CISSP 域5知识点 访问控制攻击与防护

CISSP 域5 | 访问控制攻击与防护 ⚔️80% 的数据泄露都从访问控制环节的一个缺口开始——弱密码、孤儿账号、过度授权哪一个踩中了 五条红线先背再看① 最小特权 默认拒绝 职责分离 纵深防御访问控制防护的四大核心原则任何防护方案都不能违背② 先认证后授权是铁律任何绕过认证直接获取授权的设计都是致命安全缺陷无任何例外③ 高风险操作必须 MFA 双人复核 全程审计特权操作无任何例外④ 零信任——永不信任始终验证内网与外网遵循相同访问控制标准绝对禁止默认信任内网70% 以上的攻击来自内网横向移动⑤ 攻击防护必须覆盖 IAM 全生命周期从身份创建 → 认证 → 授权 → 审计 → 停用全流程防护单点防护等于无效 核心术语速查15 个越权攻击Privilege Escalation绕过访问控制规则获取超出授权范围的权限分垂直越权与水平越权垂直越权低权限主体绕过控制获取高权限如普通用户 → 管理员水平越权同权限级别主体访问/操作其他同级别主体的资源如用户 A 查看用户 B 的数据凭据填充Credential Stuffing用其他渠道泄露的账号密码批量尝试登录利用用户密码复用习惯哈希传递PtH窃取 NTLM 哈希值直接用哈希值完成认证无需破解明文密码——Windows 域内网渗透核心攻击黄金票据Golden Ticket窃取 KDC 的 KRBTGT 账号哈希伪造任意用户 TGT 票据获取域内最高权限——Kerberos 体系最严重攻击白银票据Silver Ticket伪造 Kerberos ST 服务票据直接访问应用服务器无需与 KDC 交互隐蔽性极强会话劫持Session Hijacking窃取用户合法会话凭证Session ID/Cookie冒充用户身份访问授权资源权限蠕变Privilege Creep岗位变动后旧权限未回收持续叠加最终形成过度授权——内部威胁核心根源孤儿账号Orphaned Account用户离职/业务终止后未及时禁用的遗留账号——攻击者长期潜伏的核心入口Kerberoasting向 TGS 请求服务票据对票据进行离线暴力破解获取服务账号明文密码MFA 疲劳攻击MFA Fatigue持续推送 MFA 认证请求诱导疲劳用户点击允许绕过 MFA 防护——OSG 第十版新增高频考点流氓接入点Rogue AP未授权私自接入有线内网的无线 AP绕过企业边界防火墙邪恶双胞胎Evil Twin仿冒企业 SSID 的恶意 AP通过更强信号诱导用户接入实施中间人攻击默认凭据攻击利用系统/设备/应用的出厂默认账号密码获取未授权访问——IoT/OT/云环境最常见的初始攻击 模块一身份生命周期环节的攻击与防护身份生命周期是攻击的初始入口孤儿账号与权限蠕变是内部威胁的两大高频源头。孤儿账号滥用攻击原理员工离职/业务终止后账号未及时禁用攻击者利用泄露密码长期潜伏官方防护措施员工离职当日必须立即全量回收权限、禁用账号——延迟操作均为错误答案账号必须设置有效期临时/外包账号到期自动禁用与 HR 系统联动人员状态变动自动触发权限回收定期开展孤儿账号专项审计至少每季度 1 次权限蠕变滥用攻击原理岗位变动后旧权限未回收持续叠加形成过度授权内部人员或攻击者借此访问多个核心系统官方防护措施岗位变动执行先回收旧权限再分配新权限的原则定期开展用户访问评审UAR清理冗余权限基于 RBAC 实现标准化权限管控禁止直接给用户分配权限所有权限设置有效期定期复核服务账号滥用攻击原理服务账号过度授权 硬编码凭据 密码长期未轮换是攻击者内网持久化的核心路径官方防护措施服务账号严格遵循最小特权禁止分配管理员权限禁止硬编码凭据到代码/配置文件通过密钥管理系统统一保管服务账号密码/密钥必须定期自动轮换禁止服务账号用于交互式登录定期审计登录行为第三方/外包账号滥用攻击原理外包项目结束后账号未禁用或权限过大账号泄露后导致核心系统数据泄露官方防护措施第三方账号必须设置明确有效期到期自动禁用严格最小特权仅授予完成工作必需的最小权限定期开展第三方账号专项审计至少每半年 1 次远程访问必须全程监控/录屏审计强制启用 MFA 模块二身份认证环节的攻击与防护考试最高频核心认证环节占访问控制攻击相关考题的 50% 以上攻击原理与防护措施必须精准对应。一、密码相关攻击暴力破解攻击自动化工具尝试所有字符组合防护强密码策略 账户锁定策略失败次数限制 异常登录检测字典攻击攻击使用常用密码/泄露密码字典批量破解防护禁止弱密码 泄露密码检测 盐值哈希存储 单 IP 登录频率限制彩虹表攻击攻击利用预计算哈希-明文对应表快速破解哈希密码防护密码必须加盐哈希存储每个密码使用唯一随机盐值使用慢哈希算法bcrypt/Argon2禁止使用 MD5/SHA-1 存储密码考试必考易错点加盐哈希可彻底防范彩虹表攻击这是核心考点凭据填充/撞库攻击利用其他渠道泄露的账号密码批量尝试登录防护强制启用 MFA密码泄露也无法登录 泄露密码检测 异常登录检测 安全意识培训禁止复用密码默认凭据攻击攻击利用出厂默认账号密码获取访问权限IoT/OT/云最常见防护系统/设备上线前必须修改默认密码禁用默认账号 定期扫描内网排查默认凭据设备钓鱼攻击攻击伪造钓鱼邮件/网站诱导用户输入密码/MFA 令牌防护全员安全意识培训 邮件安全网关 强制 MFA 禁用密码自动填充二、Kerberos / Windows 域认证攻击必考重点哈希传递Pass-the-HashPtH攻击原理窃取 NTLM 哈希值无需破解明文密码直接用哈希完成 NTLM 认证官方防护禁用 NTLM 协议强制使用 Kerberos启用 LSA 保护防范哈希窃取部署 LAPS 定期轮换本地管理员密码限制管理员账号登录范围票据传递Pass-the-TicketPtT攻击原理窃取 Kerberos 票据用票据直接访问服务无需密码官方防护为 Kerberos 票据设置短生命周期启用 PAC 校验验证票据完整性强制 AES 加密禁用弱加密算法监控异常票据请求黄金票据Golden Ticket攻击原理窃取 KRBTGT 账号哈希伪造任意用户 TGT 票据获取域内最高权限可长期控制整个域官方防护定期轮换 KRBTGT 账号密码至少每半年 1 次严格限制域管理员账号使用监控无有效 TGT 的异常 TGS 请求实施域内分层防护白银票据Silver Ticket攻击原理伪造 Kerberos ST 服务票据直接访问指定应用服务器无需与 KDC 交互隐蔽性远高于黄金票据官方防护定期轮换服务账号密码启用 PAC 校验强制服务与 KDC 验证票据真实性服务账号严格最小特权Kerberoasting攻击原理向 TGS 请求服务账号的 ST 票据离线暴力破解获取服务账号明文密码官方防护服务账号设置高复杂度长密码 定期轮换禁用不需要的 SPN强制 AES 加密 Kerberos 票据禁用 RC4 弱加密监控异常 SPN 票据请求AS-REP Roasting攻击原理针对禁用预身份认证的账号获取 AS-REP 响应后离线暴力破解获取用户密码官方防护强制为所有用户账号启用预身份认证定期扫描域内禁用预身份认证的账号立即整改三、会话攻击会话劫持攻击通过 XSS/网络嗅探窃取 Session ID/Cookie冒充用户登录防护Cookie 设置HttpOnly Secure 属性会话全程 HTTPS/TLS 加密会话绑定 IP 设备指纹设置会话超时机制会话固定攻击预先设置会话 ID诱导用户使用该 ID 登录攻击者即可冒充用户防护用户登录成功后必须立即重新生成会话 ID废弃旧 ID——这是核心措施跨站脚本XSS攻击注入恶意脚本在用户浏览器中执行窃取 Cookie/凭据防护输入校验 输出编码启用 CSP 内容安全策略Cookie 设置 HttpOnly部署 WAF考试考点HttpOnly Secure 属性是防 XSS 窃取 Cookie 的核心措施登录后重新生成会话 ID 是防会话固定的唯一正确答案四、MFA 强认证绕过攻击OSG 第十版重点强化MFA 疲劳攻击攻击持续推送 MFA 认证请求利用用户疲劳/疏忽心理诱导点击允许防护限制 MFA 推送频率与次数对异常时间/异地 MFA 请求增加额外验证启用上下文提示告知用户登录位置/设备安全意识培训禁止点击未知 MFA 请求SIM 卡劫持攻击通过社会工程学/运营商漏洞补办 SIM 卡接管手机号获取短信验证码防护禁止使用短信验证码作为唯一 MFA 方式优先使用硬件令牌/认证器 APP对手机号变更/异地登录触发额外身份核验MFA 中继攻击攻击在用户与认证服务器之间中继认证请求与响应冒充用户登录防护使用支持抗中继的 MFA 协议FIDO2/WebAuthn认证过程绑定登录上下文IP/设备/域名令牌窃取攻击通过木马/钓鱼窃取 MFA 令牌种子或硬件令牌防护强制使用硬件安全密钥如 YubiKey令牌不可导出禁止软令牌种子备份/导出MFA 令牌重置/变更执行严格审批MFA 安全性排序由低到高短信验证码 软令牌 APP 硬件令牌 FIDO2 硬件密钥 模块三授权环节的攻击与防护越权攻击是场景题最高频考点必须精准区分水平越权与垂直越权并掌握服务端权限校验的核心地位。垂直越权攻击攻击原理低权限主体绕过授权控制获取高权限访问如普通用户 → 管理员权限官方防护措施严格遵循最小特权 默认拒绝每一次操作都必须在服务端重新校验用户权限禁止仅在前端做权限控制权限校验必须基于服务端身份会话不可信任客户端提交的权限参数启用越权操作实时检测与告警水平越权攻击攻击原理同权限级别主体绕过授权控制访问/操作其他同级别主体的资源官方防护措施权限校验必须同时验证用户身份与资源归属不能仅验证用户是否登录实施数据级访问控制用户仅能访问自身归属的资源最小化数据返回范围禁止批量返回全量数据启用异常数据访问行为检测必考易错垂直越权 获取更高权限水平越权 访问同级别他人资源。服务端权限校验是防范越权的唯一有效措施。职责分离绕过攻击攻击原理通过权限配置缺陷/账号共享单人完成互斥的高风险操作实现舞弊或数据篡改典型场景开发人员同时拥有开发与生产环境投产权限出纳同时拥有做账与付款权限官方防护措施严格执行职责分离互斥岗位/权限必须拆分给不同主体禁止用户同时归属互斥角色静态职责分离同一会话中禁止同时激活互斥权限动态职责分离高风险操作必须执行双人复核禁止单人完成全流程定期审计职责分离执行情况排查违规配置访问控制模型绕过攻击攻击原理利用访问控制模型的配置缺陷或逻辑漏洞绕过规则获取未授权访问官方防护措施按模型对应DAC严格限制 ACL 修改权限启用 ACL 变更审计MAC安全标签由系统强制管控加密存储禁止用户修改每次访问必须校验标签真实性RBAC严格限制角色分配权限禁止用户同时归属互斥角色ABAC属性数据必须从可信数据源获取禁止使用用户可控参数策略遵循默认拒绝原则后门账号持久化攻击原理攻击者入侵后创建隐藏高权限账号维持对系统的长期访问官方防护措施定期审计账号列表排查未授权的隐藏账号与异常权限账号严格限制账号创建权限所有账号创建必须经过审批与审计禁用系统默认不必要账号关闭 Guest 账号启用账号创建/权限变更的实时告警 模块四审计与监控环节的攻击与防护攻击者的最终目标破坏审计体系掩盖痕迹逃避溯源。日志篡改/删除攻击入侵后修改/删除本地日志掩盖攻击痕迹防护日志实时同步到独立只读日志服务器数字签名/哈希校验保障完整性篡改即触发最高级别告警审计功能禁用攻击获取权限后关闭审计服务停止日志采集防护审计功能强制开启禁止用户关闭审计服务实施进程守护停止即告警配置修改必须最高级别审批告警绕过与告警疲劳攻击拆分攻击步骤/低频操作绕过规则或发送大量低风险告警淹没真实攻击防护结合规则检测 UEBA 行为基线检测慢速攻击严格告警分级告警聚合防重复建立明确响应流程日志注入攻击注入恶意日志内容伪造合法操作扰乱审计溯源防护日志内容严格输入校验采用结构化日志格式日志必须包含数字签名唯一标识防止伪造反溯源攻击攻击通过跳板机/匿名网络/伪造源地址隐藏真实身份规避审计追踪防护全访问路径全程审计记录每一跳的访问日志实现全链路溯源会话绑定设备指纹身份信息禁止匿名访问授权资源☁️ 模块五专项场景攻击与防护云环境 IAM 攻击云账号过度授权滥用攻击者利用泄露的云 IAM 账号/角色获取云资源全量控制权限防护云 IAM 严格最小特权禁止用管理员账号执行日常操作定期云 IAM 权限审计启用 CloudTrail 等原生审计服务强制 MFA临时凭证泄露攻击者窃取云服务临时访问凭证/API 密钥获取云资源访问权限防护云临时凭证必须设置短有效期禁止硬编码 API 密钥通过云密钥管理系统统一保管定期轮换密钥泄露后立即吊销影子 IT 账号业务部门私自创建未纳入管控的云账号/云服务绕过企业安全管控防护所有云账号/云服务必须纳入统一 IAM 管控定期扫描排查影子 IT 资源OT / 工控环境攻击默认凭据攻击攻击者利用工控设备/PLC/SCADA 系统默认账号密码获取访问权限破坏生产运行防护工控设备上线前必须修改默认密码禁用默认账号与 IT 网络严格隔离禁止直接暴露到公网IT/OT 边界绕过攻击者通过 IT 网络边界漏洞绕过 IT/OT 隔离措施入侵工控系统防护IT 与 OT 网络必须严格隔离通过单向网闸/DMZ 区实现受控数据交换禁止直连跨网访问全程审计专项监控禁用工控系统不必要的远程访问功能️ 官方三层纵深防护体系OSG 第十版明确访问控制攻击防护必须构建事前预防 → 事中检测 → 事后响应的全流程纵深防御。管理防护层制定正式访问控制安全策略明确全生命周期管控要求严格执行职责分离/最小特权/默认拒绝开展全员安全意识培训防范钓鱼/社会工程学定期开展内部审计与合规检查建立正式事件响应流程制定访问控制攻击专项处置预案技术防护层强制启用 MFA特权账号/远程访问账号无任何例外构建零信任访问控制体系永不信任始终验证部署 SIEM UEBA实现异常行为实时检测与告警实施全生命周期身份管控与 HR 系统联动实现自动化权限回收加盐慢哈希算法存储密码禁止弱密码/默认凭据服务端强制权限校验每一次操作都必须重新验证权限运营防护层定期开展用户访问评审UAR清理孤儿账号/冗余权限/过度授权定期开展访问控制漏洞扫描/渗透测试发现并修复安全缺陷持续优化监控规则减少误报避免告警疲劳定期轮换密码/密钥/KRBTGT 账号防范长期持久化攻击定期开展应急演练验证攻击处置流程有效性❌ 六大官方误区纠正误区1密码复杂度够高账号就安全纠正高复杂度密码只能抵御暴力破解无法防范钓鱼/凭据填充/PtH 攻击。必须配合 MFA 异常登录检测 多层防护才能真正保障账号安全。误区2启用了 MFA账号就绝对安全纠正MFA 大幅提升安全性但并非绝对——MFA 疲劳/SIM 卡劫持/中继攻击/令牌窃取都可绕过。必须配合 FIDO2 抗中继认证 上下文验证 异常行为检测才能实现全面防护。误区3内网是可信的不需要严格访问控制纠正这是传统边界架构的致命假设。70% 以上的攻击来自内网横向移动零信任要求内外网遵循相同访问控制标准永不信任始终验证。误区4打了补丁就不会发生权限提升攻击纠正补丁只修复已知系统漏洞无法防范配置错误/零日漏洞/内部权限滥用。必须配合最小特权 职责分离 主机行为监控才能全面防范权限提升。误区5审计日志存了就能溯源攻击纠正本地日志极易被篡改/删除必须实时同步到独立只读日志服务器 数字签名保障完整性 包含完整核心字段才能实现真正的攻击溯源。误区6普通账号权限低泄露了没关系纠正绝大多数内网渗透都从普通账号泄露开始。攻击者可通过普通账号横向移动 → 权限提升 → 获取域管权限。所有账号都必须遵循相同安全标准强制 MFA 强密码 异常检测。 跨域关联速查Domain 1访问控制攻击防护是风险缓解的核心落地措施防护体系必须符合安全治理策略与合规要求最终责任由最高管理层承担Domain 2资产分级分类决定访问控制防护强度敏感资产必须配套更严格的访问控制与审计监控Domain 3访问控制模型/安全内核/参考监视器是防护的底层理论基础安全架构必须原生内置访问控制防护能力Domain 4网络隔离是防范横向移动攻击的核心措施VPN/无线安全/IDS/IPS 是边界访问控制的核心工具Domain 5本知识点是 IAM 体系的攻防实战闭环身份生命周期/认证授权/访问控制模型/审计监控的所有知识点最终都在这里落地验证Domain 6访问控制漏洞扫描/渗透测试/合规审计是验证防护体系有效性的核心手段用于发现访问控制的缺陷与漏洞Domain 7访问控制监控/告警响应/事件处置/补丁管理/权限审计是安全运营的核心日常工作是防护体系长期有效的保障Domain 8应用层越权漏洞/认证绕过/XSS 会话窃取都是软件开发过程中的安全缺陷访问控制防护必须内置到软件开发生命周期实现安全左移⚡ 考前速记口诀孤儿账号离职禁蠕变评审清旧权 PtH 不用破密码哈希直送过认证 黄金票据最凶险KRBTGT 半年换 白银隐蔽不找 KDCPA 校验别省 MFA 疲劳诱点允频率限制加培训 垂直越权提等级水平横跨同级间 服务端校验永不省前端控制等于零 凭据勿硬编码写密钥管理统一管 零信任始终验证内网外网同标准底线总结访问控制的攻击从来不是在某一个环节突破而是沿着 IAM 全生命周期逐步渗透、持久潜伏、扩大权限。防护的核心逻辑纵深分层 最小特权 零信任 全程审计。没有单一银弹只有层层闭合的防护链。