身份圖譜：彌補靜態身份認證與動態網絡攻擊之間的缺失

威瑞森前不久發布的“2022數據泄露調查報告”顯示，61%的數據泄露可追溯到身份憑證的泄露。其中一個很大的原因是黑色產業鏈的成熟。一種稱之為“入口訪問經紀人”(IAB)的角色，專門從事身份賬號的交易，在過去幾年中越來越受歡迎，大大降低了從事網絡犯罪活動的門檻。一些泛濫的，如LockBit、Avaddon、DarkSide、Conti、Blackyte等勒索軟件均在網絡黑市上通過IAB購買訪問憑證。

針對身份相關攻擊的激增

一種流行的針對憑證進行攻擊的手法，叫做賬戶接管(ATO)。攻擊者往往將目標鎖定在他們認為非常有價值的賬戶上，如銀行賬戶和包含支付信息的賬戶，使用機器爬蟲和機器學習等自動化工具，對面向消費者的網站進行大規模且持續的攻擊。借助自動化工具，或基于購買的憑證進行撞庫（憑證填充），或者干脆使用暴力破解手段來接管受害者的賬戶。

除了自動化工具以外，網絡犯罪分子還可通過網絡釣魚、中間人劫持，甚至是冒充人工客服來騙取受害者點擊惡意鏈接，最終獲得身份賬號。ATO已經成為網絡罪犯的首選武器，據身份安全公司sift的統計，在2019年至2020年期間間，ATO的攻擊數量激增了282%。

一般而言，大多數機構依賴自動化的訪問控制工具，來實現身份驗證和授權服務以確認身份的合法性。身份驗證是為了知道用戶是誰，授權的重點則是允許用戶能做什么。這種安全級別的訪問控制層是防范賬號攻擊的第一道防線，但稍微高級一些的攻擊者可以輕松地繞過這些措施。因此，我們要考慮不僅僅做到“用戶是誰、能做什么”的第二道防線，即能夠學習并適應的動態身份檢測系統。

身份圖譜

網絡攻擊手段往往集中于安全性和可用性的交叉點，因此僅強調安全性或可用性注定會出問題。如果我們只看安全協議應該如何如何（為了安全而安全），我們就忽略了用戶的真實業務特點。如果我們只考慮如何使其易于使用，則無異于向壞人敞開大門。

傳統的訪問控制建立了“允許/不允許”的決策，但這種“你是誰、你能做什么”的靜態認證方式無法應對動態變化的攻擊，為了解決這一差距，需要一個健壯的學習系統來識別和攔截動態變化的攻擊者戰術，這就是需要引入動態身份檢測的原因，即一種名為身份圖譜的技術。這種檢測技術可根據系統的使用方式和攻擊者的手法進行觀察和學習，包括暴力破解、重定向、篡改和其他ATO等攻擊策略。

身份圖譜是一種實時的防護技術，它基于海量（十億量級的圖譜數據庫）的身份相關數據，包括人物畫像和行為模式，輔助安全團隊快速識別用戶帳戶中的異常行為。通過這種實時、數據驅動的方法，團隊可以識別自動化工具（如機器人和機器學習算法）產生的行為和活動，并在這些行為造成任何損壞（如盜竊或欺詐性購買）之前將其檢測出來并阻止。

為了彌補靜態身份驗證和動態網絡攻擊的缺失，必須建立一個隨著時間推移不斷發展完善的學習系統，以跟上攻擊者的戰術，識別整個身份生命周期中的攻擊者策略。

來源：數世咨詢