摘要

从勒索软件到 APT，身份风险是重要的攻击向量。 管理 Active Directory 的复杂性，导致所有组织都存在1/6的可利用的特权身份风险。 这些身份风险包括使用过时密码的本地管理员、具有不必要权限的错误配置用户、在终端上暴露的缓存凭据等。

当攻击者利用这些特权身份风险入侵终端时，他们将会安装恶意软件和窃取数据。 特权身份是重要的凭据，攻击者利用它来窃取组织中重要数据。 不幸的是，大多数组织都没有意识到这种风险——直到他们受到攻击或直到Illusive公司帮助他们发现这些风险。

介绍，每个组织都易受到身份风险的影响

身份风险无处不在。根据 2021 年 Verizon 数据泄露事件报告，凭据是数据泄露事件中最受欢迎的数据类型。The Identity Defined Security Alliance报告称，79% 的组织经历过与身份相关的安全威胁。The Identity Theft Resource Center报告称，勒索软件攻击在 2021 年翻了一番，并有望在 2022年超越网络钓鱼成为数据泄露的主要原因。

然而，令人惊讶的是，所有组织都缺乏对这些身份风险的了解。在与金融服务、医疗保健和零售行业（以及其他行业）的众多安全团队合作时， Illusive 亲眼目睹了这些风险，这些团队通常拥有最成熟的安全体系。 在过去 12 个月内完成了这些组织的身份风险分析，我们的首份分析身份风险 (AIR) 2022 报告中展现了这些分析结果。

特权身份在企业组织中具有不同寻常的力量。它们可以重置密码、更改策略、安装软件以及提取或加密数据。当一个攻击者使用这些特权身份之一入侵了一个终端，它就像用作弊代码玩游戏一样——他们几乎可以做任何他们想做的事情。 可利用的身份风险使攻击者能够获得初始访问权限，在网络上让他们的权限得以维持，提升他们的权限，逃避防御，并加速他们的横向移动，直到他们完全控制目标。

不幸的是，Illusive 研究表明，所有组织都容易受到攻击，并且1/6的终端具有至少一种可利用的身份风险。本研究从三个维度研究了这些风险：未经管理的身份风险、错误配置的身份风险和暴露的身份风险。其中许多风险相互重叠，并且现实情况是，Illusive 在每个组织中都发现了未经管理、配置错误和暴露身份风险的案例。

未经管理的身份风险

未经管理的身份风险可能表现的形式为过时的本地管理员密码，使用临时或测试管理员账户，或没有应用账户管理解决方案的本地管理员，等等。例如，在对一家金融服务机构的分析中，Illusive发现了近400个本地管理员应用了微软的本地管理员密码解决方案（LAPS），但有近500个本地管理员没有应用——这是一个合格的水平，但仍然远远好于平均水平。

作为一个最佳解决办法，本地管理员应该应用特权账户管理解决方案；然而，这些解决方案的不断变化和某些限制会导致未被管理和被遗忘的本地管理员账号数量急剧增加。像应用LAPS这样的解决方案的目的是确保每个本地管理员都有唯一的密码。在没有这些解决方案的情况下，出现密码重复使用的可能性更大，使攻击者能够入侵数百个本地管理员账户，就像入侵一个账户一样容易。

反过来说，本地管理员默认账户名的使用（administrator）也降低了攻击者入侵的门槛。如果这些默认的管理员账户都使用相同的密码，这将会使得攻击者更容易入侵。

同样，不受管理的身份风险的另一个来源是过时的密码。作为最佳解决办法，管理员密码应每 30 至 90 天更改一次。 密码越旧越容易受到影响，特别是在这种情况下重用密码，那么就可能遭受各种暴力攻击。 此外，使用过时的密码表明这些潜在的本地风险管理员仍然不受管理。

另一个与密码有关的风险是本地管理员密码从未被设置过的情况。有一些学术上的论点支持永远不要设置管理密码，但现实是，这大大增加了内部攻击的风险，并且，在设备丢失或被盗的情况下，可能是灾难性的。

最后一个不受管理的风险是存在完全未知的本地管理员。这些管理员往往被命名为“temp”或“test”。 你可能想知道我们如何将这种风险定义为未知，这是因为每次我们向组织组织展示我们的发现时，他们反映并不知道那些管理员是谁。 由于这些帐户具有很高的权限，但不为人知，安全团队应优先考虑此类风险的补救措施。

错误配置的身份风险

错误配置的身份风险广泛体现了我们所说的”影子管理员”。正如 “影子IT “是指在IT管理员未知的情况下部署IT系统。影子管理员是由具有权限的用户定义的， 超出 IT 管理员的权限——这些权力可能会被用来提升权限。在我们对身份风险的分析中，Illusive在所有的组织中都发现了错误配置影子管理员的例子。

例如，在一个医疗机构的例子中。Illusive发现一个一级服务台员工负责重设密码，同时拥有三级权限来添加域管理员。如果这个一级管理员账户被入侵，那么攻击者就可以将他们的账户添加为域管理员来提升他们的权限。坦白地说，我们在许多组织中看到了这些风险。

最重要的是，40%的影子管理员风险可以一步到位地被利用——如果攻击者入侵了其中一个错误配置的身份，他们只需要一个权限，例如重新设置域管理员的密码，就可以将他们的权限提升到域管理员。这对于攻击者来说，很容易得到，也很容易利用。

有能力接管整个域的影子管理员是一个更令人担忧的风险，它被发现的概率较低。如果说特权身份是相对重要的凭据，那么这些影子管理员就可以理解为更为重要的凭据。如果攻击者入侵这些影子管理员之一，那么他们将无所不能。

最大的风险，但很少能够观察到， 是具有Microsoft Active Directory DCSync 权限的影子管理员（1.7% 的影子管理员拥有 DCSync权限）。 DCSync 权限是最高级别的权限——它们提供了以下能力：复制域控制器以创建新的域控或同步两个控制器之间信息。

另一个需要注意的风险是，1/50的影子管理员是普通用户。这是一个风险，因为它们甚至从 IT 管理中被删除（其他影子管理员可能至少在特权帐户管理解决方案中被注册）。这些员工在IT部门工作并被升职到新的岗位，可能是无意中被添加到特权的用户组、临时被授予权限的账户被遗忘、或账户被莫名其妙地创建。

例如，在一个在线零售商的例子中，Illusive发现了一个名叫“Steve Rogers”的影子管理员。如果这个名字感觉很熟悉，是因为他是美国队长的名字。当我们调查这个发现时，我们发现所有的复仇者联盟中的名字（例如, Tony Stark、Bruce Banner 等）以影子管理员的身份出现。事实证明这些影子管理员是由红队在渗透测试期间创建，测试结束之后，从未被删除。它们存在于 Active Directory 中两年多才被Illusive发现。

暴露的身份风险

暴露的风险包括缓存的凭据、应用内密码存储、操作系统密码存储和断开连接的或挂起的远程桌面协议(RDP) 会话。这些数据是相当于把你的用户名和密码记录在纸上，攻击者还可以使用各种工具来转储这些特权凭据，以便可以利用它们。

不幸的是，超过十分之一的终端包含已暴露的特权帐户密码，这是最普遍的身份风险之一。然而，它也是最容易补救的身份风险之一，暴露的特权帐户密码只需从终端中删除即可。

网络浏览器是暴露的身份风险的最大来源之一。云迁移和远程工作大趋势导致软件即服务的广泛应用（SaaS），但是当特权凭据暴露在网络浏览器中时，它们经常被忽略，大多数特权访问管理 (PAM) 解决方案往往会忽略这些风险。然而，攻击者已经自动收集和利用这些凭据，这些凭据以极快的速度传播到整个域。几分钟内，攻击可以迅速感染组织的大部分资产。

三分之一的暴露身份信息被存储为”应用内 “凭据，这些凭据也没有被PAM解决方案所管理。这些凭据往往是硬编码在旧版本的应用中的，并且这些应用程序存在于活动目录之外。这意味着任何旨在审计Windows域的工具，都会错过三分之一的凭据，如Bloodhound。其余三分之二暴露的凭据是来自特权Windows域账户。

超过四分之一的暴露凭据来自具有域管理员权限的特权Windows 域帐户 。同样，这些是重要的高权限账户。 如果攻击者使用暴露的域管账户入侵终端，那么他们能做的攻击就太广泛了。

例如，在另一个金融服务机构的一个案例中，Illusive发现了一个有密码的域管服务账户已超过10年未更改密码。更糟糕的是，这个管理账户的凭据是由一个软件部署代理使用的，这使断开的会话暴露在整个组织中，那么每一个终端都有暴露账户的最高权限。

此外，暴露凭据的41%来自具有影子管理员权限的特权Windows 域帐户。 这种风险更大，因为影子管理员通常是未知的，这意味着其他安全控制不会应用于，使得针对它们的攻击在更长时间内不被发现。

这不仅说明了这些身份风险如何重叠，而且也说明了组织如何努力发现并解决这些风险。 影子管理员从现有的身份管理解决方案中逃脱检测，但发现它们暴露在外意味着它们正在积极被利用中。当涉及到这些风险时，组织真的“不知道他们漏掉什么风险点”。

最后，许多来自特权 Windows 域帐户暴露的凭据都有非常陈旧的密码， 进一步说明了这些身份风险如何重叠。事实上，这些暴露凭据的密码年龄甚至比我们在本研究顶部讨论的本地管理员密码的年龄还要大，而且风险也同样显著。

结论：一个宏观问题的微观视角

每个组织都容易受到未经管理、配置不当和暴露的身份风险的影响。随着组织依赖于越来越多的系统和应用程序，组织必须管理的身份数量急剧增加。为了支持业务，身份和认证在不断变化，这就导致了身份管理和安全方面的巨大复杂性。在一个攻击者利用身份作为重要攻击向量的时代，即使是短时间暴露特权身份也会带来重大风险。

大多数组织似乎都了解这种风险，因为他们花费了大量时间和精力来管理身份并投资部署 PAM 和 MFA 解决方案保护他们最有特权的帐户。 尽管如此，他们
并不知道他们的组织中仍然存在的身份风险规模。 虽然大多数组织会定期扫描易受攻击的代码和应用程序，但他们不会扫描脆弱的身份风险。

本报告的结果有助于解释攻击者在现代勒索软件和其它网络攻击中越来越多地使用基于身份的攻击策略。 大数围绕身份的安全态势存在差距，即使是在具有高度成熟的安全实践的组织，只是让攻击者更容易入侵。

即使是最优秀的安全团队也无法减轻身份风险，除非他们意识到这些风险。 虽然有些组织试图通过红队演习、年度审计、脚本和电子表格来评估风险，但这些都是非常不完整的，因此是无效的。 与安全团队通过使用常规漏洞扫描器来管理漏洞类似，这些团队需要能够自动并连续扫描其业务中的身份风险。

勒索软件攻击占据了新闻头条，但组织要了解身份攻击风险要困难得多。当在实施身份风险评估时，Illusive处在一个独特的位置，阐明了组织易受攻击的脆弱身份风险。

这种易于执行的远程评估可以识别关键的漏洞，包括缓存的凭据、未被管理的本地管理员和影子管理员。这些评估可以帮助安全团队围绕他们的风险做出明智的决定，以应对最主要的攻击向量——可利用的身份凭据。

数据来源

从2021年1月1日到2021年12月31日，Illusive从部署了数百万个终端中抽取样本进行分析。该抽样是来自全球25个以上的组织，包括一些世界上最大的金融服务、医疗保健和零售公司，每个样本的容量是大约1500到75000个终端。