Açık Web Uygulama Güvenlik Projesi Son zamanlarda yeni bir Top 10 projesi – İnsan Olmayan Kimlik (NHI) Top 10’u tanıttı. Yıllarca, OWASP güvenlik uzmanlarına ve geliştiricilere temel rehberlik ve eyleme geçirilebilir çerçeveler sağladı. Yaygın olarak kullanılan API ve Web Uygulama Güvenlik Listeleri.
İnsan dışı kimlik güvenliği, siber güvenlik endüstrisine, API anahtarları, hizmet hesapları, OAuth uygulamaları, SSH anahtarları, IAM rolleri, sırlar ve diğer makine kimlikleri ve iş yükü kimlikleri ile ilişkili riskleri ve gözetim eksikliğini kapsayan bir ilgiyi temsil eder.
Amiral gemisi OWASP Top 10 Projesi, geliştiricilerin odaklanması gereken çok çeşitli güvenlik risklerini kapsadığı düşünüldüğünde, biri sorulabilir – gerçekten NHI Top 10’a ihtiyacımız var mı? Kısa cevap – evet. Nedenini görelim ve en iyi 10 NHI riskini keşfedelim.
Neden NHI Top 10’a ihtiyacımız var
Diğer OWASP projeleri sırlar yanlış yapılandırma gibi ilgili güvenlik açıklarına değinebilirken, NHI’lar ve bunların ilişkili riskleri bunun çok ötesine geçer. NHI’lerden yararlanan güvenlik olayları sadece maruz kalan sırlar etrafında dönmez; Aşırı izinlere, OAuth kimlik avı saldırılarına, yan hareket için kullanılan IAM rollerine ve daha fazlasına kadar uzanırlar.
Önemli olsa da, mevcut OWASP Top 10 listesi mevcut NHI’lerin benzersiz zorluklarını düzgün bir şekilde ele almıyor. Sistemler, hizmetler, veriler ve AI temsilcileri arasındaki kritik bağlantı sağlayıcılar olan NHI’lar, geliştirme ve çalışma zamanı ortamlarında son derece yaygındır ve geliştiriciler geliştirme boru hattının her aşamasında onlarla etkileşime girer.
NHIS’i hedefleyen saldırıların artan sıklığı ile, geliştiricileri karşılaştıkları riskler için özel bir rehberle donatmak zorunlu hale geldi.
OWASP Top 10 Sıralama Kriterlerini Anlama
Gerçek risklere dalmadan önce, ilk 10 projenin arkasındaki sıralamayı anlamak önemlidir. OWASP Top 10 Projesi, risk şiddetini belirlemek için standart bir parametre setini takip eder:
- Sömürülebilirlik: Kuruluş yeterli korumadan yoksunsa, bir saldırganın belirli bir güvenlik açığından ne kadar kolay yararlanabileceğini değerlendirin.
- Darbe: Riskin iş operasyonlarına ve sistemlerine verebileceği potansiyel hasarı göz önünde bulundurur.
- Yaygınlık: Güvenlik sorununun farklı ortamlarda ne kadar yaygın olduğunu değerlendirerek mevcut koruyucu önlemleri göz ardı eder.
- Tespit edilebilirlik: Standart izleme ve algılama araçlarını kullanarak zayıflığı tespit etmenin zorluğunu ölçer.
OWASP NHI ilk 10 riskini yıkmak
Şimdi ete. NHI Top 10 listesinde yer alan en iyi riskleri ve neden önemli olduklarını keşfedelim:
NHI10: 2025 – NHI’nın İnsan Kullanımı
NHI’lar, insan müdahalesi olmadan otomatik süreçleri, hizmetleri ve uygulamaları kolaylaştırmak için tasarlanmıştır. Bununla birlikte, geliştirme ve bakım aşamaları sırasında, geliştiriciler veya yöneticiler, uygun ayrıcalıklara sahip kişisel insan kimlik bilgileri kullanılarak ideal olarak yürütülmesi gereken manuel işlemler için NHI’leri yeniden kullanabilirler. Bu, ayrıcalık kötüye kullanılmasına neden olabilir ve bu istismar anahtarı bir istismarın bir parçasıysa, kimin sorumlu olduğunu bilmek zordur.
NHI9: 2025 – NHI yeniden kullanımı
NHI yeniden kullanımı, ekipler aynı hizmet hesabını, örneğin birden fazla uygulamada yeniden kullandığında gerçekleşir. Uygun olsa da, bu en az ayrıcalık ilkesini ihlal eder ve tehlikeye atılan bir NHI durumunda birden fazla hizmet ortaya çıkarabilir – patlama yarıçapını arttırır.
NHI8: 2025 – Çevre İzolasyonu
Sıkı bir ortam izolasyonu eksikliği, NHIS’in üretime kanamasını test etmesine yol açabilir. Gerçek dünya örneği, test için kullanılan bir OAuth uygulamasının üretimde yüksek ayrıcalıklara sahip olduğu ve hassas verileri ortaya çıkardığı Microsoft’a giden gece yarısı Blizzard saldırısıdır.
NHI7: 2025 – uzun ömürlü sırlar
Uzun süreler için geçerli kalan sırlar önemli bir risk oluşturmaktadır. Dikkate değer bir olay, Microsoft AI’sını, iki yıldan fazla bir süredir aktif kalan ve 38 terabayt dahili veriye erişim sağlayan bir kamu Github deposunda bir erişim belirtecini ortaya çıkarmayı içeriyordu.
NHI6: 2025 – Güvensiz bulut dağıtım yapılandırmaları
CI/CD boru hatları doğal olarak kapsamlı izinler gerektirir, bu da onları saldırganlar için birincil hedefler haline getirir. Sabit kodlanmış kimlik bilgileri veya aşırı izin veren OIDC konfigürasyonları gibi yanlış yapılandırmalar, kritik kaynaklara yetkisiz erişime yol açabilir ve bunları ihlallere maruz bırakabilir.
NHI5: 2025 – Üstün ayrı NHI
Birçok NHI, zayıf sunum uygulamaları nedeniyle aşırı ayrıcalıklar verilmektedir. Yakın tarihli bir CSA raporuna göre, NHI ile ilgili güvenlik olaylarının% 37’si, uygun erişim kontrolleri ve en az privilge uygulamalarına acil ihtiyaçları vurgulayarak aşırı ayrı kimliklerden kaynaklandı.
NHI4: 2025 – Güvensiz kimlik doğrulama yöntemleri
Microsoft 365 ve Google Workspace gibi birçok platform, MFA’yı atlayan ve saldırılara duyarlı olan örtük OAuth akışları ve uygulama şifreleri gibi güvensiz kimlik doğrulama yöntemlerini hala desteklemektedir. Geliştiriciler genellikle bu eski mekanizmaların güvenlik risklerinden habersizdir, bu da yaygın kullanımlarına ve potansiyel sömürüsüne yol açar.
NHI3: 2025 – Savunmasız Üçüncü Taraf NHI
Birçok geliştirme boru hattı, gelişimi hızlandırmak, yetenekleri geliştirmek, uygulamaları izlemek ve daha fazlasını hızlandırmak için üçüncü taraf araçlara ve hizmetlere dayanmaktadır. Bu araçlar ve hizmetler, API anahtarları, OAuth uygulamaları ve hizmet hesapları gibi NHIS kullanarak doğrudan IDES ve kod depolarıyla entegre olur. Circleci, Okta ve GitHub gibi satıcıları içeren ihlaller, müşterileri kimlik bilgilerini döndürmeye zorlayarak, bu harici NHI’ları sıkıca izlemenin ve eşlemenin önemini vurgulamaya zorladı.
NHI2: 2025 – gizli sızıntı
Gizli sızıntı, genellikle saldırganlar için ilk erişim vektörü olarak hizmet eden en büyük endişe olmaya devam ediyor. Araştırmalar, kuruluşların% 37’sinin uygulamaları içinde sabit kodlanmış sırlara sahip olduğunu ve bu da onları birincil hedefler haline getirdiğini göstermektedir.
NHI1: 2025 – Yanlış Offlu Banka
En iyi NHI riski olarak sıralanan uygunsuz, bir çalışan ayrıldıktan sonra kaldırılmayan veya hizmet dışı bırakılmayan, bir hizmet kaldırıldı veya üçüncü bir tarafın sonlandırıldıktan sonra, devam eden NHI’ların yaygın gözetimini ifade eder. Aslında, kuruluşların% 50’sinden fazlasının NHI’lardan resmi bir süreçleri yoktur. Artık ihtiyaç duymayan ancak aktif olarak kalan NHI’lar, özellikle içeriden gelen tehditler için çok çeşitli saldırı fırsatı yaratır.
NHI güvenliği için standartlaştırılmış bir çerçeve
OWASP NHI Top 10, NHIS’in ortaya koyduğu benzersiz güvenlik zorluklarına ışık tutarak kritik bir boşluğu dolduruyor. Güvenlik ve geliştirme ekipleri, bu kimliklerin ortaya koyduğu risklerin ve bunların güvenlik programlarına nasıl dahil edileceği konusunda net, standart bir görüşe sahip değildir. Kullanımları modern uygulamalarda genişlemeye devam ettikçe, OWASP NHI Top 10 gibi projeler her zamankinden daha önemli hale geliyor.