本文来自微信公众号“GoUpSec”。
当前网络安全行业的流行语“身份是新的边界”、“黑客不入侵,他们登录”等,凸显了身份和访问管理(IAM)在当今网络安全中的重要性。
根据Verizon数据泄露调查报告,凭据泄露是导致数据泄露的主要攻击向量,传统网络边界理论已经失效。业界对IAM的普遍重视正推动整个网络安全行业向零信任架构迈进。
但是IAM有一个致命的盲区:非人类身份(NHI)。当数字系统需要访问和权限时,它们也需要凭据,就像人类一样。这些非人类身份(NHI)允许复杂系统的许多组件协同工作,但同时也带来了重大的安全问题。
IAM通常关注如何保护用户名和密码以及与人类用户相关的身份。但相比人类身份,NHI(与应用程序、设备或其他自动化系统相关的数字和机器凭据)的访问范围要大得多。
非人类身份数量远超人类身份
一些组织发现,每1000名人类用户,通常有1万个非人类连接或凭据。在某些情况下,NHI的数量可能是人类身份的50倍。
NHI包括服务账户、系统账户、IAM角色和其他用于企业身份验证活动的机器身份,主要围绕API密钥、令牌、证书和机密信息展开。
在云原生时代,机密信息管理面临的挑战迅速增加。对公共GitHub存储库的扫描发现了数百万个机密信息,三星等公司的数据泄露事件更是泄露了数以千计的机密信息。
NHI对机器间访问和身份验证至关重要
每种身份类型都有其独特的方式来管理NHI的使用,以进行机器间的访问和身份验证。NHI不仅数量庞大,其治理更加复杂,因为它们存在于整个企业内的不同工具、服务和环境中,安全部门通常难以全面监控和控制其安全使用或整个生命周期。
安全团队面临巨大挑战
安全团队投入大量精力和资源来保护人类凭据和身份,如配置、最小权限访问控制、范围设定、停用和多因素认证(MFA)等强大安全措施。
然而,企业内部和外部的NHI由于其规模和不透明性(包括第三方服务提供商、合作伙伴和环境等),安全管理难度呈指数级增长。
开发人员、工程师和最终用户经常创建NHI并授予其访问权限,但他们可能并不深刻理解这些长期凭据的影响、访问级别以及恶意行为者可能利用这些凭据的潜在风险,而这一过程中通常没有安全团队的治理或参与。
OAuth推动NHI访问
NHI是企业环境中活动、工作流和任务的核心推动力,广泛使用的OAuth等在线授权标准在其中发挥了重要作用。OAuth可以用于为各种客户端类型(如基于浏览器的应用程序、移动应用程序、连接设备等)提供委托访问。
OAuth使用访问令牌,这些数据用于代表企业或其他用户访问资源。OAuth利用核心组件来促进这一活动,包括资源服务器、资源所有者、授权服务器和客户端。
软件供应链攻击日益猖獗
OAuth的使用存在潜在问题,特别是在处理外部服务(如SaaS)时,最终用户无法控制这些OAuth令牌的存储方式。这些都由外部服务提供商或应用程序处理。
这本身并非问题,但我们知道软件供应链攻击正在增加。攻击者已经意识到,针对广泛使用的软件供应商比单独攻击一个个人或客户组织更为有效。
这些攻击不仅集中在广泛使用的开源软件组件上,如Log4j和XZ Utils,还针对世界上最大的软件公司,如Okta、GitHub和微软。微软攻击事件涉及国家级黑客滥用Microsoft Office 365及其OAuth使用。
NHI正在成为热门攻击目标
供应链攻击日益猖獗不仅强调了保护NHI的必要性,也强调了组织制定强有力的SaaS治理计划的必要性。大多数组织可能仅使用两到三个IaaS提供商,但却使用了数百个SaaS提供商,通常不在内部安全团队的监控范围内,缺乏对访问级别、数据类型或外部SaaS提供商在遭受软件供应链攻击时的可见性。
NHI在重大的网络安全事件中经常扮演重要角色,甚至进入了美国证券交易委员会的8-K文件,例如Dropbox最近提交的一份文件中指出:“攻击者入侵了DropboxSign后端的一个服务账户,这是一种用于执行应用程序和运行自动服务的非人类账户。”
这表明NHI在现代企业中广泛存在,并越来越多地成为黑客攻击的目标。NHI是现代数字生态系统的基础,广泛用于内部的云、开发和自动化以及SaaS生态系统的集成。
如果没有全面的NHI安全方法,CISO和安全团队很难发现NHI相关漏洞,以及身份安全战略的致命缺陷。
参考链接:
https://www.csoonline.com/article/2132294/what-are-non-human-identities-and-why-do-they-matter.html