特权凭证为何成为攻击者首要目标
凭证泄露绝非边缘问题,而是核心威胁。仅2025年上半年,信息窃取类恶意软件就攫取了约18亿组凭证,较往年呈现爆发式增长。Verizon《2025年数据泄露调查报告》显示,54%的勒索软件受害者其凭证早前就出现在窃密软件日志中——凭证窃取实为更严重攻击的前奏曲。
凭证的价值在于能"合法"突破防线:防火墙、EDR Agent和SIEM系统本为检测异常而设,但有效的管理员登录看起来与正常操作毫无二致。基于凭证的入侵不仅造成损失最严重,检测周期也最长,行业数据显示其平均驻留时间可达十个月。攻击者仅需一个未及时轮换的密码,就能长期潜伏。
特权攻击全链条拆解
以微软安全团队2025年记录的典型攻击模式为例,假设某中型企业"北风制造"采用混合IT架构(本地Active Directory+云负载+对外服务器):
(1) 阶段1:初始立足点
攻击者利用对外Web服务器的文件上传漏洞植入Webshell,仅需一个未打补丁的边缘服务即可获得低权限服务账户执行权限。
(2) 阶段2:本地提权
通过滥用Windows令牌模拟漏洞(如"Potato"系列漏洞),从受限服务上下文提权至NT AUTHORITY\SYSTEM,完全控制目标主机并转储内存中的缓存凭证。
(3) 阶段3:凭证收集与侦察
利用SYSTEM权限获取密码哈希,通过Active Directory侦察构建攻击路径图:哪些账户可通往域控制器?
(4) 阶段4:横向移动
借助在多台主机重复使用的本地管理员凭证(常见配置错误),实施哈希传递攻击(Pass the Hash)无需破解密码即可渗透其他服务器,逐层寻找更高权限账户。
(5) 阶段5:域控接管
最终获取域管理员凭证后,攻击者能自由部署勒索软件、窃取核心数据或建立持久化后门。
关键漏洞始终相似:过度授权的服务账户、冗余的本地管理员权限、跨系统重复使用的凭证、未设时限的常驻特权、缺失的特权会话监控——这些正是完整PAM方案需要封堵的缺口。
爆炸式增长的机器与AI身份攻击面
2026年最令CISO夜不能寐的是:非人身份(NHI)包括服务账户、API密钥、OAuth令牌、SSH密钥、自动化机器人、云负载凭证及AI Agent,其数量已远超人类用户。CyberArk《2025年身份安全态势》显示,近半数机器身份持有敏感权限,68%企业承认缺乏针对AI的专项管控。
Entro Labs研究指出,5.5%的AWS机器身份默认拥有管理员权限;GitGuardian则发现数千万密钥通过CI/CD日志、Jira工单等非代码渠道泄露。更危险的是,具备广泛权限的AI Agent一旦凭证泄露,能以机器速度执行完整攻击链——因为它们本就拥有系统信任。
传统PAM方案的局限性
许多企业误将密码库等同于PAM。LastPass事件延续至2025年的教训表明:若特权会话、访问设备及路径缺乏防护,单纯存储密码毫无意义。
真正的PAM需解决更本质问题:
- 该账户是否需要常驻特权?能否采用即时授权(JIT)?
- 能否在保持生产力的前提下取消终端本地管理员权限?
- 能否监控特权会话的实际操作?
- 能否发现被遗忘的服务账户和密钥?
- 能否将管控延伸至供应商、OT系统、DevOps流水线及AI Agent?
八大核心能力防御矩阵
BeyondTrust方案通过八项能力构建完整防御链:
|
能力维度 |
防御价值 |
|
特权凭证与密钥管理 |
集中保管并自动轮换散布在CI/CD流水线中的机器密钥,阻断攻击链3-4阶段 |
|
端点最小权限管理 |
取消常驻本地管理员权限,按需临时提权,直接瓦解攻击链第2阶段 |
|
即时权限授予(JIT) |
动态授权后自动撤销,使窃取的凭证多数时间失效 |
|
特权会话监控 |
将"合法登录"转化为全程可审计事件 |
|
安全远程访问 |
用代理式最小权限访问替代VPN和共享凭证,压缩供应商攻击面 |
|
身份智能发现 |
持续识别未知账户、孤儿服务身份及隐蔽提权路径 |
|
现代负载覆盖 |
将管控延伸至DevOps、云环境、OT系统和AI Agent |
|
零信任赋能 |
通过持续验证实现"永不信任,始终校验" |
安全新范式
当机器与AI身份数量呈指数级超越人类,当凭证窃取成为重大泄露的主要入口,仅依赖密码库的碎片化PAM方案已力不从心。在特权攻防决定胜负的战场上,企业需要基于能力矩阵开展系统性评估,而非押注单一解决方案。
