信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“GoUpSec”。

當(dāng)前網(wǎng)絡(luò)安全行業(yè)的流行語(yǔ)“身份是新的邊界”、“黑客不入侵，他們登錄”等，凸顯了身份和訪問(wèn)管理（IAM）在當(dāng)今網(wǎng)絡(luò)安全中的重要性。

根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報(bào)告，憑據(jù)泄露是導(dǎo)致數(shù)據(jù)泄露的主要攻擊向量，傳統(tǒng)網(wǎng)絡(luò)邊界理論已經(jīng)失效。業(yè)界對(duì)IAM的普遍重視正推動(dòng)整個(gè)網(wǎng)絡(luò)安全行業(yè)向零信任架構(gòu)邁進(jìn)。

但是IAM有一個(gè)致命的盲區(qū)：非人類身份（NHI）。當(dāng)數(shù)字系統(tǒng)需要訪問(wèn)和權(quán)限時(shí)，它們也需要憑據(jù)，就像人類一樣。這些非人類身份（NHI）允許復(fù)雜系統(tǒng)的許多組件協(xié)同工作，但同時(shí)也帶來(lái)了重大的安全問(wèn)題。

IAM通常關(guān)注如何保護(hù)用戶名和密碼以及與人類用戶相關(guān)的身份。但相比人類身份，NHI（與應(yīng)用程序、設(shè)備或其他自動(dòng)化系統(tǒng)相關(guān)的數(shù)字和機(jī)器憑據(jù)）的訪問(wèn)范圍要大得多。

非人類身份數(shù)量遠(yuǎn)超人類身份

一些組織發(fā)現(xiàn)，每1000名人類用戶，通常有1萬(wàn)個(gè)非人類連接或憑據(jù)。在某些情況下，NHI的數(shù)量可能是人類身份的50倍。

NHI包括服務(wù)賬戶、系統(tǒng)賬戶、IAM角色和其他用于企業(yè)身份驗(yàn)證活動(dòng)的機(jī)器身份，主要圍繞API密鑰、令牌、證書(shū)和機(jī)密信息展開(kāi)。

在云原生時(shí)代，機(jī)密信息管理面臨的挑戰(zhàn)迅速增加。對(duì)公共GitHub存儲(chǔ)庫(kù)的掃描發(fā)現(xiàn)了數(shù)百萬(wàn)個(gè)機(jī)密信息，三星等公司的數(shù)據(jù)泄露事件更是泄露了數(shù)以千計(jì)的機(jī)密信息。

NHI對(duì)機(jī)器間訪問(wèn)和身份驗(yàn)證至關(guān)重要

每種身份類型都有其獨(dú)特的方式來(lái)管理NHI的使用，以進(jìn)行機(jī)器間的訪問(wèn)和身份驗(yàn)證。NHI不僅數(shù)量龐大，其治理更加復(fù)雜，因?yàn)樗鼈兇嬖谟谡麄€(gè)企業(yè)內(nèi)的不同工具、服務(wù)和環(huán)境中，安全部門(mén)通常難以全面監(jiān)控和控制其安全使用或整個(gè)生命周期。

安全團(tuán)隊(duì)面臨巨大挑戰(zhàn)

安全團(tuán)隊(duì)投入大量精力和資源來(lái)保護(hù)人類憑據(jù)和身份，如配置、最小權(quán)限訪問(wèn)控制、范圍設(shè)定、停用和多因素認(rèn)證（MFA）等強(qiáng)大安全措施。

然而，企業(yè)內(nèi)部和外部的NHI由于其規(guī)模和不透明性（包括第三方服務(wù)提供商、合作伙伴和環(huán)境等），安全管理難度呈指數(shù)級(jí)增長(zhǎng)。

開(kāi)發(fā)人員、工程師和最終用戶經(jīng)常創(chuàng)建NHI并授予其訪問(wèn)權(quán)限，但他們可能并不深刻理解這些長(zhǎng)期憑據(jù)的影響、訪問(wèn)級(jí)別以及惡意行為者可能利用這些憑據(jù)的潛在風(fēng)險(xiǎn)，而這一過(guò)程中通常沒(méi)有安全團(tuán)隊(duì)的治理或參與。

OAuth推動(dòng)NHI訪問(wèn)

NHI是企業(yè)環(huán)境中活動(dòng)、工作流和任務(wù)的核心推動(dòng)力，廣泛使用的OAuth等在線授權(quán)標(biāo)準(zhǔn)在其中發(fā)揮了重要作用。OAuth可以用于為各種客戶端類型（如基于瀏覽器的應(yīng)用程序、移動(dòng)應(yīng)用程序、連接設(shè)備等）提供委托訪問(wèn)。

OAuth使用訪問(wèn)令牌，這些數(shù)據(jù)用于代表企業(yè)或其他用戶訪問(wèn)資源。OAuth利用核心組件來(lái)促進(jìn)這一活動(dòng)，包括資源服務(wù)器、資源所有者、授權(quán)服務(wù)器和客戶端。

軟件供應(yīng)鏈攻擊日益猖獗

OAuth的使用存在潛在問(wèn)題，特別是在處理外部服務(wù)（如SaaS）時(shí)，最終用戶無(wú)法控制這些OAuth令牌的存儲(chǔ)方式。這些都由外部服務(wù)提供商或應(yīng)用程序處理。

這本身并非問(wèn)題，但我們知道軟件供應(yīng)鏈攻擊正在增加。攻擊者已經(jīng)意識(shí)到，針對(duì)廣泛使用的軟件供應(yīng)商比單獨(dú)攻擊一個(gè)個(gè)人或客戶組織更為有效。

這些攻擊不僅集中在廣泛使用的開(kāi)源軟件組件上，如Log4j和XZ Utils，還針對(duì)世界上最大的軟件公司，如Okta、GitHub和微軟。微軟攻擊事件涉及國(guó)家級(jí)黑客濫用Microsoft Office 365及其OAuth使用。

NHI正在成為熱門(mén)攻擊目標(biāo)

供應(yīng)鏈攻擊日益猖獗不僅強(qiáng)調(diào)了保護(hù)NHI的必要性，也強(qiáng)調(diào)了組織制定強(qiáng)有力的SaaS治理計(jì)劃的必要性。大多數(shù)組織可能僅使用兩到三個(gè)IaaS提供商，但卻使用了數(shù)百個(gè)SaaS提供商，通常不在內(nèi)部安全團(tuán)隊(duì)的監(jiān)控范圍內(nèi)，缺乏對(duì)訪問(wèn)級(jí)別、數(shù)據(jù)類型或外部SaaS提供商在遭受軟件供應(yīng)鏈攻擊時(shí)的可見(jiàn)性。

NHI在重大的網(wǎng)絡(luò)安全事件中經(jīng)常扮演重要角色，甚至進(jìn)入了美國(guó)證券交易委員會(huì)的8-K文件，例如Dropbox最近提交的一份文件中指出：“攻擊者入侵了DropboxSign后端的一個(gè)服務(wù)賬戶，這是一種用于執(zhí)行應(yīng)用程序和運(yùn)行自動(dòng)服務(wù)的非人類賬戶。”

這表明NHI在現(xiàn)代企業(yè)中廣泛存在，并越來(lái)越多地成為黑客攻擊的目標(biāo)。NHI是現(xiàn)代數(shù)字生態(tài)系統(tǒng)的基礎(chǔ)，廣泛用于內(nèi)部的云、開(kāi)發(fā)和自動(dòng)化以及SaaS生態(tài)系統(tǒng)的集成。

如果沒(méi)有全面的NHI安全方法，CISO和安全團(tuán)隊(duì)很難發(fā)現(xiàn)NHI相關(guān)漏洞，以及身份安全戰(zhàn)略的致命缺陷。

參考鏈接：

https://www.csoonline.com/article/2132294/what-are-non-human-identities-and-why-do-they-matter.html