ppt6-李帅臻-突破企业网络新边界-身份认证协议攻防.pdf

1、中安网星中安网星-御守实验室御守实验室-李帅臻李帅臻突破企业网络新边界突破企业网络新边界-身份认证协议攻防身份认证协议攻防CONTEN TS01网络安全体系变化网络安全体系变化未来攻防焦点未来攻防焦点0203身份认证协议攻防身份认证协议攻防网络安全体系变化网络安全体系变化01.网络安全体系变化网络安全体系变化应用边界保护设备终端保护身份用户保护/横向移动数据核心设备和数据保护打开附件单击URL利用运行用户浏览网站用户运行程序C&C控制持续权限升级侦查横向移动访问共享资源与核心数据电子邮件或微信暴力破解账户使用被盗账户网络安全体系变化网络安全体系变化现代企业基础IT架构的高速发展使得传统网络边界

2、逐渐模糊认证管理一体化业务云化边界模糊化网络安全体系变化网络安全体系变化身份身份由用户身份、用户权限、所属网络组、可访问的资产等组成的抽象身份模由用户身份、用户权限、所属网络组、可访问的资产等组成的抽象身份模型成为未来企业网络新边界型成为未来企业网络新边界权限权限所属网络组所属网络组业务系统业务系统未来攻防焦点未来攻防焦点02.未来攻防焦点未来攻防焦点ITIT架构、网络安全体系的变化架构、网络安全体系的变化 ,带来一批新的带来一批新的ITIT基础设施基础设施IAMIAM4A4A堡垒机堡垒机云平台云平台ADADk8sk8s未来攻防焦点未来攻防焦点存在此类特征的集权设施将成为未来攻防的火力焦点存在

3、此类特征的集权设施将成为未来攻防的火力焦点保存凭据多保存凭据多控制节点多控制节点多网络权限广网络权限广未来攻防焦点未来攻防焦点ADAD、K8sK8s在过去大量的攻击案例中在过去大量的攻击案例中已经得到印证已经得到印证在可预见的未来,云平台、IAM、PAM等集权设施或身份设施将面临更大的安全风险未来攻防焦点未来攻防焦点黄金票据黄金票据Golden SAMLGolden SAMLTokenToken滥用滥用证书滥用证书滥用攻击攻击IAMIAM身份窃取、合法认证、身份伪造等手段的日益流行身份窃取、合法认证、身份伪造等手段的日益流行,将为企业的安全防护带来新的挑战将为企业的安全防护带来新的挑战身份认证

4、协议攻防身份认证协议攻防03.身份认证协议攻防身份认证协议攻防包括包括KerberosKerberos、OIDCOIDC、SAMLSAML等在内的主等在内的主流身份认证协议攻击面巨大且影响范围极广流身份认证协议攻击面巨大且影响范围极广攻击集权设施的核心在于协议层滥用攻击集权设施的核心在于协议层滥用KerberosNTLMLDAPOAuthOIDCSAMLCASADIAMvCenterPAM身份认证协议攻防身份认证协议攻防Kerberos密码喷洒/密码爆破AS-ReproastingkerberoastingMS14-068黄金票据/白银票据约束/非约束委派攻击基于资源的约束委派攻击青铜比特攻击

5、CVE-2022-33679Kerberos Relay身份认证协议攻防身份认证协议攻防NTLMPTHNTLM 信息收集NTLM v1破解NTLM Relay-SMBNTLM Relay-LDAPNTLM Relay-ExchangeNTLM Relay-ADCSNTLM Relay-ADFS身份认证协议攻防身份认证协议攻防LDAPLDAP信息收集LDAP密码策略利用LDAP注入LDAP后门账户LDAP明文密码身份认证协议攻防身份认证协议攻防SAMLXSWXML移除签名SAML伪造证书XSSGolden SAML身份认证协议攻防身份认证协议攻防OAuth2.0well-known信息探测redirect_url回调域名欺骗redirect_url XSSCSRFopen_redirect域名欺骗Implicit中间人攻击客户端伪造刷新令牌泄漏授权码泄漏身份认证协议攻防身份认证协议攻防OIDCSSRFCSRFCRLFredirect_url回调域名欺骗服务器伪造令牌伪造访问令牌重定向令牌重放授权码泄漏身份认证协议攻防身份认证协议攻防CASTGC/PGT安全ST/PT安全cas反序列化身份认证绕过XSSThank you