文章总结： 文章指出攻击面正从网络漏洞转向身份漏洞，MFA已不足以应对疲劳攻击、SIM交换等绕过手段，企业需将身份安全治理扩展到全生命周期并引入持续身份威胁检测与响应（ITDR），通过评估、权限梳理、SOC融合、ITDR部署和流程加固五步行动升级防护体系。 综合评分： 82 文章分类： 威胁情报,身份安全,安全运营,红队,安全建设

攻击面大迁移：从网络漏洞到身份漏洞的变化

信息安全大事件

2026年1月7日 18:01 江苏

过去我们谈论的“网络安全”，更多指的是防火墙、入侵检测、抗DDoS、防漏洞利用等“围墙式防御”。企业把精力更多投入到设备加固、系统补丁与边界防护上，仿佛守住网络关口，就守住了安全的底线。

但今天，这个时代正在加速结束。

一、攻击面的迁移：从“网络”到“身份”

未来几年，新的安全共识将逐渐清晰：安全风险不再来自于“突破网络边界”，而是来自于“成功登录”。

相比不断被修复的软件漏洞，人类行为、信任机制和业务流程更为脆弱，也更难统一治理。因此，攻击方式正在系统性演变：

• 利用人为信任与社会工程学
• 借助入职、离职、权限变更中的管理漏洞
• 针对密码重置与身份找回流程实施劫持
• 结合黑市数据与自动化工具批量滥用身份

一旦攻击者以“合法身份”进入系统，所有传统防御手段都将瞬间失效。

二、MFA 不是终点，而是起点

过去不少企业认为：“只要上了多因素认证（MFA），身份安全就高枕无忧。”

现实却反复提醒我们：

• MFA 疲劳攻击：反复弹窗诱导用户点击“同意”
• SIM 卡交换：劫持通信信号重新控制身份
• 会话劫持/ Token 盗取：绕过认证机制
• 中间人攻击：在认证链路中截取并利用信息

攻击者不再试图“破解 MFA”，而是越来越擅长“绕过 MFA”。传统以“凭证”为核心的安全模式，正在逐渐失去效力。

三、身份的生命周期，新的安全战场

如果身份与访问管理（IAM）回答的是 “谁可以进入系统”，那么现在企业需要面对的是更复杂的问题：

• 他究竟是不是本人？
• 他现在是否“应该”做这件事？
• 他的行为是否与以往一致？
• 身份是否被盗用？已经多久？

身份安全治理必须覆盖全生命周期：

✅ 账号创建 —— 是否真实、是否合规？

✅ 权限授予 —— 是否遵循最小权限原则？

✅ 日常行为 —— 是否异常？位置、设备是否可信？

✅ 权限变更 —— 是否可控、可审计？

✅ 账号注销 —— 是否彻底、无残留风险？

任何一个环节的薄弱，都可能被攻击者利用。

四、ITDR：身份安全的必然未来

可以预见，更多企业将从传统IAM升级到持续身份威胁检测与响应（ITDR）。

它不再只关注“认证是否通过”，而是提供持续的、智能的身份安全监控，包括：

• 行为异常检测
• 高风险身份实时感知
• 风险评分与动态访问控制
• 身份威胁与SOC（安全运营中心）联动
• 快速响应与处置闭环

未来，身份安全将不再只是IT 运维的附属模块，而会成为企业安全运营的核心组成部分。

五、企业现在就应行动

如果你的身份安全体系仍停留在“账号+密码+MFA” 的阶段，那么现在就是关键升级期。

建议从以下五步入手：

1️⃣ 全面评估 —— 系统性地审视企业身份体系的风险点

2️⃣ 权限梳理 —— 标记高敏感账号与高风险权限

3️⃣ 纳入 SOC —— 将身份安全融入安全运营中心统一治理

4️⃣ 引入 ITDR —— 建立持续身份威胁检测与响应能力

5️⃣ 流程加固 —— 完善服务台、密码找回等“流程级安全”

参考来源：兰花豆说网络安全

如有需要，欢迎联系我们

获取专属您的解决方案！

联系电话：400-6776-989/13338963885

欢迎关注，了解更多内容

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：信息安全大事件 《攻击面大迁移：从网络漏洞到身份漏洞的变化》