在“企業邊界正在瓦解，基于邊界的安全防護體系正在失效”的大背景下，“身份即信任”（Identity is Trust）已成為新一代安全能力構建的基石。特別是在零信任安全建設中，對傳統訪問控制技術進行了理念上的顛覆，倡導安全體系架構從網絡中心化走向身份中心化，實現以身份為中心的新型網絡訪問控制。在此背景下，加強客戶身份安全和訪問管理（CIAM）也成為許多組織的優先實現。

CIAM的基本特征與發展

新一代客戶身份和訪問管理（CIAM）解決方案使組織能夠為需要訪問其業務應用系統和服務的外部用戶實現便利性、隱私性和安全性方面的平衡。同時，它還允許組織不斷發展用戶體驗（UX），以最大限度地減少開發人員對身份相關功能的需求，并滿足監管和安全要求。

有效的CIAM解決方案需要包含三個基本特征：身份驗證、授權和身份管理。 

• 正確的身份驗證可確保登錄賬戶的用戶是他們所稱的身份；
• 有效的授權有助于組織為用戶提供對應用程序和/或資源的適當訪問級別；
• 全面的身份管理允許管理員更新用戶訪問權限并實施安全策略。

最近幾年，雖然CIAM的說法一直保持不變，但其內在含義已經發生了許多變化。如今，CIAM的主要應用類型包括：

• 服務消費者客戶：在企業對消費者（business-to-consumer，B2C）應用中，有效的CIAM實施使您能夠提供高度個性化的促銷和建議，從而為客戶帶來更多收入并創造更多價值，同時確保在整個企業中提供便捷的用戶體驗數字頻道。
• 為企業客戶提供支持：企業組織對SaaS系統的應用已經非常普及。不同類型、級別的用戶需要對不同資源擁有不同級別的訪問權限，而創建便捷安全的體驗需要通過CIAM精確管理身份和訪問權限。
• 支持第三方合作伙伴：在許多情況下，身份信息必須由提供服務的組織管理。為了滿足服務提供商需求，CIAM系統還需要提供組織客戶賬戶創建、維護和維護所需的所有工具。

在企業環境中，安全性的要求有時會高于便利性，因此管理員可以在相對較少考慮用戶體驗的情況下實施控制。但客戶身份管理必須在保持安全性和隱私性的同時，最大限度地減少對業務開展的影響，在不影響用戶體驗的情況下抵御日益復雜的身份安全威脅。

CIAM面臨的主要威脅

利用或針對CIAM服務的攻擊有多種形式，但是攻擊的主要目標多為以下兩種結果：

• 注冊欺詐：攻擊者創建傀儡賬戶。
• 賬戶接管（ATO）：攻擊者獲得對現有賬戶的訪問權限。

注冊欺詐攻擊對企業的主要威脅包括：失去合法用戶和相關利益、聲譽受損、直接經濟損失以及產生高昂的賬號清理費用。而賬戶接管對企業的安全和隱私構成了更大的威脅，除了竊取關鍵業務數據，他們還可能獲得有價值的用戶統計信息和個人身份信息（PII），導致組織可能會面臨嚴格的監管處罰，以及失去用戶的信任。

據最新的研究數據顯示，目前最常見的身份安全攻擊手法包括：

1、欺詐性注冊

在欺詐性注冊攻擊（也稱為虛假賬戶創建攻擊）中，威脅行為者會濫用賬戶注冊過程來創建傀儡賬戶。

【欺詐性注冊攻擊剖析】

執行欺詐性注冊的動機有很多，包括：

• 不公平地獲得有價值的東西。
• 獲得與創建賬戶相關的獎勵，包括禮品卡、加密貨幣代幣等。
• 利用賬戶開展垃圾郵件發送、虛假信息或社會工程攻擊活動。
• 進行合成身份欺詐，通常利用金融服務和公用事業賬戶。
• 將賬戶轉售給相關方。
• 損害提供商提供的服務能力，從而阻止合法用戶注冊。
• 通過使用傀儡賬戶操縱登錄成功率和失敗率以繞過自動安全措施，來實施賬戶接管（ATO）攻擊。

2、憑據填充

憑據填充（俗稱“撞庫”）攻擊利用了非常普遍的密碼重用實踐。當賬戶持有人在多個站點上重復使用相同（或相似）的密碼時，就會產生多米諾骨牌效應，其中一個憑據受損將威脅多個應用程序。

除了賬戶接管目的外，憑證填充還通常用于賬戶發現/驗證，其目標是開發可以出售的高質量憑證列表。

【憑據填充攻擊剖析】

大多數此類攻擊都使用暴力破解一長串被破壞的憑據。不幸的是，發動此類攻擊的障礙非常低。根據最新調查數據顯示，撞庫攻擊是目前直接觀察到的最常見身份攻擊威脅。在2022年第一季度，共計檢測到近100億次撞庫事件，約占總流量/身份驗證事件的34%。

3、MFA繞過

MFA（多因素身份驗證）是防止賬戶接管的有效方法，無論是來自撞庫攻擊還是來自其他一些攻擊媒介。要破壞實施MFA保護的賬戶，攻擊者需要獲取賬戶憑據，或者通過MFA質詢作為身份的輔助證明。研究人員發現，現在有多種攻擊工具可以很輕松地針對一些身份驗證因素發起攻擊，尤其是SMS傳遞的一次性密碼（OTP）。此外，積極主動且資源充足的威脅參與者知道（并提供出售）MFA的變通辦法并不罕見。這些繞過機制通常利用遺留身份驗證協議中的漏洞，因此，組織必須了解禁用或嚴格管理此類系統的必要性。

【MFA繞過攻擊剖析】

4、會話劫持

在會話劫持攻擊中，攻擊者無需提供密碼即可訪問活躍會話。只要會話保持活躍狀態，攻擊者就會保持訪問權限。

【會話劫持攻擊剖析】

實現此結果的兩種常見攻擊方法是：1. 合法用戶登錄后，攻擊者竊取用戶的會話cookie；2. 攻擊者通過帶有準備好的會話ID的惡意鏈接誘騙用戶登錄。這兩種方法都可以在一定程度上進行擴展，但會話劫持更有可能被用作針對特定用戶的針對性攻擊的一部分。

5、密碼噴射與猜測

密碼噴射是一種暴力攻擊方法，攻擊者使用自動化工具嘗試跨多個不同賬戶的通用密碼。而密碼猜測則是一種更粗略的方法，會在海量的賬戶中嘗試許多密碼。

【密碼噴射攻擊剖析】

由于用戶不安全的密碼習慣（例如密碼重用、使用常用詞、設置弱密碼等），攻擊者只需簡單地利用泄露密碼列表和常用詞詞典就可以顯著提高破解正確密碼的可能性。

6、代碼注入

代碼注入攻擊是將代碼插入到一個字段中，例如用戶名，以利用未能清理輸入的薄弱系統。例如，代碼可能會要求后端忽略密碼檢查，并自動將攻擊者登錄到用戶數據庫中的管理員賬戶。一旦攻擊者擁有管理訪問權限，就可以進行廣泛的入侵操作。

【注入攻擊剖析】

7、會話重寫

與會話劫持一樣，會話ID URL重寫是一種為威脅參與者提供帳戶訪問權限的攻擊；在這種情況下，攻擊者竊取了會話URL，這可以通過多種方式實現，包括：

• 嗅探不安全的Wi-Fi連接。
• 親自查看URL（例如，無意地后頭瞥見）。
• 使用間諜軟件/惡意軟件抓取屏幕圖像。

CIAM防護優化建議

隨著攻擊者將更多注意力集中在入侵客戶身份系統上，且不斷發展他們的策略、技術和程序（TTP），下述安全建議對于企業來說至關重要：

• 實施縱深防御工具，并在用戶層、應用層和網絡層有效結合使用。
• 持續監控其應用程序的攻擊跡象和TTP變化。
• 根據防護需要及時進行策略調整（例如，調整參數、收緊限制、引入新工具等）。

【CIAM縱深防御應用策略】

正確有效地使用CIAM方案對每個現代組織都是一個挑戰。以下是一些通用優化建議：

• 實施和鼓勵MFA：MFA是破壞攻擊最有效的方法之一，實施具有強大認證因素的多種方法并鼓勵用戶采用。
• 限制失敗的登錄嘗試：暴力破解、憑證填充和密碼噴射通常會在每次攻擊得手前觸發許多失敗。
• 實施安全會話管理：使用服務器端的安全會話管理器，在登錄后生成新的會話ID。不要將會話ID放在URL中，并確保它們在注銷后立即失效。
• 不要附帶默認憑據：默認管理員憑據是主要的攻擊媒介，因為許多用戶保持不變，使系統容易受到字典攻擊；
• 強制使用強密碼：許多暴力攻擊依賴于弱密碼或普通密碼，建議企業強制要求并執行密碼長度和復雜性管理策略。
• 監控已泄露密碼的使用：許多用戶在多個站點上重復使用相同或相似的密碼，因此一項服務的泄露可能會威脅到許多其他服務，應該強制用戶及時更改被破壞的憑據。
• 不要存儲純文本密碼：如果企業的密碼數據庫無法直觀讀取識別，那么它對黑客來說毫無價值，對身份賬號進行加密是必須的，也是合理的。