49

7.2 全生命周期管理 50

7.2.1 LCM狀態模型與生命周期事件 51

7.2.2 委托和手動事件 52

7.2.3 採取基於模型的方法 53

7.2.4 企業角色作為一種治理策略模型 53

7.2.5 嵌入式控制 54

7.3 開通與實現 54

7.3.1 開通網關和遺留開通流程 54

7.3.2 開通代理、重試和回滾 55

7.3.3 權限粒度與賬戶級開通 56

7.4 治理策略的執行 56

7.4.1 訪問合規的業務規則 57

7.4.2 防禦性策略與檢測性策略的執行 58

7.4.3 違規管理 59

7.5 核準與訪問審查 59

7.5.1 目的與流程 59

7.5.2 核準中的陷阱 61

7.5.3 演進與未來態 62

7.5.4 企業角色管理 63

7.5.5 為什麽是角色 64

7.5.6 角色模型基礎 65

7.5.7 工程、發現和分析 67

7.5.8 角色生命周期管理 68

7.5.9 企業角色相關提示與技巧 68

7.5.10 角色的未來 69

7.6 治理非結構化數據 70

7.6.1 改變問題的範圍 70

7.6.2 文件訪問治理能力 71

7.7 自助服務與委托 71

7.7.1 整合ITSM和IGA自助服務 72

7.7.2 自助服務訪問請求 73

7.7.3 密碼管理和賬戶自助服務 75

第8章 滿足合規性要求 77

8.1 持續合規 78

8.2 建立一個可重復流程 78

第9章 失陷指標 80

第 10章 身份攻擊向量 83

10.1 方法 83

10.2 手段 85

10.3 影響 86

10.4 特權 87

第 11章 網絡殺傷鏈中的身份管理控制 90

11.1 網絡殺傷鏈 90

11.1.1 偵察 91

11.1.2 入侵 92

11.1.3 利用 93

11.1.4 滲出 93

11.2 彌補IAM漏洞和疊加治理控制措施 94

第 12章 身份管理項目集規劃 97

12.1 項目集與項目 97

12.2 建立IG項目集 98

12.2.1 關鍵角色和責任 98

12.2.2 項目集的關鍵組件 99

12.3 項目集路線圖問題 100

第 13章 特權訪問管理 107

第 14章 即時訪問管理 116

第 15章 身份混淆 119

第 16章 跨域身份管理系統 121

第 17章 遠程訪問 123

第 18章 基於身份的威脅響應 125

第 19章 與身份有關的生物識別風險 128

第 20章 區塊鏈與身份管理 130

20.1 瞭解區塊鏈和分佈式賬本技術 130

20.1.1 哈希 131

20.1.2 區塊和鏈 131

20.1.3 工作量證明 133

20.1.4 缺陷與保護 135

20.2 對DLT應用身份管理 136

20.3 治理區塊鏈 139

第 21章 結束語 140