Kimlik temelli saldırılar artıyor. Kötü niyetli aktörlerin, kaynaklara ve hassas verilere kolayca erişim elde etmek için bir kuruluşun kimliğini aldıkları saldırılar, son birkaç yılda sayı ve frekansta artmaktadır. Son zamanlarda yapılan bazı raporlar, saldırıların% 83’ünün tehlikeye atılmış sırları içerdiğini tahmin etmektedir. Verizon DBIR gibi raporlara göre, saldırganlar bir güvenlik açığı veya yanlış yapılandırmadan yararlanmak yerine ilk dayanaklarını kazanmak için çalınan kimlik bilgilerini daha yaygın olarak kullanıyorlar.
Saldırganlar sadece insan kimliklerinin peşinde değiller. Daha yaygın olarak, işletmedeki insan kimliklerini en az 50’den bire kadar daha fazla olan insan olmayan kimliklerin (NHIS) peşindedirler. İnsanlardan farklı olarak, makinelerin çok faktörlü kimlik doğrulama elde etmenin iyi bir yolu yoktur ve çoğunlukla sadece kimlik bilgilerine, API anahtarları, taşıyıcı jetonları ve JWT’ler şeklinde güveniyoruz.
Geleneksel olarak, Kimlik ve Erişim Yönetimi (IAM), zaman içinde kalıcı insan özellikleri fikri üzerine inşa edilmiştir. Bir kişinin adını, parmak izlerini veya DNA’sını değiştirmesi nadirdir. Bir kimlik doğrulama sürecinden geçtiyseniz, iddia ettiğiniz insan olduğunuzu onaylayabiliriz. Buna dayanarak, kuruluş içindeki rolünüze ve güven seviyenize bağlı belirli izinleri elde edebilirsiniz.
Makine kimliklerini güvence altına almak, kötü aktörlerin gerçekten önem verdiği benzersiz özelliği, yani erişim anahtarlarını ele almak anlamına gelir. Bu son derece değerli sırları, koruduğumuz kimlikleri benzersiz bir şekilde tanımlamanın yolu olarak ele alırsak, bunu işletmenizde erişimin nasıl verildiği ve kullanıldığı konusunda gerçek gözlemlenebilirliğe ulaşabiliriz.
Kırık bir lens yoluyla NHIS’in muhasebeleştirilmesi
Sırlara benzersiz tanımlayıcılar olarak daha derin bir şekilde bakmadan önce, önce şu anda işletmede NHIS hakkında nasıl konuştuğumuzu düşünelim.
Çoğu takım NHI’ları tanımlamakla mücadele eder. Kanonik tanım basitçe “insan olmayan bir şey” dir, bu mutlaka geniş bir endişe kümesidir. NHI’lar bulut sağlayıcılar, konteyner orkestratörleri, eski sistemler ve kenar dağıtımları arasında farklı şekilde kendini gösterir. Bir kapsülle bağlı bir Kubernetes hizmet hesabı, Azure tarafından yönetilen bir kimliğe veya bir Windows hizmet hesabına kıyasla farklı özelliklere sahiptir. Her takım tarihsel olarak bunları ayrı endişeler olarak yönetti. Bu patchwork yaklaşımı, ortamlar arasında yönetişimi otomatikleştirmek yerine, tutarlı bir politika oluşturmayı neredeyse imkansız hale getirir.
NHIS’in üstel büyümesi, geleneksel varlık envanter araçlarında bir boşluk bıraktı ve erişim hakemleri ayak uyduramıyor. Tutarlı izinlerin veya güvenlik kontrollerinin böylesine çılgınca çeşitli bir kimlik kümesinde uygulanması neredeyse imkansız görünmektedir. Bu, şifreleri yıllar içinde döndürülmemiş veya denetlenmemiş yaşlanan eski sistemlerin üstünde.
Bu sorunu birleştirmek, NHIS çevresinde meta verilerin ve mülkiyetin eksikliğidir. “Bu kimlik ne için?” veya “Bu jetonun sahibi kim?” Bu kimliği sisteme yaratan ve serbest bırakan kişi devam ettiği için sık sık cevapsız gidin. Bu hesap verebilirlik boşluğu, rotasyon veya hizmetten çıkarma gibi temel yaşam döngüsü uygulamalarının uygulanmasını zorlaştırır. Test amacıyla oluşturulan NHI’lar, bağlı oldukları sistemlerin kesildikten çok sonra, riskli bir şekilde risk biriktirildikten çok sonra devam eder.
Sıfır Güven Koru Yüzeyinizin UUID’leri
Bir NHI’nin hangi biçim veya şekil aldığı önemli değil, bir uygulamanın veya sistemin bir parçası olarak çalışmak için, verilere ve kaynaklara erişmek ve çalışmalarını yapmak için doğrulanması gerekir.
En yaygın olarak, bu, API anahtarları, sertifikalar veya jetonlar gibi görünen sırlar biçimini alır. Bunların hepsi doğal olarak benzersizdir ve dağıtılmış sistemler arasında şifreli parmak izleri olarak işlev görebilir. Bu şekilde kullanıldığında, kimlik doğrulama için kullanılan sırlar, doğrudan bunları üreten sistemlere bağlı izlenebilir artefaktlar haline gelir. Bu, geleneksel hizmet hesaplarıyla elde edilmesi zor olan bir ilişkilendirme ve denetim seviyesine izin verir. Örneğin, kısa ömürlü bir jeton doğrudan belirli bir CI işine, git taahhüdüne veya iş yüküne bağlanabilir, ekiplerin sadece oyunculuk değil, neden, nerede ve kimin adına cevap vermesine izin verir.
Bu tanımlayıcı olarak erişim modeli, envanterinize netlik getirebilir ve tüm makinelerinizin, iş yüklerinizin, görev koşucularınızın ve hatta ajan tabanlı AI sistemlerinin birleşik bir görünümünü sunabilir. Sırlar, NHI’ları endekslemek için tutarlı ve makine yönlendirilebilir bir yöntem sunar, ekiplerin, Kubernetes, Github eylemlerinde veya genel bir bulutta çalışmasına bakılmaksızın, var olana, kime sahip olanlara ve neye erişebileceğine dair görünürlüğü merkezileştirmesine izin verir.
Kritik olarak, bu model aynı zamanda yaşam döngüsü yönetimini ve sıfır güven ilkelerini eski kimlik çerçevelerinden daha doğal olarak desteklemektedir. Sır, yalnızca kullanılabileceği zaman geçerlidir, bu da kanıtlanabilir bir durumdur, yani kullanılmayan veya süresi dolmuş sırların temizlik için otomatik olarak işaretlenebileceği anlamına gelir. Bu, NHI-ağır ortamlarda endemik olan kimlik yayılmasını ve hayalet hesaplarını durdurabilir.
NHI tanımlayıcılarındaki sırların güvenlik sonuçları
Makineler ve iş yükleri için benzersiz tanımlayıcı olarak sırlar hakkında konuşacaksak, kötü bir sızıntı eğilimi olduğu gerçeğini ele almamız gerekir. Sırlar Durumu 2025 araştırmamıza göre, 2024 yılında halka açık GitHub depolarında yıllık% 25 artışla yaklaşık 23.8 milyon sır sızdırıldı. Daha da kötüsü, araştırdığımız özel depoların tam% 35’i sırlar içeriyordu. 8 kat daha fazla kamu depolarında bulduğumuz gibi.
Son birkaç yıldır Uber’den ABD Hazinesi Departmanına kadar ihlaller, sırlar boru hatlarına, kod tabanlarına, kaplara ve bulut yapılandırmalarına tutarlı yönetim olmadan dağıldığında, saldırganlara sessiz bir davet haline geldiklerini göstermiştir. Bu sızdırılmış veya çalınan kimlik bilgileri saldırganlara uzlaşma için düşük sürtünmeli bir yol sunar.
Sızan API anahtarı veya NHI jetonu, meşruiyetini veya kullanım bağlamını doğrulamak için hiçbir mekanizma olmadan, geçerli bir oturum oluşturmak için kullanmaya çalışan herkesin geçerli bir oturum oluşturmak için izin verir. Sır, uzun ömürlü, aşırı bırakılan bir bot veya hizmet hesabına bağlıysa, saldırgan tüm bu güveni anında miras alır.
Sırlar amaçlarını aştığında sorun daha da güçlendirilmiştir. Yetim sırlar, unutulmuş ve asla hizmet dışı bırakılmayan, terk edilmiş CI/CD işleri veya tek seferlik projeler, sessizce, genellikle tehlikeli erişim seviyeleri ve sıfır görünürlük ile. Mülkiyet, son kullanma veya iptal süreçleri olmadan, gizli ve sebat arayan saldırganlar için ideal giriş noktaları haline gelirler.
Gitguardian sadece sızdırılmış olanları değil, tüm sırlarınızı envanter yapabilir
Sırlar sadece iki olası yerde yaşayabilir: ait oldukları, Sırlar Yönetimi kasasında güvenli bir şekilde saklandıkları veya başka bir yerde sızdırıldığı. İnsanların, içsel odaklanmış sırlar algılama teklifimiz ve genel izleme platformumuzla yıllarca olması gerektiği yerde sızan sırları bulmalarına yardımcı oluyoruz.
Şimdi, GitGuardian, çapraz çevre NHI envanter platformunuz olarak hareket edebilir ve tonozlarınızda hangi sırların olduğu konusunda görünürlük kazanmanıza yardımcı olabilir ve nasıl kullanıldıkları konusunda meta veriler. Gitguardian, menşe veya formattan bağımsız olarak, her sırın birleşik, bağlamsal bir envanteri oluşturur. İster Kubernetes aracılığıyla enjekte edilmiş, ister Ansible bir oyun kitabına gömülmüş veya Hashicorp gibi bir tonozdan alınmış olsun, her sır parmak izi ve izlenir.
Bu çapraz çevre farkındalığı, ekiplerin hızlı bir şekilde görmesini sağlar
- Hangi nhis anahtarları kamuya sızdı.
- Aynı sırlar için herhangi bir iç sızıntı gerçekleşirse.
- Birden fazla tonozda saklanan sırlar
- Sır uzun süredir yaşanırsa ve rotasyona ihtiyaç duyarsa
 |
| Politika ihlallerini ve risk puanlarını gösteren Gitguardian NHI Yönetişim Envanteri Gösterge Tablosu. |
En önemlisi, Gitguardian ayrıca “zombi” kimlik bilgilerini, yetkilendirme veya gözetim olmadan devam eden sırları tespit eder. Zengin meta veriler, yaratıcı atıf, gizli yaşam, izin kapsamı ve bağlam gibi, bu insan olmayan aktörler üzerinde yönetişimi güçlendirerek gerçek zamanlı envanter uyumunu ve hesap verebilirliği sağlıyor.
Bu görünürlük sadece operasyonel değil, stratejik. GitGuardian, tüm gizli kaynaklarda merkezi politika uygulanmasını sağlar ve reaktif sır tespiti proaktif kimlik yönetişimine dönüştürür. Gitguardian, NHIS ile sırları eşleştirerek ve son kullanma, rotasyon ve iptal gibi yaşam döngüsü politikalarını uygulayarak, keşif, atlama ve uygulama arasındaki döngüyü kapatır
Envanterin ötesinde ve NHI yönetişimine doğru
İnsan olmayan kimliklerin yükselişi kimlik manzarasını ve onunla birlikte saldırı yüzeyini yeniden şekillendirdi. Kimlik bilgileri sadece erişim anahtarları değildir. Sırlar, bir saldırganın verilerinize ve kaynaklarınıza zaten kalıcı erişimi olan bir kimlik varsaymasına izin veren mekanizmadır. Bu kimlik bilgilerinin yaşadığı yer, nasıl kullanıldıkları ve hala geçerli olup olmadıklarına dair görünürlük olmadan, kuruluşlar sessiz uzlaşmaya karşı savunmasız kalırlar.
 |
| Gitguardian’ın Sırlar Güvenliği + NHI Yönetişim = İnsan Olmayan Kimlik Güvenliği |
Sırlara modern iş yüklerinin UUID’leri olarak muamele edilmesi, ölçeklenebilir, platformlar arası NHI yönetişimine en açık yoldur. Ancak bu yaklaşım yalnızca tam resmi görebiliyorsanız çalışır: tonozlar, boru hatları, geçici altyapı ve aradaki her şey.
Gitguardian bu görünürlüğü sunar. Parçalı kimlik bilgisi yayılmasını birleşik, eyleme geçirilebilir bir envantere dönüştürüyoruz. NHI kimliğini doğrulayıcı sırrına sabitleyerek ve zengin meta veriler ve yaşam döngüsü kontrollerinde katmanlama yaparak Gitguardian, güvenlik ekiplerinin sorunları erken tespit etmesini, aşırı ödenek ve yetim kimlik bilgilerini tanımlamasını ve bir ihlal gerçekleşmeden önce iptali zorlamasını sağlar.
Karmaşık modern işletmelerin başarılı kimlik temelli saldırılar olasılığını azaltmasına yardımcı oluyoruz. Kimlik bilgileri izlendiğinde, kapsamlı ve gerçek zamanlı olarak yönetildiğinde, artık saldırganlar için düşük asılı meyve yoktur.
Size Gitguardian NHI güvenlik platformunun yetenekleri hakkında tam bir demo vermek ve NHIS ve Sırlar Güvenliğiniz hakkında benzersiz bir fikir edinmenize yardımcı olmak isteriz. Ve kendi başınıza keşfetmeyi tercih ederseniz, interaktif demomuzla Gitguardian rehberli bir tur yapın!
