特權攻擊向量（第2版）

莫雷·哈伯（Morey Haber），BeyondTrust公司的首席技术官兼首席信息安全官。他在信息技术行业拥有20多年的工作经验，委托Apress出版了3本名作：Privileged Attack Vectors、Asset Attack Vectors和Identity Attack Vectors。2018年，Bomgar收购了 BeyondTrust，并保留了BeyondTrust这个名称。2012年，BeyondTrust公司收购eEye数字安全公司后，Morey随之加入BeyondTrust公司。目前，Morey在BeyondTrust公司从事特权访问管理（PAM）和远程访问解决方案有关的工作。2004年，Morey加入eEye公司，担任安全技术部门主管，负责财富500强企业的经营战略审议和漏洞管理架构。进入eEye之前，Morey曾担任CA公司的开发经理，负责新产品测试以及跟进客户工作。Morey最初被一家开发飞行训练模拟器的政府承包商聘用，担任产品可靠性及可维护工程师，并由此开始了自己的职业生涯。Morey拥有纽约州立大学石溪分校电气工程专业理学学士学位。

 

奇安信数据安全专班，在国家数字化转型以及“数据要素”市场持续利好的背景下，奇安信集团战略布局数据安全市场，将提升数据安全领域核心竞争力和影响力设为“主攻专项”。为贯彻落实数据安全战略目标，聚焦以客户为中心的价值理念，2023年初，奇安信集团深度整合公司内部及行业内的top数据安全技术专家、资深顾问、专业的相关技术团队，正式成立奇安信数据安全专班。奇安信集团董事长齐向东以专班班长与专班委员会主任的身份亲自领导该专班。

奇安信数据安全专班在国内设立了多个研发分支机构，以加强数据安全前瞻性技术创新为核心，探索构建多层次的数据安全产品及技术服务体系，持续推出系列工具和方案，旨在在帮助政企客户应对数字时代的数据安全难题，同时更好地基于能力框架进行数据安全体系建设，提升整体数据安全水平。此外，奇安信集团也积极将自身在数据安全领域的丰富经验贡献于国家与行业，迄今已先后深度参与十余项国家标准项目的编制工作，为国家的数据安全事业贡献力量。

第 1 章 特權攻擊向量 1

1.1 威脅人格 3

第 2 章 特權 7

2.1 來賓用戶 8

2.2 標準用戶 9

2.3 高級用戶 11

2.4 管理員 11

2.5 身份管理 12

2.6 身份 13

2.7 賬戶 14

2.8 憑證 15

2.9 默認憑證 15

2.10 匿名訪問 16

2.11 空密碼17

2.12 默認密碼 18

2.13 默認隨機密碼 19

2.14 根據模式生成的密碼 20

2.15 強制密碼 21

第 3 章 憑證 23

3.1 共享憑證 23

3.2 賬戶憑證 24

3.3 共享管理員憑證25

3.4 臨時賬戶 27

3.5 SSH 密鑰27

3.5.1 SSH 密鑰安全認證概述27

3.5.2 SSH 密鑰認證的優點28

3.5.3 生成 SSH 密鑰28

3.5.4 SSH 密鑰訪問28

3.5.5 SSH 密鑰數量劇增會帶來安全和運營風險29

3.5.6 SSH 密鑰安全最佳實踐29

3.6 個人密碼和工作密碼29

3.7 應用程序 30

3.8 設備 32

3.9 別名 34

3.10 將電子郵件地址用作用戶名36

第 4 章 攻擊向量 39

4.1 密碼破解 39

4.2 猜測 40

4.3 肩窺 41

4.4 字典攻擊 41

4.5 暴力破解 42

4.6 哈希傳遞 42

4.7 安全問題 43

4.8 撞庫 45

4.9 密碼噴灑攻擊 45

4.10 密碼重置 46

4.11 SIM 卡劫持 47

4.12 惡意軟件 48

4.13 其他方法 50

第 5 章 無密碼認證 52

5.1 無密碼認證的物理方面52

5.2 無密碼認證的電子方面53

5.3 對無密碼認證的要求 55

5.4 無密碼認證的現實 56

第 6 章 提權 59

6.1 憑證利用 60

6.2 漏洞和漏洞利用程序 61

6.3 配置不當 63

6.4 惡意軟件 64

6.5 社交工程 65

6.6 多因子認證 67

6.7 本地特權和集中特權 68

第 7 章 內部威脅和外部威脅 70

7.1 內部威脅 70

7.2 外部威脅 73

第 8 章 威脅狩獵 76

第 9 章 非結構化數據79

第 10 章 特權監控82

10.1 會話記錄 82

10.2 擊鍵記錄 84

10.3 應用程序監控.85

10.4 會話審計 86

10.5 遠程訪問 88

第 11 章 特權訪問管理 89

11.1 特權訪問管理的難點91

11.2 密碼管理.93

11.3 最小特權管理94

11.4 安全的遠程訪問95

11.5 應用程序到應用程序的特權自動化96

11.6 特權SSH密鑰 97

11.7 目錄橋接98

11.8 審計和報告99

11.9 特權威脅分析100

第 12 章 PAM 架構 102

12.1 內部部署 105

12.2 雲端 106

12.2.1 基礎設施即服務（IaaS） 106

12.2.2 軟件即服務（SaaS） 107

12.2.3 平臺即服務（PaaS） 108

第 13 章 “打破玻璃” 110

13.1 打破玻璃的流程 111

13.2 使用密碼管理器的打破玻璃解決方案 111

13.3 會話管理 113

13.4 過期的密碼 114

13.5 應用程序到應用程序密碼 115

13.6 物理存儲 116

13.7 上下文感知 116

13.8 架構 117

13.9 打破玻璃後的恢復 117

第 14 章 工業控制系統和物聯網 119

14.1 工業控制系統 119

14.2 物聯網 122

第 15 章 雲124

15.1 雲模型 127

15.1.1 基礎設施即服務 128

15.1.2 軟件即服務129

15.1.3 平臺即服務130

目錄 6

第 16 章 移動設備 132

第 17 章 勒索軟件和特權 136

第 18 章 遠程訪問 140

18.1 廠商遠程訪問142

18.2 在家辦公 144

18.3 安全的遠程訪問146

第 19 章 安全的 DevOps 148

第 20 章 合規性 151

20.1 支付卡行業（PCI） 151

20.2 HIPAA.153

20.3 SOX 154

20.4 GLBA154

20.5 NIST155

20.6 ISO155

20.7 GDPR158

20.8 CCPA 161

20.9 ASD 162

20.10 MAS163

20.11 SWIFT.163

20.12 MITRE ATT&CK 165

第 21 章 即時特權 168

21.1 即時特權訪問管理168

21.2 即時特權管理策略 169

21.3 實施即時特權訪問管理 172

第 22 章 零信任.174

22.1 成功地實施零信任模型 174

22.2 零信任模型面臨的障礙 177

22.3 該考慮實施零信任模型嗎 179

第 23 章 特權訪問管理用例180

第 24 章 部署方面的考慮185

24.1 特權風險 185

24.2 特權憑證監管 186

24.3 共享的憑證 186

24.4 嵌入的憑證 187

24.5 SSH 密鑰 187

24.6 雲端特權憑證 188

24.7 功能賬戶 188

24.8 應用程序 189

24.9 應用程序專用密碼 190

第 25 章 實施特權賬戶管理192

25.1 第 1 步：改善特權賬戶的可追責性 193

25.2 第 2 步：在台式機中實施最小特權 195

25.3 第 3 步：在服務器中實施最小特權 196

25.4 第 4 步：應用程序聲譽 198

25.5 第 5 步：遠程訪問199

25.6 第 6 步：網絡設備和 IoT 199

25.7 第 7 步：虛擬化和雲數據201

25.8 第 8 步：DevOps 和 SecDevOps203

25.9 第 9 步：特權賬戶與其他工具的集成204

25.9.1 第三方集成 204

25.9.2 目錄橋接 205

25.10 第 10 步：身份與訪問管理集成206

第 26 章 機器學習 208

26.1 機器學習與信息安全208

26.2 人的因素 209

26.3 攻擊向量 209

26.4 機器學習的好處.210

第 27 章 結語 212

27.1 最後的思考 214