Bugünün iş ortamı, ekiplerin eskisinden daha iyi ve daha hızlı bir şekilde daha fazlasını yapmasını gerektiriyor. Üçüncü taraf uygulamaları, kodsuz platformlar, genai ve diğer otomasyon ve entegrasyon biçimleri sayesinde, işletmeler bunu başarabilir, ancak otomasyon ve entegrasyonun gerçek yapı taşlarına derinden gömülü bir güven olmadan-insan olmayan Kimlikler (NHIS).
Bu NHIS (yani botlar, API anahtarları, hizmet hesapları, OAuth jetonları) inovasyon ve verimlilik için kritik öneme sahiptir, ancak en büyük güvenlik kör noktası olmaya devam etmektedir, bu nedenle AWS, Microsoft, Cloudflare ve OKTA’daki son başlık-tutma saldırıları TO. Birkaç isim.
Artan saldırı sıklığı, 1) hackerların bu parlak yeni fırsatı fark ettikleri ve 2) kuruluşların NHI ile ilgili tehditlere karşı korumak için hala donanımlı oldukları sert gerçekliğinin bir kanıtı görevi görür.
İnsan kimliklerini 20’den 1’e kadar daha fazla olan NHIS hacminin zaten güvenlik uygulayıcıları için önemli bir zorluk oluşturduğunu bilerek, ek engelleyicileri keşfetmeye ve NHIS’in güvenlik önceliği listesine nereye düştüğünü daha fazla anladık. Bulut Güvenliği İttifakı tarafından kolaylaştırılan 800 kişilik anket, mevcut durum için bir temel oluşturdu: 5 kuruluştan 1’i zaten NHI ile ilgili bir güvenlik olayı yaşadı.
NHIS’i güvence altına almada güven boşluğu
Raporun bulgularına göre, insan kimlikleri bu noktada tanıdık bir bölgedir, ancak BT ve güvenlik uygulayıcılarının sadece% 25’i ve güvenlik uygulayıcıları bunları güvence altına almak için “yüksek güven” ifade etmektedir. Doğal olarak, rakamlar insan olmayan kimlikleri güvence altına almak için daha da acımasızdır, sadece% 15’i “yüksek güven” i ifade eder.
Bir saldırı vektörü olarak NHIS hakkında orta ila yüksek endişe ifade eden kuruluşların% 69’u, risklerin farkındalığını vurgulamaktadır, ancak çok çeşitli nedenlerden dolayı riskleri ele almada bir zorluktur.
Servis hesapları, izinler, offtrobing – ve daha fazlası
Bulgular açıkça açıkça ortaya koydu: NHI güvenliğinin en zorlu yönü hizmet hesaplarını yönetmek,% 32’si bunu en büyük zorluk olarak belirtiyor. Ek ağrı noktaları arasında denetim ve izleme (%25), erişim ve ayrıcalıklar (%25), NHI’ları keşfetme (%24) ve politika uygulama (%21) bulunur.
Üçüncü taraf satıcılara ve OAuth uygulamalarına görünürlük eksikliği de önemli bir endişe yarattı ve kuruluşların% 38’i çok az görünürlük bildirdi.
Bulgular, API anahtarlarının yönetiminin kuruluşların mücadele ettiği bir başka kritik alan olduğunu göstermektedir. Sadece% 20’sinin API anahtarlarını kapalı ve iptal etmek için resmi bir işlemi vardır ve sadece% 16’sının API anahtarlarını döndürme veya geri döndürme işlemi vardır. Bu resmi süreç eksikliği API anahtarlarını aktif ve potansiyel olarak sömürülebilir bırakır.
Parçalanmış güvenlik yaklaşımları
NHI’lar, bu özel güvenlik alt kümesini ele alan araçlar gerektiren benzersiz bir zorluk sunmaktadır. Şu anda, kuruluşlar NHI’ları güvence altına almak için çok çeşitli araçlara ve çözümlere güveniyor – çoğunlukla IAM (%58), PAM (%54) ve API güvenlik (%40). Bu araçlar, sorunu dolaylı ya da zorlayıcı bir şekilde ele alıyor, bu da aslında daha fazla güvenlik olayına yol açan parçalanmış bir yaklaşıma yol açıyor.
NHI Güvenliğinin Geleceği
Raporda, zaten yatırım yapan kuruluşların% 25’i ve önümüzdeki 12 ay içinde% 60 ek planlama ile NHI güvenliğine yatırım yapmanın öneminin giderek artan bir şekilde tanındığını ortaya koyuyor. İnsan olmayan kimliklere şu anda insan kimliklerine verdiğimiz aynı ilgiyi vererek, bir endüstri olarak geleceğe dayanıklı korunan bir iş ortamının temelini oluşturabiliriz.
İzin yönetimi ve API anahtar işleme gibi kritik süreçleri otomatikleştirmenin yanı sıra NHI’ları korumak için daha hedefli ve birleşik bir yaklaşım benimseme zamanı.
Yazar hakkında
Alon Jackson, önde gelen bir insan olmayan kimlik güvenlik sağlayıcısı olan Astrix Security’nin CEO’su ve kurucu ortağıdır. Astrix’i kurmadan önce Jackson, Bulut Güvenliği Bölümü’ne liderlik etmek ve Siber Güvenlik Ar -Ge Departmanı Başkanı olarak hizmet etmek de dahil olmak üzere İsrail Askeri İstihbarat Birimi 8200’ün Siber Güvenlik Bölümü’nde çeşitli stratejik rollerde görev yaptı. Deneyimi ayrıca, otomotiv siber güvenlik şirketi Argus’ta (Continental AG tarafından satın alınan) Ar -Ge grubunun başkanı olarak görev yaptığı özel sektörü de kapsamaktadır. Jackson, Kriptografi konusunda uzmanlaşmış, onurlu bilgisayar bilimi alanında bir MSC aldı. Jackson ve Astrix Security hakkında daha fazla bilgi edinmek için https://astrix.security/ adresini ziyaret edin.