Modern kurumsal ağlar, yüzlerce uygulama ve altyapı hizmetine dayanan oldukça karmaşık ortamlardır. Bu sistemlerin, insan olmayan kimliklerin (NHIS) geldiği sürekli insan gözetimi olmadan güvenli ve verimli bir şekilde etkileşime girmesi gerekir. NHIS-NHIS-uygulama sırları, API anahtarları, hizmet hesapları ve OAuth jetonları dahil-birlikte çalışması gereken bir dizi uygulamalar ve hizmetler sayesinde son yıllarda patladı. Bazı işletmelerde, NHI’ler artık insan kimliklerinden daha fazla 50’den 1’e kadar.
Bununla birlikte, NHIS, güvenlik liderleri yüksek alarma sahip olan benzersiz riskler ve yönetim zorlukları sunmaktadır. Enterprise Strateji Grubu’ndan yakın tarihli bir rapora göre, kuruluşların yüzde kırk yüzde alt altısı NHI hesapları veya kimlik bilgilerinden ödün verdiler ve% 26’sı sahip oldukları% 26 şüpheli.
NHIS’in – ve gözetim, risk azaltma ve yönetişim ile sundukları zorlukların OKTA’nın CISO forumunda tekrar eden bir konu olması şaşırtıcı değil. Burada, yükselişlerini, risklerini ve cisos ve güvenlik liderlerinin bugün onları nasıl yönettiklerini keşfedeceğiz.
NHIS’in muhteşem yükselişi
NHIS’teki artış, bulut hizmetleri, yapay zeka ve otomasyon ve dijital iş akışlarının artan kullanımına kadar takip edilebilir. Giderek daha fazla görev otomatik olduğundan ve insanlar denklemin bir parçası olduğundan, devam etmesi muhtemel bir trend.
NHIS, uygulamaların hem belirli bir alanın içinde hem de bulut hizmetleri gibi üçüncü taraf uygulamalarla birbirlerine doğrulanmasına izin verir. Bu sırlar, anahtarlar ve jetonlar, insanlar tarafından kullanılan kimlik bilgileri kadar hassastır ve bazı durumlarda, daha da fazla, rakiplere sızdırıldıkları takdirde belirli uygulamalara ve hizmetlere güçlü erişim sağlayabilirler.
CISO’lar dikkat çekiyor. Aslında, kuruluşların% 80’inden fazlası insan olmayan kimlik güvenliğine harcamaları artırmayı beklemektedir.
Mark Sutton’a göre, Bain Capital’deki CISO, “İnsan olmayan kimlikler, kimlik ve erişim yönetimi programlarının olgunluğuna dayanan ekipler için bir odak noktası haline geldi. Hızlı bir şekilde bir sonraki en sıcak ateş haline geliyor çünkü insanlar kullanıcı kimliklerini bir şekilde çözdü. Doğal ilerleme, hizmet hesaplarına ve makine-makine-makine sahibi olmayan kimliklere apisler de dahil olmak üzere bakmaya başlamaktır.”
Basitçe söylemek gerekirse, kuruluşlar insan kimliklerini güvence altına almak için güçlü protokoller oluşturduktan sonra, mantıksal bir sonraki adım NHIS ile mücadele etmektir. “Bu ve insan olmayan kimlikler tehdit manzarasının bir parçası ve saldırganların bir sonraki yere gittiği yer.”
Gizli sızıntı ve diğer NHIS riskleri
Diğer tüm kimlik bilgileri gibi, NHI’lar da hassastır ve korunması gerekir. Ancak insanlar hassas kimlik bilgilerini korumak için MFA veya biyometri gibi sağlam güvenlik önlemleri kullanabilirken, NHI genellikle kimlik doğrulama için daha az güvenli önlemlere güvenmektedir. Bu onları saldırganlar için kolay hedefler haline getirebilir.
NHI sırlarının sızıntısı da ciddi bir endişe olabilir. Bu, bir uygulamanın kaynak koduna sert kodlama veya yanlışlıkla kopyalayıp kamuya açık bir belgeye yapıştırarak, çeşitli şekillerde olabilir. Gizli sızıntı önemli bir sorundur ve genellikle kamu Github depolarında sırlar ortaya çıkar. Aslında, güvenlik firması Gitguardian geçen yıl kamu depolarında 27 milyondan fazla yeni sır buldu. NHI sırlarının çoğu ortamda çok sık dönmediğini düşündüğünüzde bu daha da büyük bir sorun ortaya koymaktadır, bu nedenle sızdıran bir sırın faydalı ömrü oldukça uzun olabilir.
Ayrıca, görevleri yerine getirmek için genellikle geniş ve kalıcı izinler gerektirdikleri için, NHI’lar aşırı izinler biriktirebilir ve saldırı yüzeyini daha da artırabilir. Tüm bunlar NHIS’i saldırganlar için bir ana hedef ve CISOS ve güvenlik ekipleri için büyük bir zorluk haline getiriyor.
Cisos’un NHIS’i güvence altına almada karşılaştığı üç zorluk
NHIS şimdi Cisos’un radarındayken, onları güvence altına almak başka bir hikaye. İşte Cisos’tan duyduğumuz üç zorluk ve bunları nasıl yönettikleri:
- Görünürlük kazanma. NHI’leri güvence altına almaya ve yönetmeye çalışmanın en büyük engelleri onları bulmaktır. NHI’lerin bir ortamda bulunduğu yerlerde görünürlük sınırlı olabilir ve bunların hepsini veya hatta çoğunu keşfetmek zor bir iştir. Birçok kuruluşun var olduğunu bile bilmedikleri binlerce NHI var. Eski atasözü “Bilmediğiniz şeyi güvence altına alamazsınız” burada doğrudur. Bu, NHI’lerin keşfedilmesi ve envanterinin kritik olduğu anlamına gelir. Bir Kimlik Güvenlik Duruş Yönetimi çözümü uygulamak, yöneticilerin ve güvenlik uzmanlarının NHI’leri kuruluşlarında tanımlamalarına yardımcı olabilir.
- Risk önceliklendirme ve azaltma. Bir sonraki zorluk, çevredeki NHI’larla ilişkili risklere öncelik vermektir. Tüm NHI’lar eşit yaratılamaz. En güçlü NHI’ları bulmak ve aşırı ayrıcalıklı NHI’leri tanımlamak, bu kimliklerin güvence altına alınmada önemli bir adımdır. Birçok hizmet hesabı ve diğer NHI’lar, gerçekte ihtiyaç duyduklarından çok daha fazla ayrıcalıklara sahiptir, bu da kuruluş için risk oluşturabilir. Yüksek değerli NHI’ların belirlenmesi ve ayrıcalıkların ve izinlerin ayarlanması bu riski azaltmaya yardımcı olabilir. “Bu, her insan olmayan kimlikle ilişkili patlama yarıçapını anlamak ve ‘risk nedir?’ Tüm NHI’ler aynı tehdidi taşımıyor, “diye vurguladı Sutton.
- Yönetişim kurmak. Bugün çok fazla NHI yaratıldığında, yönetişim CISOS’un yanında gerçek bir diken haline geldi. Ancak düzgün bir şekilde yönetilmediklerinde kötü şeyler olabilir-örneğin, Ekim 2024’te kaynaklanmamış jetonlara bağlı internet arşivi ihlalleri serisini alın. Genellikle, geliştiriciler tarafından kısa vadeli ihtiyaçlara hizmet etmek için oluşturulur, ancak nadiren izlenir veya düzgün bir şekilde görevden alınırlar. Kimin NHIS’i yarattığını, onları nasıl yarattıklarını ve hangi amaç için iyi bir ilk adım olduğunu anlamak. Daha sonra, güvenlik ekipleri bunları yönetmek için net bir süreç oluşturmalıdır, böylece insan olmayan kimlikler keyfi olarak yaratılamaz. Sutton, “Kimlik doğrulama ve şifre politikalarımızın ne olduğunu düşünmeliyiz” diyor. “Örneğin, yıllardır döndürülmemiş zayıf, statik şifrelere sahip birçok hizmet hesabı var. Bunları yönettiğimizden nasıl emin olabiliriz?”
Son Düşünceler
İnsan olmayan kimlikler bugün işletmeler için gereklidir, süreçleri otomatikleştirmelerine, entegrasyonları etkinleştirmelerine ve sorunsuz işlemler sağlamalarına yardımcı olur. Zorluk: güvence altına alınması zor ve tehdit aktörleri için cazip bir hedeftir, çünkü genellikle federasyon yapmazlar, MFA eksikliği, statik kimlik bilgileri kullanırlar ve aşırı ayrıcalıklara sahiptirler.
Günün sonunda, insan olmayan kimlikler ve insan kimlikleri farklı özelliklere ve ihtiyaçlara sahip olabilir, ancak her ikisi de kimlik doğrulama öncesinde, sırasında ve sonrasında onları koruyan uçtan uca bir yaklaşım gerektirir. NHIS insanlar olmayabilir, ancak ortamınızdaki giderek daha güçlü aktörlerdir. Bu, onları isteğe bağlı değil, acil olmasını sağlar.
Birleşik bir sistem altında tüm kimlikleri – insan ya da değil – yöneterek kuruluşların risk ve karmaşıklığı nasıl azalttığını öğrenmek için 18 Ağustos’ta web yayınımıza katılın.