摘要

這份來自SecurityWeek的文章，題為「誰是面具背後的人？打擊身份欺詐」，深入探討了在高度互聯的數位世界中，身份安全領域不斷演變的現狀。文章強調，在傳統憑證驗證已不足以抵禦威脅的背景下，數位身份極易受到複雜的冒名頂替者的攻擊，這與以面部和指紋為基礎的物理身份截然不同。網路犯罪分子採用多種策略，包括初始訪問代理（Initial Access Brokers）、帳戶盜用（Account Takeovers）、身份盜竊（Identity Theft）、憑證填充（Credential Stuffing）、網路釣魚（Phishing）以及商業電子郵件詐騙（Business Email Compromise），以利用各種漏洞並獲取未經授權的訪問權限。
為有效打擊這些威脅，文章強調了上下文理解（Context）、行為基準（Behavioral Baselines）以及多源可見性（Multi-Source Visibility）作為身份安全新支柱的重要性。安全團隊需要超越簡單響應警報的模式，轉而提出深入的、基於行為的問題，以區分合法用戶活動和惡意行為。建立行為基準，即捕捉用戶典型的日常習慣，如登錄時間、設備類型和地點，對於識別可能預示著潛在入侵的偏差至關重要。
此外，整合來自多個數據源（如網路流量、身份驗證日誌和應用程式訪問記錄）的洞察力，有助於建立用戶行為的全面、分層的視圖，從而揭示單一來源檢測可能遺漏的細微差異。文章還倡導使用視覺化工具來闡明基於身份的數據中的模式和異常，從而實現更快地調查和更準確地識別威脅。最終，文章總結道，在身份威脅不斷演變的環境中，採用零信任方法並對所有用戶、設備和系統進行持續驗證，對於建立基於證據而非懷疑的信任至關重要。

前言：數位時代下的身份邊界模糊

在當今這個高度互聯的數位世界中，我們每個人的身份不再僅限於實體證件和肉身。數位身份，作為我們在網路空間中的「數位足跡」，已成為企業運營和個人生活的關鍵基石。從電子郵件登錄到銀行交易，從社交媒體互動到雲端應用程式訪問，數位身份無處不在。然而，正是這種無處不在的特性，使得數位身份成為網路犯罪分子覬覦的目標。傳統依賴單一憑證（如用戶名和密碼）的驗證方式，在面對日益複雜且具備高度專業化的身份欺詐手段時，已顯得力不從心。本報告將深入探討當前身份安全領域所面臨的挑戰，揭示威脅演變的動態，並提出以「上下文、行為基準與多源可見性」為核心的全新防禦策略，最終指向「零信任」的必然趨勢。

身份欺詐威脅格局的演變：假面後的惡意策略

網路犯罪分子正在不斷進化他們的攻擊策略，針對數位身份的欺詐手法也變得更加精密和難以察覺。他們不再滿足於簡單的入侵，而是旨在全面冒充受害者，以獲取高價值資產或進行廣泛破壞。文章點明了多種當前最流行的攻擊手段：

1. 初始訪問代理 (Initial Access Brokers, IABs)： 這類犯罪分子專門負責入侵企業網路，建立初步的立足點，然後將這些訪問權限（例如被盜的VPN憑證、被感染的RDP帳戶）出售給其他網路犯罪集團。他們是身份欺詐供應鏈的開端，為後續的複雜攻擊鋪平道路。
2. 帳戶盜用 (Account Takeovers, ATO)： 攻擊者一旦獲取了用戶的憑證，就會接管其帳戶，進行欺詐性交易、竊取資訊或發動進一步攻擊。這可能發生在銀行、電子商務平台、社交媒體或任何線上服務上。
3. 身份盜竊 (Identity Theft)： 這是更廣泛的概念，不僅限於帳戶。攻擊者竊取個人身份資訊（P.I.I.），如姓名、出生日期、社會安全號碼等，然後用於開設新的信用帳戶、申請貸款、甚至進行醫療欺詐。
4. 憑證填充 (Credential Stuffing)： 由於許多用戶在不同網站重複使用相同的用戶名和密碼，攻擊者會利用洩露的憑證數據庫（從其他資料洩露事件中獲取），自動化地嘗試登錄大量網站和服務，試圖「撞庫」成功。
5. 網路釣魚 (Phishing)： 這是最常見的社交工程攻擊形式之一。攻擊者通過偽裝成合法實體，發送欺騙性電子郵件、簡訊或網站，誘騙用戶洩露憑證或其他敏感資訊。
6. 商業電子郵件詐騙 (Business Email Compromise, BEC)： 攻擊者通過入侵企業的電子郵件帳戶，或偽裝成高管、供應商，向員工發送詐騙郵件，指示他們進行電匯、更改供應商銀行帳戶或洩露敏感公司資訊。這種攻擊通常高度客製化，並利用了對企業內部關係的了解。

這些攻擊手法的共同點是，它們都以身份為核心目標，利用數位身份的脆弱性來實現惡意目的。

傳統驗證的局限：憑證已不再可靠

在過去，基於憑證的驗證（例如，僅依靠用戶名和密碼）被認為是足夠的安全措施。然而，文章明確指出，在當前高度互聯的數位環境中，這種方法已顯得力不從心。原因在於：

1. 憑證容易被竊取： 網路釣魚、惡意軟體、資料洩露等都可能導致用戶憑證被盜。
2. 重複使用憑證： 許多用戶為了方便，會在多個網站上重複使用相同的用戶名和密碼，一旦一處洩露，所有相關帳戶都可能受到威脅。
3. 缺乏上下文判斷： 傳統的憑證驗證只判斷「憑證是否正確」，卻無法判斷「使用這個憑證的人是否真的是合法用戶」。例如，即使密碼正確，但如果登錄發生在一個異常的時間、地點或使用異常的設備，傳統系統可能也無法有效識別風險。

這凸顯了對更深層次、更具動態性的身份驗證機制的迫切需求。

身份安全的新支柱：建立智慧防線

為有效打擊不斷演變的身份欺詐威脅，文章提出了身份安全的三個新支柱，這些支柱超越了傳統的憑證驗證，旨在建立更具彈性和智慧的防線：

1. 上下文理解 (Contextual Awareness)： 安全團隊不能僅僅滿足於響應警報。重要的是要問「為什麼？」：這次登錄的地理位置在哪裡？用戶通常在這個時間點登錄嗎？他們使用的是什麼設備？與過去的行為有何不同？通過整合這些上下文資訊，安全團隊可以更好地評估特定用戶活動的風險等級。例如，如果一個員工通常從公司網路登錄，突然間從一個未知的海外IP地址登錄，即使憑證正確，也應立即觸發高度警報。上下文理解使安全決策從單純的「是/否」判斷，轉變為更複雜、更細緻的風險評估。
2. 行為基準 (Behavioral Baselines)： 建立每個用戶的行為基準是識別異常活動的關鍵。這涉及到收集和分析用戶典型的日常習慣，例如他們通常登錄的時間範圍、常用的設備類型、常見的地理位置、訪問的應用程式類型以及執行的操作模式。通過機器學習和行為分析，系統可以學習和建立這些「正常」的行為模式。一旦用戶行為偏離了這些基準，例如在異常時間登錄、從未知的設備訪問敏感數據，或突然嘗試訪問他們從未接觸過的資源，這些「偏差」就可能成為潛在入侵的明確信號。行為基準提供了一種動態的、持續的身份驗證機制。
3. 多源可見性 (Multi-Source Visibility)： 單一數據源（如僅有身份驗證日誌）往往無法提供足夠的資訊來全面評估身份風險。文章強調，必須整合來自多個數據源的洞察力，以創建用戶行為的全面分層視圖。這些數據源包括但不限於：
   • 網路流量： 監控用戶的網路活動模式，識別異常連接或數據傳輸。
   • 身份驗證日誌： 記錄所有登錄嘗試，包括成功和失敗，以及相關的時間戳和IP地址。
   • 應用程式訪問記錄： 了解用戶訪問了哪些應用程式，以及他們在這些應用程式中的活動。
   • 端點遙測數據： 從用戶設備收集的數據，包括設備狀態、運行進程等。 通過將這些異構數據關聯起來，安全團隊可以揭示單一來源檢測可能遺漏的微妙差異和潛在的入侵跡象。這種整合視圖對於複雜的持續性威脅（APT）和內部威脅尤為重要。

視覺化工具的角色：從數據到洞察

在海量的身份和行為數據中，人工分析幾乎是不可能的任務。文章倡導使用視覺化工具來將這些複雜的數據轉化為直觀的圖形和模式。視覺化工具能夠：

1. 揭示模式與異常： 通過圖表、熱圖、連接圖等形式，清晰地呈現用戶行為模式、異常登錄活動、潛在的內部威脅路徑，以及不同帳戶之間的關聯性。
2. 加速調查效率： 簡潔明了的視覺呈現可以幫助安全分析師快速識別問題所在，縮短調查時間，從而更快地響應威脅。
3. 提高準確性： 視覺化有助於人類大腦處理複雜信息，減少誤報，提高威脅識別的準確性。

這使得安全團隊能夠從被動響應轉向主動預測和威脅狩獵。

零信任原則的必然性：基於證據的信任

在身份威脅不斷演變的環境中，任何預設的信任都可能成為安全漏洞。文章最終歸結為「零信任 (Zero-Trust) 」安全方法的必要性。零信任的核心理念是「永不信任，始終驗證」。這意味著：

1. 持續驗證： 對所有用戶、所有設備、所有系統的每一次訪問請求，都必須進行持續的驗證，而不是僅在初次登錄時驗證一次。這種驗證基於上下文、行為和多源數據。
2. 最小權限原則： 每個用戶和設備都只被授予完成其任務所需的最小權限，且這些權限是動態調整的。
3. 假設洩露： 始終假設網路已經被入侵，從而設計分段、微隔離和強大的監控機制。

零信任將信任建立在不斷收集和分析的證據基礎上，而非預設的信任或位置。這使得組織能夠在一個不可信的網路環境中運行，並有效抵禦基於身份的各種複雜攻擊。

從靜態防禦到動態安全

身份欺詐的威脅在數位時代將持續存在並不斷進化。從過去簡單的憑證盜竊，到今天利用AI和OSINT進行高度客製化的冒充攻擊，傳統的靜態防禦已無法提供足夠的保護。數據洩露和大規模憑證填充事件的頻發，更進一步證明了我們必須超越舊有的安全範式。
這份報告清晰地闡明了身份安全防禦的未來方向：擁抱上下文感知、建立行為基準、實現多源可見性，並將這些原則融入全面的零信任安全框架。通過這種動態的、基於證據的驗證方法，組織可以更有效地識別並阻止身份欺詐，確保其數位資產和業務運營的持續安全。這是一場持續的戰役，唯有不斷進化我們的防禦策略，才能在日益複雜的網路空間中「揭開假面」，識別出隱藏在背後的真正威脅。

資料來源：https://www.securityweek.com/whos-really-behind-the-mask-combatting-identity-fraud/