當(dāng)推出安全產(chǎn)品時(shí)，您認(rèn)為它會(huì)實(shí)現(xiàn)其目的。然而不幸的是，事實(shí)往往并非如此。奧斯特曼研究公司 (Osterman Research) 受 Silverfort 委托制作的一份新報(bào)告顯示，MFA（多重身份驗(yàn)證）和 PAM（特權(quán)訪問(wèn)管理）解決方案幾乎從未得到足夠全面的部署，無(wú)法提供針對(duì)身份威脅的彈性。此外，服務(wù)賬戶（通常超出這些控制的保護(hù)范圍）也容易遭受惡意破壞。這些發(fā)現(xiàn)和更多內(nèi)容可以在“身份攻擊面的狀態(tài)：對(duì)關(guān)鍵保護(hù)差距的洞察”中找到，這是第一份分析組織對(duì)身份威脅的彈性的報(bào)告。

什么是“身份攻擊面”？#

身份攻擊面是可以通過(guò)用戶名和密碼訪問(wèn)的任何組織資源。攻擊者針對(duì)此攻擊面的主要方式是使用受損的用戶憑據(jù)。這樣，身份攻擊面就與其他攻擊面有很大不同。例如，當(dāng)針對(duì)端點(diǎn)時(shí)，攻擊者必須開(kāi)發(fā)創(chuàng)新的惡意軟件和零日漏洞。但在身份領(lǐng)域，默認(rèn)的攻擊工具是合法的用戶名和密碼。暗網(wǎng)上估計(jì)有 24B 個(gè)用戶名-密碼組合，這意味著攻擊者唯一需要做的工作就是獲得初始訪問(wèn)權(quán)限。

有 MFA 和 PAM 來(lái)防止攻擊#

但你呢？該報(bào)告總結(jié)了全球 600 名身份安全專業(yè)人士的調(diào)查結(jié)果，報(bào)告顯示，絕大多數(shù)組織都已部署 MFA 和 PAM 解決方案，但仍然容易受到攻擊。原因如下：

不到 7% 的組織為其大部分關(guān)鍵資源提供 MFA 保護(hù)#

調(diào)查提出的問(wèn)題之一是：目前能夠通過(guò) MFA 保護(hù)以下資源和訪問(wèn)方法的比例是多少？

• 桌面登錄（例如Windows、Mac）
• VPN等遠(yuǎn)程連接方式
• 遠(yuǎn)程開(kāi)發(fā)計(jì)劃
• 命令行遠(yuǎn)程訪問(wèn)（例如PowerShell、PsExec）
• SSH
• 本土和遺留應(yīng)用程序
• IT基礎(chǔ)設(shè)施（例如管理控制臺(tái)）
• VDI
• 虛擬化平臺(tái)和管理程序（例如VMware、Citrix）
• 共享網(wǎng)絡(luò)驅(qū)動(dòng)器
• 操作技術(shù)系統(tǒng)

該圖總結(jié)了結(jié)果：

這些數(shù)字意味著一個(gè)關(guān)鍵差距，因?yàn)闆](méi)有 MFA 的資源是對(duì)手可以使用受損憑證無(wú)縫訪問(wèn)的資源。將其轉(zhuǎn)化為現(xiàn)實(shí)場(chǎng)景時(shí)，使用不受 MFA 保護(hù)的命令行工具（例如 PsExec 或 Remote PowerShell）的威脅行為者在跨網(wǎng)絡(luò)移動(dòng)以在多臺(tái)計(jì)算機(jī)上植入勒索軟件負(fù)載時(shí)不會(huì)遇到任何障礙。

只有 10.2% 的組織擁有完全啟用的 PAM 解決方案#

PAM 解決方案因部署時(shí)間長(zhǎng)、復(fù)雜而臭名昭著，但它到底有多糟糕呢？報(bào)告揭示了答案：這很糟糕。以下是受訪者對(duì)“您的 PAM 實(shí)施之旅處于哪個(gè)階段？”這一問(wèn)題的回答匯總。

正如所看到的，大多數(shù)組織在 PAM 旅程中都陷入了困境，意味著至少有一些特權(quán)用戶面臨攻擊。請(qǐng)記住，管理員用戶是攻擊者獲取您皇冠上的寶石的最快途徑。未能保護(hù)所有這些是任何組織都無(wú)法忽視的風(fēng)險(xiǎn)。

78% 的組織無(wú)法防止服務(wù)賬戶受損的惡意訪問(wèn)#

服務(wù)賬戶是眾所周知的盲點(diǎn)。由于這些非人類賬戶通常享有很高的特權(quán)，但無(wú)法受到 MFA 的保護(hù)，而且它們通常沒(méi)有記錄，因此不受監(jiān)控，因此它們是對(duì)手的主要目標(biāo)。

以下是問(wèn)題“您對(duì)防止攻擊者在您的環(huán)境中使用服務(wù)賬戶進(jìn)行惡意訪問(wèn)的能力有多大信心？”的答案。

請(qǐng)注意，這里的術(shù)語(yǔ)“中”有點(diǎn)誤導(dǎo)，因?yàn)槿狈?shí)時(shí)預(yù)防本質(zhì)上使能夠檢測(cè)帳戶泄露的安全價(jià)值失效。

對(duì)環(huán)境的身份攻擊面的保護(hù)情況如何？使用成熟度模型#

該報(bào)告不僅指出了弱點(diǎn)和差距，還提供了一個(gè)有用的評(píng)分模型，該模型基于所有身份保護(hù)方面的匯總結(jié)果，可以揭示對(duì)身份威脅的抵御能力水平。

報(bào)告發(fā)現(xiàn)，很少有組織（低至 6.6%）制定了嚴(yán)格且實(shí)施的身份保護(hù)策略。但使用此模型可以回答相同的問(wèn)題，并了解組織的情況，以及需要采取哪些行動(dòng)。