1.2 凭据:身份验证和授权

根据Verizon 2017年数据泄露调查报告[9],不同的行业,威胁行为者(或仅仅是行为者)、他们的动机和他们的作案手法也会有所不同。然而,报告指出,被盗的凭据是出于经济动机或有组织的犯罪的首选攻击向量。这些数据非常重要,因为它表明威胁分子正在攻击用户的凭据,这导致公司必须特别关注用户身份验证及用户访问权限的授权。

业界已经达成共识,用户的身份就是新的边界。这需要专门设计的安全控制,以便根据个人的工作和对网络中特定数据的需求对其进行身份验证和授权。凭据盗窃可能只是使网络罪犯能够访问你的系统的第一步。在网络中拥有有效的用户账户将使他们能够横向移动(支点),并在某种程度上找到适当的机会将权限提升到域管理员账户。因此,基于旧的深度防御概念的策略仍然是保护用户身份的好策略,如图1-2所示。

图1-2 多层身份保护

图1-2中有多层保护,首先是针对账户的常规安全策略实施,它遵循行业最佳实践,例如强密码要求,包括频繁更改密码和使用高强度密码。

保护用户身份的另一个日益增长的趋势是强制执行MFA(Multi-Factor Authentication,多因子认证)。一种正在被越来越多地采用的方法是回调功能,用户最初使用他的凭据(用户名和密码)进行身份验证,然后接收到输入PIN码的呼叫。如果两个身份验证因素都成功,则被授权访问系统或网络。我们将在第7章更详细地探讨这个问题。另一个重要的层是持续监控,因为到了最后,如果你不主动监控自己的身份以了解正常的行为并识别可疑的活动,那么即便拥有所有安全控制层也是没有任何意义的。我们将在第12章详细介绍这方面内容。