IAM的致命盲区 非人类身份
网络安保行业的盛行语“身份是新的边界”、“黑客不入侵,他们登录”等,凸显了身份和访问控制(IAM)在当今网络安保中的关键性。
依据Verizon数据暴露考查报告,凭据暴露是造成数据暴露的关键攻打向量,传统网络边界通常曾经失效。业界对IAM的普遍注重正推进整个网络安保行业向零信赖架构迈进。
但是IAM有一个致命的盲区:非人类身份(NHI)。当数字系统须要访问和权限时,它们也须要凭据,就像人类一样。这些非人类身份(NHI)准许复杂系统的许多组件协同上班,但同时也带来了严重的安保疑问。
IAM通常关注如何包全用户名和明码以及与人类用户相关的身份。但相比人类身份,NHI(与运行程序、设施或其余智能化系统相关的数字和机器凭据)的访问范围要大得多。
非人类身份数量远超人类身份
一些组织发现,每1000名人类用户,通常有1万个非人类衔接或凭据。在某些状况下,NHI的数量或者是人类身份的50倍。
NHI包括服务账户、系统账户、IAM角色和其余用于企业身份验证优惠的机器身份,关键围绕API密钥、令牌、证书和秘密消息倒退。
在云原生时代,秘密消息控制面临的应战迅速参与。对公共GitHub存储库的扫描发现了数百万个秘密消息,三星等公司的数据暴露事情更是暴露了数以千计的秘密消息。
NHI对机器间访问和身份验证至关关键
每种身份类型都有其共同的形式来控制NHI的经常使用,以启动机器间的访问和身份验证。NHI不只数量庞大,其控制愈加复杂,由于它们存在于整个企业内的不同工具、服务和环境中,安所有门通常难以片面监控和控制其安保经常使用或整个生命周期。
安保团队面临渺小应战
安保团队投入少量精神和资源来包全人类凭据和身份,如性能、最小权限访问控制、范围设定、停用和多要素认证(MFA)等弱小安保措施。
但是,企业外部和外部的NHI由于其规模和不透明性(包括第三方服务提供商、协作同伴和环境等),安保控制难度呈指数级增长。
开发人员、工程师和最终用户经常创立NHI并授予其访问权限,但他们或者并不深入了解这些常年凭据的影响、访问级别以及恶意行为者或者应用这些凭据的潜在危险,而这一环节中通常没有安保团队的控制或介入。
OAuth推进NHI访问
NHI是企业环境中优惠、上班流和义务的外围推进力,宽泛经常使用的OAuth等在线授权规范在其中施展了关键作用。OAuth可以用于为各种客户端类型(如基于阅读器的运行程序、移动运行程序、衔接设施等)提供委托访问。
OAuth经常使用访问令牌,这些数据用于代表企业或其余用户访问资源。OAuth应用外围组件来促成这一优惠,包括资源主机、资源一切者、授权主机和客户端。
软件供应链攻打日益猖狂
OAuth的经常使用存在潜在疑问,特意是在处置外部服务(如SaaS)时,最终用户无法控制这些OAuth令牌的存储形式。这些都由外部服务提供商或运行程序处置。
这自身并非疑问,但咱们知道软件供应链攻打正在参与。攻打者曾经看法到,针对宽泛经常使用的软件供应商比独自攻打一个团体或客户组织更为有效。
这些攻打不只集中在宽泛经常使用的开源软件组件上,如Log4j和XZ Utils,还针对环球上最大的软件公司,如Okta、GitHub和微软。微软攻打事情触及国度级黑客滥用Microsoft Office 365及其OAuth经常使用。
NHI正在成为抢手攻打指标
供应链攻打日益猖狂不只强调了包全NHI的必要性,也强调了组织制订强有力的SaaS控制方案的必要性。大少数组织或者仅经常使用两到三个IaaS提供商,但却经常使用了数百个SaaS提供商,通常不在外部安保团队的监控范围内,不足对访问级别、数据类型或外部SaaS提供商在遭受软件供应链攻打时的可见性。
NHI在严重的网络安保事情中经常表演关键角色,甚至进入了美国证券买卖委员会的8-K文件,例如Dropbox最近提交的一份文件中指出:“攻打者入侵了DropboxSign后端的一个服务账户,这是一种用于口头运行程序和运转智能服务的非人类账户。”
这标明NHI在现代企业中宽泛存在,并越来越多地成为黑客攻打的指标。NHI是现代数字生态系统的基础,宽泛用于外部的云、开发和智能化以及SaaS生态系统的集成。
假设没有片面的NHI安保方法,CISO和安保团队很难发现NHI相关破绽,以及身份安保策略的致命毛病。