在身份盜用頻發(fā)��、身份管理不完善的現(xiàn)狀下���,如何應(yīng)對由此引發(fā)的企業(yè)安全風(fēng)險(xiǎn)成為安全從業(yè)人員關(guān)心的重點(diǎn)主題����。本書針對IAM相關(guān)的風(fēng)險(xiǎn)���、攻擊人員可以利用的技術(shù)�����,以及企業(yè)應(yīng)該采用的最佳實(shí)踐進(jìn)行了解讀���。
《身份攻擊向量》分為21章,主要內(nèi)容包括:什么是身份���,以及如何將身份相關(guān)的賬戶和憑據(jù)用作攻擊向量�;實(shí)施有效的IAM計(jì)劃����,并提供監(jiān)管合規(guī)證明;了解身份管理控制在網(wǎng)絡(luò)殺傷鏈中的作用�����,以及如何將權(quán)限作為薄弱環(huán)節(jié)進(jìn)行管理;將關(guān)鍵身份管理技術(shù)集成到企業(yè)生態(tài)系統(tǒng)中��;通過周密計(jì)劃����、實(shí)施部署、審計(jì)發(fā)現(xiàn)��、報(bào)告和監(jiān)督等多種手段來降低通過利用身份發(fā)起的攻擊����。
《身份攻擊向量》適合網(wǎng)絡(luò)安全管理人員、身份訪問與管理實(shí)施人員和審計(jì)人員閱讀����、參考。
身份與權(quán)限管理被惡意利用���,會對組織內(nèi)部的賬戶和憑據(jù)產(chǎn)生哪些危害�����?應(yīng)該如何實(shí)施基于角色的身份分配、授權(quán)及審計(jì)策略來緩解賬戶和身份盜用帶來的威脅���?應(yīng)該如何通過管理來滿足監(jiān)管合規(guī)要求����?
身份與訪問管理(IAM)已經(jīng)成為企業(yè)安全的基石。當(dāng)下�����,所有資源賬戶���、憑據(jù)����、角色�����、證書及認(rèn)證報(bào)告的管理已成為一項(xiàng)安全與合規(guī)性要求�����。當(dāng)身份盜用和身份管理不善被用作攻擊向量時(shí)�����,風(fēng)險(xiǎn)和漏洞呈指數(shù)級增長。隨著網(wǎng)絡(luò)攻擊頻次的不斷增長和復(fù)雜程度的日益增加�����,組織發(fā)生安全事故是必然的�,只是時(shí)間早晚而已。威脅行動者一般會將賬戶�、用戶及其相關(guān)的身份作為目標(biāo),通過權(quán)限攻擊和資產(chǎn)漏洞進(jìn)行惡意活動��。
本書詳細(xì)說明了與不良身份管理實(shí)踐相關(guān)的風(fēng)險(xiǎn)����、被威脅行動者和內(nèi)部人員利用的技術(shù),并介紹了應(yīng)采用的操作實(shí)踐���,用于防止身份盜竊和賬戶泄露���,并實(shí)現(xiàn)有效的身份治理計(jì)劃。
本書主要內(nèi)容:
理解身份背后的概念�,以及身份相關(guān)憑據(jù)和賬戶如何被用作攻擊向量;
實(shí)施有效的IAM 項(xiàng)目集來管理身份和角色���,并提供監(jiān)管合規(guī)性證明�����;
了解在網(wǎng)絡(luò)殺傷鏈中身份管理控制所發(fā)揮的作用��,以及權(quán)限作為潛在的薄弱環(huán)節(jié)應(yīng)如何管理�����;
以行業(yè)標(biāo)準(zhǔn)為基礎(chǔ)�,將關(guān)鍵身份管理技術(shù)集成到企業(yè)生態(tài)系統(tǒng)中�;
基于實(shí)戰(zhàn)策略,對成功部署�、實(shí)施范圍、可測量的風(fēng)險(xiǎn)緩解���、審計(jì)和發(fā)現(xiàn)��、監(jiān)管報(bào)告和監(jiān)督等進(jìn)行
成功規(guī)劃���,以預(yù)防身份攻擊向量帶來的威脅。
莫雷·哈伯(Morey Haber)是BeyondTrust公司的首席技術(shù)官兼首席信息安全官�。他在信息技術(shù)行業(yè)擁有20多年的工作經(jīng)驗(yàn),委托Apress出版了兩本著作:Privileged Attack Vectors與Asset Attack Vectors���。2018年���,Bomgar收購了BeyondTrust����,并保留了BeyondTrust這個(gè)名稱�����。2012年���,BeyondTrust公司收購eEye Digital Security公司后���,Morey隨之加入BeyondTrust公司。目前�,Morey在BeyondTrust公司從事特權(quán)訪問管理(PAM)、遠(yuǎn)程訪問和漏洞管理(VM)解決方案的有關(guān)工作�����。2004年��,Morey加入eEye公司�����,擔(dān)任安全技術(shù)部門主管,負(fù)責(zé)財(cái)富500強(qiáng)企業(yè)的經(jīng)營戰(zhàn)略審議和漏洞管理架構(gòu)�����。進(jìn)入eEye之前�����,Morey曾擔(dān)任CA公司的開發(fā)經(jīng)理��,負(fù)責(zé)新產(chǎn)品測試�����,以及跟進(jìn)客戶工作����。Morey最初被一家開發(fā)飛行訓(xùn)練模擬器的政府承包商聘用�,擔(dān)任產(chǎn)品可靠性及可維護(hù)工程師,并由此開始了自己的職業(yè)生涯�����。Morey擁有紐約州立大學(xué)石溪分校電氣工程專業(yè)理學(xué)學(xué)士學(xué)位。
達(dá)蘭?羅爾斯(Darran Rolls)是SailPoint公司的首席信息安全官兼首席技術(shù)官�����,負(fù)責(zé)指導(dǎo)公司的技術(shù)戰(zhàn)略和安全運(yùn)營�����。他曾在Tivoli Systems���、IBM�����、Waveset Technologies和Sun Microsystems等公司長期從事身份管理和安全工作�����。Darran曾協(xié)助設(shè)計(jì)�、構(gòu)建和交付一些新穎且具有突破性的技術(shù)解決方案�,這些解決方案定義和塑造了“身份與訪問管理”(IAM)行業(yè)。過去25年間����,他經(jīng)常在世界各地的身份與安全行業(yè)活動中發(fā)表演講����,在身份識別�、隱私保護(hù)、身份治理與管理方面受到業(yè)內(nèi)人士的尊重�����。Darran還是一位積極的行業(yè)標(biāo)準(zhǔn)貢獻(xiàn)者��,致力于推動身份管理和訪問管理的標(biāo)準(zhǔn)化工作���。
奇安信身份安全實(shí)驗(yàn)室,作為奇安信集團(tuán)下屬的實(shí)驗(yàn)室����,專注于“零信任身份安全架構(gòu)”的研究,率先在國內(nèi)大力推廣零信任的理念及技術(shù)落地�����,并翻譯并出版了《零信任網(wǎng)絡(luò):在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》一書���。
奇安信身份安全實(shí)驗(yàn)室(以下簡稱為“實(shí)驗(yàn)室”)以“零信任安全�,新身份邊界”為技術(shù)理念,構(gòu)建了涵蓋“以身份為基石�����、業(yè)務(wù)安全訪問���、持續(xù)信任評估����、動態(tài)訪問控制”四大關(guān)鍵能力�����、適應(yīng)數(shù)字化時(shí)代政企環(huán)境的零信任安全解決方案����,推動了“零信任身份安全架構(gòu)”在各行業(yè)的建設(shè)實(shí)踐,并牽頭制定了首個(gè)國家標(biāo)準(zhǔn)《信息安全技術(shù) 零信任參考體系架構(gòu)》����。
實(shí)驗(yàn)室憑借其領(lǐng)先的技術(shù)實(shí)力與方案優(yōu)勢,多次獲得Forrester���、Gartner���、IDC��、安全牛等國內(nèi)外知名機(jī)構(gòu)的推薦�����,并入選了工業(yè)和信息化部2021年大數(shù)據(jù)產(chǎn)業(yè)發(fā)展試點(diǎn)示范項(xiàng)目名單��、工業(yè)和信息化部2021年數(shù)字技術(shù)融合創(chuàng)新應(yīng)用典型解決方案名單���。此外����,還先后榮獲我國智能科學(xué)技術(shù)最高獎(jiǎng)“吳文俊人工智能科技進(jìn)步獎(jiǎng)”(企業(yè)技術(shù)創(chuàng)新工程項(xiàng)目)、2021年數(shù)博會領(lǐng)先科技成果“黑科技獎(jiǎng)”等諸多獎(jiǎng)項(xiàng)�����。
為了幫助廣大讀者和技術(shù)愛好者更好地理解零信任身份安全的相關(guān)信息���,實(shí)驗(yàn)室成立了“零信任安全社區(qū)”公眾號(微信ID:izerotrust)�����,并定期分享和推送“零信任身份安全架構(gòu)”在業(yè)界的研究和落地實(shí)踐�����,歡迎廣大讀者和業(yè)界人士關(guān)注���。
第 1章 網(wǎng)絡(luò)安全三大支柱 1
第 2章 橫向移動 5
第3章 企業(yè)IAM的5個(gè)A 8
3.1 認(rèn)證 9
3.2 授權(quán) 9
3.3 管理 10
3.4 審計(jì) 11
3.5 分析 11
第4章 認(rèn)識企業(yè)身份 13
4.1 人與人格 14
4.1.1 物理人格 15
4.1.2 電子人格 15
4.2 賬戶 17
4.3 憑據(jù) 17
4.4 實(shí)現(xiàn) 18
4.5 用戶 19
4.6 應(yīng)用程序 20
4.7 機(jī)器 22
4.8 所有關(guān)系 23
4.9 自動化 24
4.10 賬戶類型 24
4.10.1 本地賬戶 25
4.10.2 集中式賬戶 26
4.10.3 功能型賬戶 27
4.10.4 管理型賬戶 27
4.10.5 服務(wù)型賬戶 28
4.10.6 應(yīng)用程序管理賬戶 28
4.10.7 云賬戶 29
4.11 權(quán)限 30
4.11.1 簡單權(quán)限 31
4.11.2 復(fù)雜權(quán)限 31
4.11.3 控制與治理 31
4.12 角色 31
4.12.1 業(yè)務(wù)角色 33
4.12.2 IT角色 33
4.12.3 支持最小權(quán)限原則的角色關(guān)系 34
4.12.4 發(fā)現(xiàn)����、管理和生命周期控制 34
第5章 機(jī)器人 35
5.1 安全挑戰(zhàn) 35
5.2 管理機(jī)會 36
5.3 治理機(jī)器人 36
第6章 定義身份治理 37
6.1 誰可以訪問什么 37
6.2 管理用戶訪問的復(fù)雜度 38
6.3 問題范圍 39
6.4 管理訪問的整個(gè)生命周期 40
第7章 身份治理流程 41
7.1 可見性�����、連接性與上下文 41
7.1.1 權(quán)威身份源 42
7.1.2 連接方法 43
7.1.3 API直連 44
7.1.4 共享存儲庫連接與延遲訪問 45
7.1.5 基于標(biāo)準(zhǔn)的連接器 45
7.1.6 自定義應(yīng)用程序連接器 46
7.1.7 連接器核查和本地變化檢測 46
7.1.8 關(guān)聯(lián)和孤兒賬戶 47
7.1.9 非結(jié)構(gòu)化數(shù)據(jù)的可見性 48
7.1.10 建立權(quán)限目錄 48
7.1.11 搜索與報(bào)表的力量 49
7.2 全生命周期管理 50
7.2.1 LCM狀態(tài)模型與生命周期事件 51
7.2.2 委托和手動事件 52
7.2.3 采取基于模型的方法 53
7.2.4 企業(yè)角色作為一種治理策略模型 53
7.2.5 嵌入式控制 54
7.3 開通與實(shí)現(xiàn) 54
7.3.1 開通網(wǎng)關(guān)和遺留開通流程 54
7.3.2 開通代理���、重試和回滾 55
7.3.3 權(quán)限粒度與賬戶級開通 56
7.4 治理策略的執(zhí)行 56
7.4.1 訪問合規(guī)的業(yè)務(wù)規(guī)則 57
7.4.2 防御性策略與檢測性策略的執(zhí)行 58
7.4.3 違規(guī)管理 59
7.5 核準(zhǔn)與訪問審查 59
7.5.1 目的與流程 59
7.5.2 核準(zhǔn)中的陷阱 61
7.5.3 演進(jìn)與未來態(tài) 62
7.5.4 企業(yè)角色管理 63
7.5.5 為什么是角色 64
7.5.6 角色模型基礎(chǔ) 65
7.5.7 工程���、發(fā)現(xiàn)和分析 67
7.5.8 角色生命周期管理 68
7.5.9 企業(yè)角色相關(guān)提示與技巧 68
7.5.10 角色的未來 69
7.6 治理非結(jié)構(gòu)化數(shù)據(jù) 70
7.6.1 改變問題的范圍 70
7.6.2 文件訪問治理能力 71
7.7 自助服務(wù)與委托 71
7.7.1 整合ITSM和IGA自助服務(wù) 72
7.7.2 自助服務(wù)訪問請求 73
7.7.3 密碼管理和賬戶自助服務(wù) 75
第8章 滿足合規(guī)性要求 77
8.1 持續(xù)合規(guī) 78
8.2 建立一個(gè)可重復(fù)流程 78
第9章 失陷指標(biāo) 80
第 10章 身份攻擊向量 83
10.1 方法 83
10.2 手段 85
10.3 影響 86
10.4 特權(quán) 87
第 11章 網(wǎng)絡(luò)殺傷鏈中的身份管理控制 90
11.1 網(wǎng)絡(luò)殺傷鏈 90
11.1.1 偵察 91
11.1.2 入侵 92
11.1.3 利用 93
11.1.4 滲出 93
11.2 彌補(bǔ)IAM漏洞和疊加治理控制措施 94
第 12章 身份管理項(xiàng)目集規(guī)劃 97
12.1 項(xiàng)目集與項(xiàng)目 97
12.2 建立IG項(xiàng)目集 98
12.2.1 關(guān)鍵角色和責(zé)任 98
12.2.2 項(xiàng)目集的關(guān)鍵組件 99
12.3 項(xiàng)目集路線圖問題 100
第 13章 特權(quán)訪問管理 107
第 14章 即時(shí)訪問管理 116
第 15章 身份混淆 119
第 16章 跨域身份管理系統(tǒng) 121
第 17章 遠(yuǎn)程訪問 123
第 18章 基于身份的威脅響應(yīng) 125
第 19章 與身份有關(guān)的生物識別風(fēng)險(xiǎn) 128
第 20章 區(qū)塊鏈與身份管理 130
20.1 了解區(qū)塊鏈和分布式賬本技術(shù) 130
20.1.1 哈希 131
20.1.2 區(qū)塊和鏈 131
20.1.3 工作量證明 133
20.1.4 缺陷與保護(hù) 135
20.2 對DLT應(yīng)用身份管理 136
20.3 治理區(qū)塊鏈 139
第 21章 結(jié)束語 140
書單推薦
