网络安全中的身份攻击：一个重要的威胁

关键要点

身份基础攻击已成为网络攻击中不可或缺的组成部分，尤其在获取初始访问权限方面。62 的网络攻击涉及利用用户或组织的数字身份。技术行业是遭受攻击最严重的行业，其次是金融行业。云服务的使用增加了身份攻击的风险，攻击者利用云凭证进行广泛的横向移动。

在《罗密欧与朱丽叶》中，剧作家威廉莎士比亚曾提出一个存在主义问题：“名字里有什么？”在网络安全领域，答案是：“几乎所有你所珍视的东西。”

根据CrowdStrike新发布的报告，身份基础攻击已经成为当前大多数互动网络攻击的关键组成部分。这些攻击为恶意黑客提供了廉价且简单的方式，进入受害者环境，促进广泛的横向移动，并在许多机构中常规身份验证工作的背景噪声中隐藏自己，这种身份验证工作每天会发生数百到数千次。

加速器外网梯子

该报告由CrowdStrike新成立的反对手操作团队撰写，覆盖了2022年7月1日至2023年6月30日的活动，并提供了“数万次”事件的数据。

CrowdStrike的数据凸显了网络安全领域过去几年的多个趋势，包括对身份和认证机制以及有缺陷的软件作为初始访问手段的增加攻击；同时还通过零日漏洞和远程管理工具的扩展使用来悄无声息地在受害者环境中行动。

但今年的最大启示是，利用用户、组织或供应商的数字身份已成为当今大多数恶意黑客攻击的一个关键特征，过去一年观察到的“手动侵入”中有62涉及这一点。

报告指出：“有效账户在多种策略中的持续出现，突显了对手战略性利用可信账户的使用加强，以获取初始访问权限、建立持续性、提升权限和规避防御的趋势。对手获取初始访问的便利性往往仅需通过购买模糊了合法用户与冒名顶替者之间的界限。”

根据CrowdStrike的数据，一种名为“Kerberoasting”的攻击手法即攻击者窃取作为唯一标识符的Kerberos身份验证协议加密票证，并在离线环境中破解以获取明文凭证在去年增长了高达583。

行业攻击目标

技术行业是受攻击最多的行业，黑客和国家行为者利用第三方软件和工具入侵下游客户的系统，呈现出愈发主流的趋势。

紧随技术行业之后，金融行业成为下一个目标，尤其受到北朝鲜黑客组织的攻击，这些黑客寻找可以帮助资助朝鲜军事和核武器计划的利润。该领域还遭受了加密货币盗贼和高额赎金勒索团伙的攻击。

报告指出：“由于受害组织需要保持系统正常运行，加上该行业的敏感性，网络犯罪威胁行为者可能得出结论，金融机构愿意并有能力支付赎金。”

云 凭证 = 危险组合

身份基础攻击的增加与对云服务和资产的威胁上升相辅相成。云攻击在2022年几乎翻了一番，而CrowdStrike将“云意识”威胁行为者归因的事件数量则翻了三倍。

随着企业转向云端，并越来越依赖分布式、远程的工作团队，他们用以控制访问和验证身份的凭证、加密密