企业网络安全新挑战：身份认证协议攻防分析

"这篇文档是中安网星-御守实验室-李帅臻关于‘突破企业网络新边界-身份认证协议攻防’的分享，主要探讨了网络安全体系的变化、未来攻防的重点以及身份认证协议的攻防策略。" 网络安全体系的变化 随着现代企业IT架构的快速发展，传统的网络边界变得越来越模糊。企业网络的保护重心已从单纯的边界保护转移到对应用、设备、终端以及用户身份的保护。身份成为了新的网络边界，它包含了用户身份、权限、所属网络组和可访问的资产等多个方面。同时，由于业务的云化，权限管理和认证逐渐一体化，导致网络边界更加模糊。 未来攻防焦点 随着IT架构和网络安全体系的变化，IAM（Identity and Access Management）、4A（Account、Authentication、Authorization、Audit）、堡垒机、云平台、AD（Active Directory）和k8s（Kubernetes）等集权设施成为了新的攻击目标。这些设施通常保存大量凭证，控制着广泛的网络权限，因此攻击者往往通过窃取或滥用这些设施来实现权限升级和横向移动，例如攻击AD和K8s的案例已经多次验证了这一点。预计未来云平台、IAM和PAM（Privileged Access Management）等身份管理设施将面临更大的安全挑战。 身份认证协议攻防 主流的身份认证协议，如Kerberos、OIDC（OpenID Connect）、SAML（Security Assertion Markup Language）等，因其广泛使用而成为攻击者的重要目标。攻击者通常会针对协议层进行滥用，例如Kerberos的攻击包括密码喷洒、AS-REP Roasting、Kerberoasting、MS14-068漏洞、黄金票据、青铜票据攻击等。NTLM（NT LAN Manager）协议也经常遭受PTH（Pass The Hash）、NTLM信息收集、NTLMv1破解、NTLM Relay等攻击。 随着网络环境的复杂化，身份成为了新的安全边界，而身份认证协议的安全性显得至关重要。企业需要加强身份认证协议的防护，防止攻击者通过协议漏洞获取敏感信息和控制权限。同时，对于关键的集权设施，如AD、IAM、PAM等，应强化安全策略，实施严格的权限管理和监控，以抵御未来的安全威胁。