Neden Güvenliğin En Tehlikeli Kör Noktası

   Nisan 25, 2025  Posted in TheHackerNews


Siber güvenlikteki kimlik hakkında konuştuğumuzda, çoğu insan kullanıcı adlarını, şifreleri ve ara sıra MFA istemini düşünür. Ancak yüzeyin altında gizlenmek, insan olmayan kimliklerin (NHI) üstel büyümesine tanık olduğumuz için insan kimlik bilgilerini hiç içermeyen büyüyen bir tehdittir.

NHI’lerden bahsedildiğinde akılda olmak için, çoğu güvenlik ekibi hemen Hizmet Hesapları. Ama bunun çok ötesine geçmiyor. Varsın Hizmet MüdürleriKar tanesi rolleriZaten Rollerve AWS, Azure, GCP ve daha fazlasından platforma özgü yapılar. Gerçek şu ki, nhis, modern teknoloji yığınınızdaki hizmetler ve ortamlar kadar değişebilir ve bunları yönetmek bu çeşitliliği anlamak anlamına gelir.

Gerçek tehlike, bu kimliklerin nasıl doğrulandığı konusunda yatmaktadır.

Sırlar: Makinelerin Para Birimi

İnsan olmayan kimlikler, çoğunlukla, sırlar: API anahtarları, jetonlar, sertifikalar ve sistemlere, verilere ve kritik altyapıya erişim sağlayan diğer kimlik bilgileri. Bu sırlar saldırganların en çok istediği şeydir. Ve şok edici bir şekilde, çoğu şirketin kaç sırlara sahip oldukları, nerede saklandıkları veya bunları kim kullandıkları hakkında hiçbir fikri yoktur.

. Sırların Durumu 2025 iki çene bırakma istatistiklerini ortaya çıkardı:

  • 23.7 milyon Yalnızca 2024’te halka açık Github’da yeni sırlar sızdırıldı
  • Ve % 70 2022’de sızan sırların Bugün hala geçerli

Bu neden oluyor?

Hikayenin bir kısmı şudur Makineler için MFA yok. Doğrulama istemi yok. Bir geliştirici bir jeton oluşturduğunda, sadece işlerin çalıştığından emin olmak için genellikle gerekenden daha geniş erişim sağlarlar.

Son kullanma tarihleri? İsteğe bağlı. Bazı sırlar 50 yıllık geçerlilik pencereleriyle oluşturulur. Neden? Çünkü takımlar uygulamanın gelecek yıl kırılmasını istemiyor. Güvenlik üzerinden hızı seçiyorlar.

Bu büyük bir patlama yarıçapı yaratır. Bu sırlardan biri sızıyorsa, herhangi bir uyarıyı tetiklemeden üretim veritabanlarından bulut kaynaklarına kadar her şeyin kilidini açabilir.

NHI’ların tehlikeye atılması, insanlardan çok daha zordur. Tokyo’dan sabah 2’de bir giriş, bir kişi için kırmızı bayraklar yükseltebilir, ancak makineler dünyanın her yerinden 7/24 birbirleriyle konuşur. Kötü niyetli etkinlik tam olarak karışır.

Bu sırların çoğu, yanal hareket, tedarik zinciri saldırıları ve tespit edilmemiş ihlalleri sağlayan görünmez arka kapı gibi davranır. Toyota olayı mükemmel bir örnektir – sızdırılmış bir sır küresel bir sistemi düşürebilir.

Bu yüzden Saldırganlar NHIS’i ve sırlarını seviyor. İzinler genellikle yüksektir, görünürlük genellikle düşüktür ve sonuçlar çok büyük olabilir.

Makinelerin (ve sırlarının) yükselişi

Bulut-doğal, mikro hizmet ağırlıklı ortamlara geçiş tanıttı binlerce Organizasyon başına NHIS. Şimdi insan kimliklerinden daha fazla 50: 1 ila 100: 1 oran ve bunun sadece artması bekleniyor. Bu dijital işçiler hizmetleri bağlar, görevleri otomatikleştirir ve AI boru hatlarını kullanırlar – ve her birinin işlev görmesi için sırlara ihtiyacı vardır.

Ancak insan kimlik bilgilerinden farklı olarak:

  • Sırlar kod tabanlarında sabit kodlanmıştır
  • Birden çok araç ve takımda paylaşıldı
  • Eski sistemlerde uykuda yatmak
  • Minimum gözetim ile AI ajanlarına geçti

Sık sık son kullanmasahiplikVe denetlenebilirlik.

Sonuç? Sırlar yayılıyor. Aşırı erişim. Ve büyük bir ihlalden uzak bir sızıntı.

Eski oyun kitabı neden artık işe yaramıyor

Her şeyin merkezi olarak yönetildiği bir dönem olan insan kullanıcıları için eski kimlik yönetişimi ve PAM araçları inşa edildi. Bu araçlar hala şifre karmaşıklığını uygulamak, kırma hesaplarını yönetme ve dahili uygulamalara erişimi yöneten iyi bir iş çıkarır. Ama bu modeli tamamen kırıyor.

İşte nedeni:

  • Iam ve Pam insan kimlikleri için tasarlanmıştır, genellikle bireylere bağlı ve MFA ile korunmaktadır. NHIS ise, genellikle herhangi bir merkezi BT veya güvenlik gözetiminin dışında, ekipler arasında geliştiriciler tarafından yaratılan ve yönetilen ademi merkeziyetsizdir. Bugün birçok kuruluş, birleşik envanter veya politika uygulaması olmadan birden fazla tonoz yürütüyor.
  • Sır Yöneticileri Sırları saklamanıza yardımcı olun – ancak altyapınız, kod tabanları, CI/CD boru hatlarınız veya hatta Github veya Postman gibi genel platformlarda sırlar sızdırıldığında size yardımcı olmazlar. Maruz kalmayı tespit etmek, düzeltmek veya araştırmak için tasarlanmamıştır.
  • CSPM Araçları Buluta odaklanın, ancak sırlar her yerde. Kaynak kontrol yönetim sistemleri, mesajlaşma platformları, geliştirici dizüstü bilgisayarlar ve yönetilmeyen komut dosyalarında. Sırlar sızdığında, bu sadece bir hijyen meselesi değil, bu bir güvenlik olayı.
  • Nhis geleneksel kimlik yaşam döngülerini takip etmez. Genellikle işe alım, kapalı, net bir sahip yok ve son kullanma işlemi yoktur. Sistemlerinizde, radarın altında, bir şeyler ters gidene kadar oyalanırlar.

Güvenlik ekipleri gölgeleri kovalıyor, manuel olarak bir sırrın geldiği, neye eriştiği ve hala kullanımda olup olmadığı bile bir araya gelmeye çalışıyor. Bu reaktif yaklaşım ölçeklenmez ve kuruluşunuzu tehlikeli bir şekilde maruz bırakır.

Bu nerede Gitguardian NHI yönetişimi devreye giriyor.

Gitguardian NHI Yönetişimi: Makine Kimlik Labirentini Haritalama

Gitguardian, sırlar algılama ve iyileştirme konusundaki derin uzmanlığını aldı ve çok daha güçlü bir şeye dönüştürdü: makine kimlikleri ve kimlik bilgileri için tam bir yönetişim katmanı.

İşte onu öne çıkaran şey:

Karışıklık için bir harita

Bunu uçtan uca düşün görsel grafik tüm sır manzaranızın. Harita şunları arasındaki noktaları bağlar:

  • Sırların saklandığı yerler (örneğin, Hashicorp Vault, AWS Sırlar Yöneticisi)
  • Hangi hizmetler onları tüketir
  • Hangi sistemlere erişiyorlar
  • Onların sahibi kim
  • İster dahili olarak sızdırılmış ister kamu kodunda kullanılmışlar olsun

Tam Yaşam Döngüsü Kontrolü

NHI yönetişimi görünürlüğün ötesine geçer. Etkinleştirir Gerçek Yaşam Döngüsü Yönetimi Sırlar – Yaratılışlarını, kullanımlarını, rotasyonlarını ve iptallerini izlemek.

Güvenlik ekipleri:

  • Otomatik rotasyon politikalarını ayarlayın
  • Hizmetten çıkarma kullanılmayan/yetimsiz kimlik bilgileri
  • Aylar içinde erişilmeyen sırları tespit edin (diğer adıyla zombi kimlik bilgileri)

Güvenlik ve uyumluluk, yerleşik

Platform ayrıca bir politika motoru Bu, ekiplerin tüm tonozlarda tutarlı kontrolleri uygulamalarına ve kendilerini OWASP Top 10 gibi standartlara göre karşılaştırmalarına yardımcı olur.

İzleyebilirsiniz:

  • Takımlar ve ortamlar arasında tonoz kapsamı
  • Sırlar hijyen metrikleri (yaş, kullanım, rotasyon frekansı)
  • Üstün ayrıcalıklı nhis
  • Uyumluluk Duruşu Zamanla Sürüklenir

AI Ajanları: Yeni Vahşi Batı

Bu riskin büyük bir itici gücü RAG (Geri Alınan Kenarlık)AI, dahili verilerinizi kullanarak soruları cevaplar. Yararlıdır, ancak bu verilerde sır saklanıyorsa, yanlışlıkla ortaya çıkabilirler.

AI ajanları, verimliliğin kilidini açmak için Slack, Jira, Confluence, Dahili Dokümanlar – her şeye takılıyor. Ancak her yeni bağlantı ile riski gizli yayılma büyür.

Sırlar artık sadece koddan sızmıyor. Dokümanlar, biletler, mesajlar ve AI ajanları bu sistemlere eriştiğinde, yanıtlarda veya günlüklerde yanlışlıkla kimlik bilgilerini ortaya çıkarabilirler.

Ne yanlış gidebilir?

  • Jira’da saklanan sırlar, kavram, gevşek vb.
  • Hassas girdileri ve çıkışları yakalayan AI günlükleri
  • Geliştirilmemiş günlükleri saklayan geliştiriciler ve üçüncü taraf satıcılar
  • Sistemler arasında kontrol kontrolü arızalarına erişim

GitGuardian platformunun en ileriye dönük yönlerinden biri, AI güdümlü gizli yayılımı düzeltmeye yardımcı olabilmesidir:

  • AI’ya maruz kalabilecek sırları tespit etmek için mesaj platformları, biletler, wikiler ve dahili uygulamalar dahil olmak üzere tüm bağlı kaynakları tarar
  • AI ajanlarının verilere nerede eriştiğini gösterir ve sızıntılara yol açabilecek güvenli olmayan yolları işaretler
  • Günlükleri temizler, saklanmadan önce sırları kaldırır veya organizasyonu riske atacak şekilde aktarırlar

AI hızlı hareket ediyor. Ancak sırlar daha hızlı sızıyor.

Sonuç olarak: Yönetmediğinizi savunamazsınız

NHI yönetişimi ile Gitguardian, kuruluşların uzun zamandır karanlıkta bırakılan bir kimlik katmanına kaosa düzen ve kontrolü getirmeleri için bir plan sunuyor.

İster deniyor olsanız da:

  • Sır ekosisteminizi eşleştirin
  • Saldırı yüzeyini en aza indir
  • Makineler arasında sıfır güven ilkelerini zorunlu hale getirin
  • Ya da sadece geceleri daha iyi uyu

Gitguardian platformu yeni en iyi arkadaşınız olabilir.

Çünkü kimliklerin olduğu bir dünyada var olan çevre, İnsan olmayan kimlikleri görmezden gelmek artık bir seçenek değil.

NHI yönetişimini eylemde görmek ister misiniz?

Bir demo isteyin veya Gitguardian’daki tüm ürün genel bakışına göz atın.

Bu makaleyi ilginç mi buldunuz? Bu makale, değerli ortaklarımızdan birinin katkıda bulunan bir parçasıdır. Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link