身份與權限管理被惡意利用，會對組織內部的賬戶和憑據產生哪些危害？應該如何實施基於角色的身份分配、授權及審計策略來緩解賬戶和身份盜用帶來的威脅？應該如何通過管理來滿足監管合規要求？身份與訪問管理（IAM）已經成為企業安全的基石。當下，所有資源賬戶、憑據、角色、證書及認證報告的管理已成為一項安全與合規性要求。當身份盜用和身份管理不善被用作攻擊向量時，風險和漏洞呈指數級增長。隨著網絡攻擊頻次的不斷增長和復雜程度的日益增加，組織發生安全事故是必然的，隻是時間早晚而已。威脅行動者一般會將賬戶、用戶及其相等

●第1章 網絡安全三大支柱
第2章 橫向移動
第3章 企業IAM的5個A
3.1 認證
3.2 授權
3.3 管理
3.4 審計
3.5 分析
第4章 認識企業身份
4.1 人與人格
4.1.1 物理人格
4.1.2 電子人格
4.2 賬戶
4.3 憑據
4.4 實現
4.5 用戶
4.6 應用程序
4.7 機器
4.8 所有關繫
4.9 自動化
4.10 賬戶類型
4.10.1 本地賬戶
4.10.2 集中式賬戶
4.10.3 功能型賬戶
4.10.4 管理型賬戶
4.10.5 服務型賬戶
4.10.6 應用程序管理賬戶
4.10.7 雲賬戶
4.11 權限
4.11.1 簡單權限
4.11.2 復雜權限
4.11.3 控制與治理
4.12 角色
4.12.1 業務角色
4.12.2 IT角色
4.12.3 支持最小權限原則的角色關繫
4.12.4 發現、管理和生命周期控制
第5章 機器人
5.1 安全挑戰
5.2 管理機會
5.3 治理機器人
第6章 定義身份治理
6.1 誰可以訪問什麼
6.2 管理用戶訪問的復雜度
6.3 問題範圍
6.4 管理訪問的整個生命周期
第7章 身份治理流程
7.1 可見性、連接性與上下文
7.1.1 權威身份源
7.1.2 連接方法
7.1.3 API直連
7.1.4 共享存儲庫連接與延遲訪問
7.1.5 基於標準的連接器
7.1.6 自定義應用程序連接器
7.1.7 連接器核查和本地變化檢測
7.1.8 關聯和孤兒賬戶
7.1.9 非結構化數據的可見性
7.1.10 建立權限目錄
7.1.11 搜索與報表的力量
7.2 全生命周期管理
7.2.1 LCM狀態模型與生命周期事件
7.2.2 委托和手動事件
7.2.3 采取基於模型的方法
……

在身份盜用頻發、身份管理不完善的現狀下，如何應對由此引發的企業安全風險成為安全從業人員關心的重點主題。本書針對IAM相關的風險、攻擊人員可以利用的技術，以及企業應該采用的很好實踐進行了解讀。《身份攻擊向量》分為21章，主要內容包括：什麼是身份，以及如何將身份相關的賬戶和憑據用作攻擊向量；實施有效的IAM計劃，並提供監管合規證明；了解身份管理控制在網絡殺傷鏈中的作用，以及如何將權限作為薄弱環節進行管理；將關鍵身份管理技術集成到企業生態繫統中；通過周密計劃、實施部署、審計發現、報告和監督等多種手段來降低通過利用身份發起的攻擊。《身份攻擊向量》適合網絡安全管理人員、身份訪問與管理實施人員和審計人員閱讀、參考。

(美)莫雷·哈伯,(美)達蘭·羅爾斯 著 奇安信身份安全實驗室 譯