Endüstriyel otomasyon devi ne zaman Schneider Electric ortaya çıktı Geçtiğimiz ay fidye yazılımı çetesi Hellcat’in 40 GB’lık hassas veriyi çaldığını bildiren saldırganlar, Schneider’in Jira sunucusuna sızmak için açığa çıkan kimlik bilgilerini kullandıklarını kabul etti.
Saldırganlar, şirketin proje yönetim sistemine girdikten sonra yaygın olarak kullanılan bir kimlik doğrulama eklentisi olan miniOrange REST API’yi kullanarak 75.000 e-posta adresi, çalışan adı ve müşteri kaydı da dahil olmak üzere 400.000 satırlık veriyi sızdırdı.
Bunun ve diğer düzinelerce olayın ortak noktası, saldırganların insan dışı kimliklerdeki (NHI’ler) güvenlik açıklarından yararlanmasıdır. Bireyler tarafından kimlik ve erişim yönetimi (IAM) kimlik bilgileri aracılığıyla kimlik doğrulaması için kullanılan insan kimliklerinin aksine, makine kimlikleri veya hizmet hesapları olarak da bilinen NHI’ler, uygulamalar, hizmetler ve Nesnelerin İnterneti (IoT) kurulumları tarafından makineler arası kimlik doğrulaması için kullanılır. makine iletişimi.
Tahmin edilebileceği gibi, yatırımcılar yeni kurulan şirketleri NHI riskini yöneten ve azaltan ürünlerle finanse ederken, daha yerleşik şirketler bu tür yetenekleri dahili olarak veya satın alma yoluyla ekliyor.
Astrix Güvenliği, Öne çıkan başlangıç NHI terimini yarattığını söyleyen şirket, bu ayın başlarında Menlo Ventures ve yapay zeka (AI) platform sağlayıcısı Anthropic liderliğindeki B Serisi fondan 45 milyon dolar topladı ve 2021’deki kuruluşundan bu yana toplam fonunu 85 milyon dolara çıkardı.
Astrix’in kurucu ortağı ve CEO’su Alon Jackson, “Bir yıl önce NHI terimi yoktu ve şimdi herkes onlar hakkında konuşuyor” diyor.
Astrix, platformunu, insan dışı kimlik tehditlerinin tespiti ve tepkisi, NHI yaşam döngüsü yönetimi, otomatik iyileştirme ve sır taraması dahil olmak üzere bir kimlik güvenliği duruş yönetimi (ISPM) araçları paketi olarak tanımlıyor.
NHI’lerin Savunmasız Olduğu Yerler
Tipik NHI’ler arasında API anahtarları, botlar, OAuth belirteçleri, veritabanı kimlik bilgileri, sertifikalar ve sırlar bulunur. Kuruluşlar son iki yılda bulut tabanlı uygulamaların, Nesnelerin İnterneti altyapısının ve en önemlisi yapay zeka tabanlı otomasyonun kullanımını hızlandırdıkça, NHI’ler daha endişe verici bir tehdit haline geldi.
IAM ve ayrıcalık erişim yönetiminin (PAM) aksine, NHI’leri merkezi olarak yöneten kuruluş sayısı azdır ve son kullanma tarihi olmayan aşırı izinlere sahip olma olasılıkları daha yüksektir.
Omdia kıdemli analisti Don Tait, “NHI’lerle ilgili, şifrelenmemiş kimlik bilgileri, NHI hesaplarının tam envanterine sahip olma, etkin olmayan hesaplar ve hesap sahibi olmama gibi çok sayıda sorun var” dedi. Kasım raporu.
Birçok CISO, NHI’lerin etkilerini yeni öğreniyor. Yakın zamanda Cloud Security Alliance (CSA) anketi 800’den fazla güvenlik ve BT uzmanının anketi, %24’ünün önümüzdeki altı ay içinde NHI güvenliğine yatırım yapmayı planladığını ve %36’sının bunu bir yıl içinde yapacağını buldu.
Ankete katılanların yarısından fazlası NHI’larla ilgili bir olay yaşamış olabileceğine inanıyor.
Astrix, yatırımcıların ilgisini çeken NHI keşif ve iyileştirme araçlarına sahip tek şirket değil. 2024’te A Serisi fon toplayanlar arasında şunlar yer alıyor: Aembit (25 milyon dolar), Giriş Güvenliği (18 milyon dolar) ve yakın zamanda keşfedilen Oasis Security (35 milyon dolar) MFA bypass kusuru Microsoft Azure.
NHI’leri korumaya yönelik en belirgin bahis Mayıs ayında oynandı. CyberArk ücretli Makine kimlik yönetimi sağlayıcısı Venafi’yi satın almak için 1,54 milyar dolar.
Enterprise Management Associates (EMA) araştırma başkan yardımcısı Christopher Steffen, “NHI gelişmeye devam ettikçe bu alandaki önemli satıcılar da gelişmeye devam ediyor” diyor.
Bu arada AppSec sağlayıcıları da tekliflerine NHI koruma özelliklerini ekliyor. GitHub ve diğer kaynak kod depolarında sızdırılan sırları tespit etmesi ve düzeltmesiyle tanınan GitGuardian, yakın zamanda GitGuardian NHI Governance’ı başlattı. GitGuardian yetkilileri bunu, NHI yaşam döngülerinin ve bunlarla ilgili sırların görünürlüğünü ve kontrolünü sağlayacak mevcut platformuna ek olarak tanımlıyor.
GitGuardian’ın ilk sürümü beş önemli gizli bilgi yönetimi platformuyla entegre olacak: HashiCorp Vault, CyberArk Conjur, AWS Secrets Manager, Google Cloud Secrets Manager ve Azure Key Vault.
NHI Güvenliğinin Rolü
CSA raporuna göre, kimlik bilgilerinin yeterince değiştirilmemesi, aşırı imtiyazlı hesaplar veya kimlikler ve yetersiz izleme ve kayıt tutma, güvenliği ihlal edilmiş NHI’leri içeren olayların yaygın nedenleri arasında yer alıyor.
GitGuardian ürün müdürü Soudanya Ain, “Kimliklerini talep etmek için makineler API anahtarları, OAuth belirteçleri, veritabanı kimlik bilgileri, kullanıcı adları ve şifreler ve sertifikalar gibi sırlar aracılığıyla kimlik doğrulaması yapıyor” dedi. blog yazısı. “Başarılı bir saldırının bir numaralı vektörü haline geldiler ve sıklıkla gözden kaçırılıyorlar.”
Schneider olayının yanı sıra, NHI Yönetim Grubu son iki yıl içinde insan dışı kimlik bilgilerinin tehlikeye atılmasıyla bağlantılı 40’tan fazla ihlal sayıyor; bunlara şunlar dahildir:
-
Microsoft’un Gece yarısı kar fırtınasıBu, saldırganların yükseltilmiş ayrıcalıklara sahip eski bir test OAuth uygulamasına erişmesine ve bu uygulamayı ihlal etmesine olanak sağladı.
-
Kar tanesi Santander Bank ve Ticketmaster da dahil olmak üzere çeşitli müşterilerini tehlikeye atan ihlal.
-
Geçen yaz GitHub şantajı Güvenilir üçüncü taraf entegrasyonlarını ihlal etmek için kötü amaçlı OAuth uygulamalarını kullanan tehdit aktörlerinin saldırıları.
-
Yapay zeka modelleri oluşturan geliştiriciler için popüler Hugging Face açık kaynaklı API deposundan ve diğer kaynaklardan kimlik doğrulama belirteçleri de dahil olmak üzere sırları çalan bir saldırganın gerçekleştirdiği ihlal.
Gelecek yıl, yapay zekanın daha fazla iş sürecini otomatikleştirmesiyle birlikte NHI’lerin risklerinin ve bunların insan kimliklerine olan oranının da artması bekleniyor. Omdia’dan Tait, NHI’lerin insan kimliklerine oranının mevcut sektör tahminlerinin 50:1 olduğunu belirtti.
“Bu rakamın ileriye doğru artması muhtemel” diye yazdı.
Omdia’nın siber güvenlik uygulamasının kıdemli yöneticisi Maxine Holt, Dark Reading tarafından Aralık ayında düzenlenen bir web seminerinde konuşurken, “NHI büyümesinin daha da hızlanmasını bekliyoruz” diye ekledi.
Holt, yönetilmeyen NHI’lerin tehdit ortamını daha da artıracağı konusunda uyardı.
“Bu kimlikler, yönetimin farklı hizmetler arasında güvenli iletişimi sağlamasını, yetkisiz erişimi önlemesini ve hesap verebilirliği kolaylaştırmasını gerektiriyor” dedi. “Elbette orada da denetim izine ihtiyacımız var. İnsan olmayan kimlikleri siber tehdit zincirinde hayati bir halka olarak tanımanın gerçekten önemli olduğuna inanıyoruz.”
CSA anketine göre katılımcıların %69’u NHI’lerin bir tehdit vektörü olmasından endişe duyduklarını belirtirken, %38’i kuruluşlarının OAuth uygulamalarıyla bağlanan üçüncü taraflara karşı görünürlüğünün düşük olduğunu veya hiç olmadığını bildirdi. Yalnızca %20’sinin API anahtarlarını iptal etmeye yönelik resmi bir süreci var ve daha da azının bunları döndürmeye yönelik prosedürleri var.
CSA’nın küresel araştırma başkan yardımcısı John Yeoh, Eylül ayında halka açık bir toplantıda, “NHI güvenliğini daha iyi anlama ve bunları ele alma yönünde kesinlikle bir eğilim var” dedi.. “Biz sadece NHI alanının patlamasını ve daha da ileri gitmesini bekliyoruz.”
NHI’leri ve İnsan Kimliklerini Harmanlamak
Mevcut NHI platformları grubu, Microsoft, Okta, Ping Identity, JumpCloud, CyberArk, BeyondTrust ve OneLogin’in IAM ve PAM sistemleri tarafından yönetilen, insan kimlik bilgileri için değil makine kimlikleri için tasarlanmıştır.
Astrix’ten Jackson, yeni finansman turunun kısmen insan kimlikleriyle entegrasyonu genişletmeye yönelik olacağını söyledi.
Jackson, “Müşterilerimiz, insan ve insan olmayan kimliklerin 360 derecelik bir görünümünü istiyor” diyor. “Fakat NHI alanında üstünlüğümüzü koruyacağız. Bu sadece duruş yönetimi veya anormallik tespiti değil, aynı zamanda bağlantıları güvenli bir şekilde oluşturmaktır.”
Uygulama güvenliği ve platform mühendisliği ekipleriyle ilgilenen GitGuardian’ın da gizli kasalarından IAM platformlarına bağlantılar sağlama konusunda benzer bir hedefi var.
Şirketin baş ürün müdürü Pierre Le Clézio “Plan bu” diyor. “Ama henüz değil. Gizli yöneticilerle ve bu ekosistemle başlıyoruz, ardından IAM sistemlerine sahip olacağız.”
Birleşme ve Satın Alma Etkinliğini Tahmin Edin
EMA’dan Steffen, NHI güvenliği gelişmeye devam ettikçe önemli sağlayıcıların da gelişeceğini söylüyor.
“Daha büyük teknoloji oyuncularının bu alana atlaması çok muhtemel görünüyor” diyor. “Birçoğunun halihazırda Wiz ve Palo Alto Networks gibi tamamlayıcı teklifleri var ve ya satın alma yoluyla ya da kendi çözümlerini geliştirerek NHI’ya atlıyorlar.”
Steffen ayrıca Ping ve Okta gibi kimlik sağlayıcıların da NHI’ya yöneleceğini öngörüyor.
“Halihazırda çoğu kuruluş için NHI’yi geliştirecek altyapı ve araçlara sahipler, ayrıca kimlik çözümlerinde de pazara liderlik ediyorlar.”
Omdia’dan Holt ayrıca birleşme ve satın alma faaliyeti öngörüyor.
“Gelişen tehdit ortamı, hem insan hem de insan olmayan kimlikleri üstlenen kapsamlı ürün ve çözümlere doğru bir geçişi gerçekten gerektiriyor” dedi. “Ancak pazar hala gelişiyor. Oyuncuların çoğu yeni kurulan şirketlerden oluşuyor. 2025 yılında insan olmayan kimliklerin yönetimi için platform desteğine doğru daha fazla ilerleme ve daha fazla satın alma görmeyi bekliyoruz.”