假如未來https客戶端證書普及了,網站IDS能實現通過客戶端證書來對黑客攻擊行為溯源嗎?
一般來說,IDS會記錄攻擊者的源IP,但這對於使用跳板或肉雞的黑客來說並沒有回溯作用。
但現在很多網站的大多數功能都是先登陸纔可見的,其最外層登陸驗證界面沒什麼內容,也更容易進行安全防護。真正網站的主要功能應用都是需要在登陸狀態下才能訪問到。
那對這些大部分功能登陸纔可使用的網站而言,IDS能否將針對內部功能應用的攻擊行為與登陸狀態的賬戶相關聯,使得哪怕黑客可以通過跳板和代理訪問網站,但要深入滲透網站其最終用的還是自己的賬戶?
而這裡的身份驗證最好通過https客戶端證書,同時在CA處客戶端證書與實名身份證認證綁定,從而便於網站安全維護人員進行攻擊溯源?
同時,是否可以實現,網站對客戶端證書所分配許可權和實際行使許可權進行對照檢驗,這樣一旦用戶操作所需許可權高於當前連接所用公鑰所分配許可權,就說明可能存在提權行為,直接中斷越權行為,一定程度上提高滲透成本?
PS:最好是本地證書的調用需要開展即時生物活體信息識別(指紋等方式),可以一定程度上提升黑客盜用肉雞本地客戶端證書的難度,同時對應用層代理服務和自動化爬蟲程序試圖自動化調用本地證書的行為進行限制。
這難道不是在說PAM?
既然是攻擊,怎麼會用自己的證書,怎麼會用證書?
思路很好,利用多因素(證書、生物識別等)身份驗證以及細粒度的鑒權機制來避免系統未授權的訪問。這種安全設計一直有被使用,只是實施成本太高,不適應大部分系統。並且WEB攻擊不一定需要登錄你的網站,可能利用網站存在的漏洞進行越權操作或入侵伺服器。另外真實的滲透攻擊是多維度的,不管是主機層還是網路層的IDS只能起到檢測作用,需要安全人員結合實際場景去分析、溯源。
網站許可權登錄本就支持使用簽名證書的。
例如我的nas就是要用證書才能訪問的,瀏覽器是需要發送我網站CA簽名過的證書才能訪問的。
https://zhuanlan.zhihu.com/p/93405636?zhuanlan.zhihu.com
對客戶端證書對應的賬號綁定許可權並且檢驗,這在kubernetes系統內默認RBAC就是。
可以的,不僅僅是http協議。dns協議啥的都可以用來分析
實驗室狀態下估計可以實現
推薦閱讀: