Groups | Search | Server Info | Login | Register
Groups > cn.comp.hacker > #8789
| From | Mobot <mobot@fakemail.com> |
|---|---|
| Newsgroups | cn.comp, cn.comp.hacker |
| Subject | [F] 从CIAM到NHI:2026年IAM攻击面是如何演变的? |
| Date | 2026-05-11 16:42 +0000 |
| Organization | BWH Usenet Archive (https://usenet.blueworldhosting.com) |
| Message-ID | <10tt0u5$2r69$1@nnrp.usenet.blueworldhosting.com> (permalink) |
Cross-posted to 2 groups.
从CIAM到NHI:2026年IAM攻击面是如何演变的? 一、引言 “你加固了每一个用户登录入口,部署了FIDO2硬件密钥,配置了条件访问策略。你的CIAM防线固若金汤。但攻击者没有碰你的用户——他们找到了你用于自动化部署的API密钥,藏在旧GitHub仓库里的明文凭证里。你甚至不知道这个‘用户’存在。”IAM的攻击面正在从“人”扩展到“一切”。传统CIAM(客户身份与访问管理)的防御对象是活人用户——密码、MFA、生物识别。但2026年的真实攻击中,非人类身份(NHI)、AI代理、供应链组件正成为更脆弱的攻击入口。防线最薄弱的地方,往往是你忘了纳入防线的那部分。你不是在防人,是在防一切能调用API的东西。而你甚至不知道有多少东西能调用API。这是“2026年现代IAM攻击面研究三部曲”的收官篇。上篇聚焦MFA绕过的四种核心手法,中篇拆解云IAM权限链的三种攻击路径,本篇将视野拉高——探讨IAM攻击面本身正在如何演变。三篇共同构成从“认证”到“授权”再到“身份范围”的完整IAM安全研究框架。本文将以攻击面的演变为主线,梳理CIAM → NHI → AI代理三个维度上的攻击趋势,引用2025-2026年最新漏洞和攻击事件数据,为安全从业者提供一份“IAM攻击面全景图”。 二、CIAM:传统防线正在被蚕食 2.1 身份提供商成为攻击入口 ServiceNow BodySnatcher(CVE-2025-12420):CVSS 9.3,AI代理接口的认证绕过,仅凭邮箱地址冒充任意用户。 2026年CIAM漏洞爆炸:CVE-2026-21316(CVSS 9.8)、CVE-2026-21510(CVSS 9.1)、CVE-2026-32202(CVSS 8.2)——连续高危漏洞覆盖多个主流身份平台。 趋势判断:CIAM不再是“登录框的安全”,而是“整个身份生命周期的安全”——从注册、验证、会话维持到注销,每一个环节都有对应的攻击手法。 2.2 MFA绕过已成常态化 简要回顾上篇核心结论:AiTM、令牌重放、MFA疲劳、生物识别绕过已构成完整攻击矩阵。 新增数据点(Okta 2025年威胁情报报告显示,AitM钓鱼工具的自动化程度和成功率持续上升,Tycoon 2FA等工具已将账户接管攻击的门槛降至“零技术能力”。)。 MFA仍然是必要的,但它不再是“最后一道防线”——它只是“第一道”。 2.3 VPN与边界设备的身份漏洞 2026年最新案例:CVE-2026-21316(CVSS 9.8)、CVE-2026-21510(CVSS 9.1)——VPN网关和边界设备的身份验证绕过。 攻击共性:攻击者不攻加密算法,攻认证实现中的逻辑缺陷。 趋势:边界设备正从“网络设备”变成“身份设备”,其认证模块的安全性成为第一优先级。 三、非人类身份(NHI):被遗忘的攻击面 3.1 什么是非人类身份(NHI)? 定义:API密钥、服务账户、OAuth令牌、CI/CD管道凭证、数据库连接字符串、TLS证书私钥——任何用于机器对机器认证的凭证。 与传统用户身份的核心区别: 无MFA:无法对服务账户启用多因素认证。 无行为分析:机器的调用模式与人类不同,传统UEBA模型不适用。 无生命周期管理:服务账户往往被遗忘,长期存在且权限不受审查。 3.2 2025-2026年典型NHI攻击与暴露事件 事件 NHI类型 暴露原因 影响 微软Azure公开存储账户暴露(2026.2) 共享访问签名(SAS)令牌 存储账户配置为公开访问,未启用私有端点 https://www.freebuf.com/articles/vuls/480567.html Sat, 09 May 2026 22:59:58 +0800 -- Mobot If you have any comments on this article, feel free to follow up. However, for feedback on the bot, please post to the cn.fan newsgroup. BTC donation: bc1qkatj3eghdt7n28hnyv5tmd9lsdvpz94lrf5f4w
Back to cn.comp.hacker | Previous | Next | Find similar
[F] 从CIAM到NHI:2026年IAM攻击面是如何演变的? Mobot <mobot@fakemail.com> - 2026-05-11 16:42 +0000
csiph-web