原创 安全419 2025-08-06 18:19 北京
身份攻击路径管理是一种持续的安全实践,它可以帮助企业映射、理解和拆除攻击者利用的访问和控制链。
在日益复杂的威胁环境中,身份安全已成为重中之重。基于身份的攻击路径是当今大多数违规行为的幕后黑手,过去一年,所有(100%)受访企业至少发生过1起安全事件,但许多企业实际上无法看到这些路径是如何形成的。
SpecterOps发布的《2025年身份攻击路径管理趋势》表明,身份治理、PAM 和 MFA 等传统工具是不够的,虽然它们有助于管理访问,但却忽略了身份和权限是如何被攻击者串联后在企业网络环境中蔓延的。
一.什么是攻击路径
攻击路径是可滥用权限和用户行为的链条,在身份与资源之间建立连接。
研究人员对比了访问图和攻击图。访问图显示谁有权访问哪些内容,通常用于审核或合规性工作。但攻击者并不关心谁获得了授权,他们只在意可访问的内容。攻击图则展示了如何将身份、会话和权限关联起来以访问关键资产。这有助于解释身份泄露为何难以检测或预防:大多数工具能告知你凭据是否正在被使用,却很少能显示该凭据距离获取域管理员权限仅一步之遥。
二.企业如何减少攻击路径?
2.1 现状
当前多数安全控制措施聚焦于保护静态凭据,但攻击者正日益转向窃取传输中的身份:内存或浏览器中的活动会话、令牌和Cookie。这些令牌完全绕过了身份验证环节。最近的事件说明了这一点。在 Snowflake 漏洞中,攻击者从承包商方收集了静态凭据。防御侧重于 MFA 和密码轮换,但真正的风险在于计算机上可能已经处于活动状态的会话中。
EDR工具是主流选择,其次是PAM和IAM。这些工具对解决身份问题必不可少,但在攻击路径管理方面仍存在覆盖不足。缓解措施包含补救环节,但执行路径往往不清晰。通常由安全团队确定补救方案,却在许多企业中由IAM或IT运维团队负责实施。为弥合这一差距,企业可通过设立专门的内部团队经理,确保各方掌握关键问题、知晓补救计划并及时跟进执行进展。
(身份安全堆栈的组件)
(保护身份目录服务)
2.2 挑战与风险
大多数 CISO 和 CIO 正在积极推进身份攻击路径管理的实施,但行业缺乏标准流程。安全工具间缺乏集成以及 IT 与安全团队间协作不畅,阻碍了许多企业的进展。身份风险日益严峻,领导者们清楚 APM 的益处,不过其复杂性及潜在缺陷可能会劝退潜在用户。
2.2.1 特权升级检测、工具集成、自动化威胁发现成身份风险管理三大难点
2.2.2 网络钓鱼、内部威胁和凭证盗窃/滥用主导着当前的威胁形势
2.2.3 身份风险、老旧系统漏洞和勒索软件成未来首要威胁
2.3 身份攻击路径管理实践
2.3.1 APM项目的首要任务包括集成和提高可见性
将APM与现有安全工具集成(如SIEM/SOAR/IAM) 52%
提升身份关系及零层(Tier Zero)相关可见性 50%
减少关键或可利用攻击路径数量 37%
缩短修复时间 30%
将APM集成到工作流/工单系统 28%
提高终端用户安全意识 25%
进行更频繁的安全审计和渗透测试 24%
增强自动化检测与修复能力 23%
符合合规要求(如GDPR/HIPAA) 16%
加强权限提升和横向移动策略 16%
2.3.2 在实施APM流程时预计会遇到哪些挑战?
难以确定已识别攻击路径的修复优先级 43%
管理攻击路径的技术不足或过时 40%
现有攻击路径分析工具过于复杂 36%
已发现漏洞的修复周期过长 30%
其他团队/利益相关者的阻力 28%
技术人才资源有限 27%
预算不足 23%
缺乏APM专项时间/其他事项优先级更高 21%
高层支持力度不足 19%
与其他安全解决方案的集成问题 17%
内部专业知识或培训缺乏 15%
2.3.3 企业从APM实现中获得的好处
降低网络攻击成功风险 62%
提升特权关系与风险的可见性 53%
加强安全与IT团队间的协作 48%
缩短事件响应时间 40%
简化和自动化修复流程 32%
增强客户信任与留存率 29%
减少调查攻击路径和评估配置修复影响的时间 26%
缩小攻击面 24%
增强对安全态势的信心 20%
缩短攻击路径检测与修复时间 19%
加强法规合规性 17%
改进报告和高管层洞察 15%
减少安全团队手工工作量 14%
降低网络攻击造成的财务损失风险 13%
2.3.4 供应商选择标准应包括与现有工具的兼容性、部署的便利性和报告的质量
2.3.5 实时攻击路径检测与风险排序是APM关键短板
2.3.6 云错误配置是最令人担忧的攻击路径
END
✦
推荐阅读
✦
粉丝福利群开放啦
加安全419好友进群
红包/书籍/礼品等不定期派送
