特權攻擊向量, 2/e (Privileged Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Organizations, 2/e)

莫雷·哈伯（Morey Haber），BeyondTrust公司的首席技術官兼首席信息安全官。他在信息技術行業擁有20多年的工作經驗，委托Apress出版了3本名作：Privileged Attack Vectors、Asset Attack Vectors和Identity Attack Vectors。2018年，Bomgar收購了 BeyondTrust，並保留了BeyondTrust這個名稱。2012年，BeyondTrust公司收購eEye數字安全公司後，Morey隨之加入BeyondTrust公司。目前，Morey在BeyondTrust公司從事特權訪問管理（PAM）和遠程訪問解決方案有關的工作。2004年，Morey加入eEye公司，擔任安全技術部門主管，負責財富500強企業的經營戰略審議和漏洞管理架構。進入eEye之前，Morey曾擔任CA公司的開發經理，負責新產品測試以及跟進客戶工作。Morey最初被一家開發飛行訓練模擬器的政府承包商聘用，擔任產品可靠性及可維護工程師，並由此開始了自己的職業生涯。Morey擁有紐約州立大學石溪分校電氣工程專業理學學士學位。

 

奇安信數據安全專班，在國家數字化轉型以及“數據要素”市場持續利好的背景下，奇安信集團戰略佈局數據安全市場，將提升數據安全領域核心競爭力和影響力設為“主攻專項”。為貫徹落實數據安全戰略目標，聚焦以客戶為中心的價值理念，2023年初，奇安信集團深度整合公司內部及行業內的top數據安全技術專家、資深顧問、專業的相關技術團隊，正式成立奇安信數據安全專班。奇安信集團董事長齊向東以專班班長與專班委員會主任的身份親自領導該專班。

奇安信數據安全專班在國內設立了多個研發分支機構，以加強數據安全前瞻性技術創新為核心，探索構建多層次的數據安全產品及技術服務體系，持續推出系列工具和方案，旨在在幫助政企客戶應對數字時代的數據安全難題，同時更好地基於能力框架進行數據安全體系建設，提升整體數據安全水平。此外，奇安信集團也積極將自身在數據安全領域的豐富經驗貢獻於國家與行業，迄今已先後深度參與十餘項國家標準項目的編制工作，為國家的數據安全事業貢獻力量。

第 1 章 特權攻擊向量 1

1.1 威脅人格 3

第 2 章 特權 7

2.1 來賓用戶 8

2.2 標準用戶 9

2.3 高級用戶 11

2.4 管理員 11

2.5 身份管理 12

2.6 身份 13

2.7 賬戶 14

2.8 憑證 15

2.9 默認憑證 15

2.10 匿名訪問 16

2.11 空密碼17

2.12 默認密碼 18

2.13 默認隨機密碼 19

2.14 根據模式生成的密碼 20

2.15 強制密碼 21

第 3 章 憑證 23

3.1 共享憑證 23

3.2 賬戶憑證 24

3.3 共享管理員憑證25

3.4 臨時賬戶 27

3.5 SSH 密鑰27

3.5.1 SSH 密鑰安全認證概述27

3.5.2 SSH 密鑰認證的優點28

3.5.3 生成 SSH 密鑰28

3.5.4 SSH 密鑰訪問28

3.5.5 SSH 密鑰數量劇增會帶來安全和運營風險29

3.5.6 SSH 密鑰安全最佳實踐29

3.6 個人密碼和工作密碼29

3.7 應用程序 30

3.8 設備 32

3.9 別名 34

3.10 將電子郵件地址用作用戶名36

第 4 章 攻擊向量 39

4.1 密碼破解 39

4.2 猜測 40

4.3 肩窺 41

4.4 字典攻擊 41

4.5 暴力破解 42

4.6 哈希傳遞 42

4.7 安全問題 43

4.8 撞庫 45

4.9 密碼噴灑攻擊 45

4.10 密碼重置 46

4.11 SIM 卡劫持 47

4.12 惡意軟件 48

4.13 其他方法 50

第 5 章 無密碼認證 52

5.1 無密碼認證的物理方面52

5.2 無密碼認證的電子方面53

5.3 對無密碼認證的要求 55

5.4 無密碼認證的現實 56

第 6 章 提權 59

6.1 憑證利用 60

6.2 漏洞和漏洞利用程序 61

6.3 配置不當 63

6.4 惡意軟件 64

6.5 社交工程 65

6.6 多因子認證 67

6.7 本地特權和集中特權 68

第 7 章 內部威脅和外部威脅 70

7.1 內部威脅 70

7.2 外部威脅 73

第 8 章 威脅狩獵 76

第 9 章 非結構化數據79

第 10 章 特權監控82

10.1 會話記錄 82

10.2 擊鍵記錄 84

10.3 應用程序監控.85

10.4 會話審計 86

10.5 遠程訪問 88

第 11 章 特權訪問管理 89

11.1 特權訪問管理的難點91

11.2 密碼管理.93

11.3 最小特權管理94

11.4 安全的遠程訪問95

11.5 應用程序到應用程序的特權自動化96

11.6 特權SSH密鑰 97

11.7 目錄橋接98

11.8 審計和報告99

11.9 特權威脅分析100

第 12 章 PAM 架構 102

12.1 內部部署 105

12.2 雲端 106

12.2.1 基礎設施即服務（IaaS） 106

12.2.2 軟件即服務（SaaS） 107

12.2.3 平臺即服務（PaaS） 108

第 13 章 “打破玻璃” 110

13.1 打破玻璃的流程 111

13.2 使用密碼管理器的打破玻璃解決方案 111

13.3 會話管理 113

13.4 過期的密碼 114

13.5 應用程序到應用程序密碼 115

13.6 物理存儲 116

13.7 上下文感知 116

13.8 架構 117

13.9 打破玻璃後的恢復 117

第 14 章 工業控制系統和物聯網 119

14.1 工業控制系統 119

14.2 物聯網 122

第 15 章 雲124

15.1 雲模型 127

15.1.1 基礎設施即服務 128

15.1.2 軟件即服務129

15.1.3 平臺即服務130

目錄 6

第 16 章 移動設備 132

第 17 章 勒索軟件和特權 136

第 18 章 遠程訪問 140

18.1 廠商遠程訪問142

18.2 在家辦公 144

18.3 安全的遠程訪問146

第 19 章 安全的 DevOps 148

第 20 章 合規性 151

20.1 支付卡行業（PCI） 151

20.2 HIPAA.153

20.3 SOX 154

20.4 GLBA154

20.5 NIST155

20.6 ISO155

20.7 GDPR158

20.8 CCPA 161

20.9 ASD 162

20.10 MAS163

20.11 SWIFT.163

20.12 MITRE ATT&CK 165

第 21 章 即時特權 168

21.1 即時特權訪問管理168

21.2 即時特權管理策略 169

21.3 實施即時特權訪問管理 172

第 22 章 零信任.174

22.1 成功地實施零信任模型 174

22.2 零信任模型面臨的障礙 177

22.3 該考慮實施零信任模型嗎 179

第 23 章 特權訪問管理用例180

第 24 章 部署方面的考慮185

24.1 特權風險 185

24.2 特權憑證監管 186

24.3 共享的憑證 186

24.4 嵌入的憑證 187

24.5 SSH 密鑰 187

24.6 雲端特權憑證 188

24.7 功能賬戶 188

24.8 應用程序 189

24.9 應用程序專用密碼 190

第 25 章 實施特權賬戶管理192

25.1 第 1 步：改善特權賬戶的可追責性 193

25.2 第 2 步：在臺式機中實施最小特權 195

25.3 第 3 步：在服務器中實施最小特權 196

25.4 第 4 步：應用程序聲譽 198

25.5 第 5 步：遠程訪問199

25.6 第 6 步：網絡設備和 IoT 199

25.7 第 7 步：虛擬化和雲數據201

25.8 第 8 步：DevOps 和 SecDevOps203

25.9 第 9 步：特權賬戶與其他工具的集成204

25.9.1 第三方集成 204

25.9.2 目錄橋接 205

25.10 第 10 步：身份與訪問管理集成206

第 26 章 機器學習 208

26.1 機器學習與信息安全208

26.2 人的因素 209

26.3 攻擊向量 209

26.4 機器學習的好處.210

第 27 章 結語 212

27.1 最後的思考 214