漏洞致命主义已经结束:为什么身份威胁预防是网络安全的未来

发布于 作者:

漏洞致命主义已经结束:为什么身份威胁预防是网络安全的未来

原创 sanlihesec 独角鲸网络安全实验室 2025-05-29 07:39

在一个平静的午后,小李正准备查看他的商业邮件,却发现邮箱已被登录,所有文件都被加密,屏幕上显示着勒索信息。那一刻,他才意识到,传统网络安全思维已经无法再保护他的企业。近年来,随着身份威胁的不断演变,一种新的网络安全概念——身份威胁预防(ITP)逐渐兴起,这或许能为像小李这样的人提供一种全新的解决方案。

身份攻击已经成为网络安全的头号威胁。据《福布斯》杂志报道,75% 的网络攻击都利用了身份漏洞。攻击者不再需要寻找复杂的系统漏洞,而是通过盗取身份凭证、攻陷设备以及使用深度伪造技术,轻松绕过传统防御,甚至在未被检测的情况下直接获取访问权限。这使得传统的多因素身份验证(MFA)等方法,如推送通知和一次性密码,也变得不再安全。这些曾经被认为可靠的身份验证手段,如今却常常成为攻击者的突破点。

传统的网络安全策略几乎都基于一个核心假设:入侵不可避免。 

因此,组织大量投入检测与响应工具,如终端检测与响应(EDR)、网络检测与响应(NDR)和身份威胁检测与响应(ITDR)。这些工具虽然在某些方面有价值,但本质上是被动的。它们只能在初始访问权限被授予后才检测到入侵,而此时攻击者已经潜入系统,横向移动、提升权限并窃取数据。这种被动防御方式不仅使公司暴露于风险之中,还耗费大量资源用于清理入侵后果,而非阻止入侵发生。

身份层已成为新的入侵途径。如今的攻击者不再需要费力寻找系统漏洞,他们直接针对身份层下手,利用凭证钓鱼、MFA 绕过和会话劫持等手段轻松进入企业环境。许多身份和访问管理解决方案,尽管是安全架构的核心,却依赖于过时的身份验证方法,如基于推送的 MFA、一次性密码和备用密码。这些方法虽然曾经是临时的补救措施,如今却成为攻击者轻易绕过的障碍。

2023 年,Caesars Entertainment 和 MGM Resorts 都因为攻击者通过社会工程和 MFA 疲劳技术绕过身份保护而遭受重大入侵。在这些案例中,攻击者通过身份支持系统获得初始访问权限,随后在环境中横向移动。

类似的,2022 年思科的入侵事件也是从员工凭证被盗取开始,随后通过重复推送请求绕过 MFA,最终获得完整 VPN 访问权限。

面对这样的挑战,身份威胁预防(ITP)作为一种主动安全模型应运而生。ITP 的设计初衷是在攻击发生前消除基于身份的攻击向量。与传统方法不同,ITP 通过从 “假设入侵” 转变为 “阻止入侵”,将访问控制转变为最强大的安全层。这种方法的核心是通过强化身份平台,从根本上消除攻击者利用身份漏洞的可能性。

ITP 的四大核心原则

  1. 防钓鱼认证
    :这要求完全消除共享秘密,用不可钓鱼、重放或被盗的加密、设备绑定凭证取代密码、推送通知和一次性密码。这种新的认证方式使得攻击者即使获取了用户的登录信息,也无法利用这些信息进行攻击。

  2. 设备信任与策略强制执行
    :这要求根据明确的设备策略实时强制执行设备信任。组织可以设定访问所需的设备安全控制,如磁盘加密、操作系统补丁级别、设备上的 EDR、生物识别登录和防火墙状态等。如果设备策略中的任何元素被违反,访问将自动被拒绝或撤销,无需用户干预。

  3. 持续验证身份和设备安全
    :ITP 要求在整个会话过程中持续验证用户身份和设备状态,而不仅仅是在登录时刻。这意味着,如果设备状态不符合安全政策,如禁用加密、卸载 EDR 或失去生物识别保护,访问将被立即撤销或限制。这种持续的验证机制确保了即使攻击者在会话中途尝试篡改设备或身份信息,也无法成功。

  4. 实时、集成的基于风险的访问框架
    :ITP 是一个访问框架,使用来自整个安全堆栈的实时数据评估身份和设备安全状态。它将身份验证和风险评估结合在一起,根据 EDR、MDM、ZTNA、SIEM 和漏洞扫描器等工具的信号做出每个访问决策。这使组织能够定义细致、适应性强的政策以反映当前条件,并且只有当身份、设备和风险背景都符合政策时才授予访问权限。

随着 AI 技术的飞速发展,网络安全的威胁格局正在迅速改变。攻击者如今可以利用生成式 AI 制作逼真的钓鱼邮件、克隆语音和深度伪造视频来伪装成高管、IT 支持人员或供应商。这些合成威胁不仅逼真到足以欺骗用户,还能绕过社会验证,触发高风险行为。面对这样的威胁,传统的安全工具显得力不从心。ITP 通过将信任从用户转移到可验证的加密凭证和强化设备状态上来直接应对这些威胁。通过持续验证身份并实时执行安全策略,ITP 使 AI 驱动的伪装尝试变得无效。

选择一个真正符合 ITP 模型的身份解决方案并非易事。在评估时,需要问自己几个关键问题:

1)它是否使用抗钓鱼的设备绑定凭证?

2)它是否消除了共享秘密、密码和备用身份验证方法?

3)它是否能够在访问点强制执行细粒度的设备策略?

4)它是否能够持续验证身份和设备状态?

5)它是否能够摄取和实时响应来自 EDR、MDM 和 ZTNA 等工具的数据?

6)它是否能够防范 AI 驱动的威胁,如深度伪造和实时伪装?

网络安全需要一次思维方式的转变。入侵并非不可避免,只要访问层得到强化,入侵就可以被阻止。身份威胁预防提供了一条新的道路,将身份转变为控制点而非暴露点。通过消除不安全的身份验证方法、强制执行设备合规性,并将实时风险信号整合到每个访问决策中,ITP 消除了攻击者依赖的攻击向量。这不仅改变了网络安全的游戏规则,也为组织提供了一种全新的、主动的安全防御方式。