API tuşları, jetonlar ve kimlik bilgileri gibi sırlar mesajlaşma uygulamaları, elektronik tablolar, CI/CD günlükleri ve hatta biletleri desteklemektedir. Entro Security’s’e göre NHI & Sırlar Risk Raporu H1 2025Botlar, Hizmet Hesapları ve Otomasyon Araçları dahil olmak üzere insan olmayan kimlikler (NHIS) artık kurumsal ortamlarda en hızlı büyüyen güvenlik riski kaynağıdır.
İnsan olmayan kimlik riski artan gizli pozlamalar
Ocak ve Haziran 2025 arasında Entro, NHIS’te yıllık% 44’lük bir artış gördü. Bu makine kimlikleri artık geçen yıl 92’den 1’e kadar insan olanları 144 ila 1’den fazla.
Her yeni bot yönetmek için daha fazla sır getirir. Ancak bu sırların çoğu unutulur, aşırı tükenir veya riskli yerlerde oturur. Bulut sağlayıcılarını, kod depolarını, CI/CD araçlarını ve SaaS platformlarını kapsayan Entro’nun telemetrisi net bir resim çiziyor: Sırlar her yerde ve çoğu korunmuyor.
Entro Security CEO’su Itzik Alvas, “Ajan yapay zeka ve otomasyon bir makine kimliği patlamasını körüklüyor, ancak bu NHI’ların çoğu görünmez, yönetilmeyen ve aşırı ayrıcalıklı. Göremediğinizi güvence altına alamazsınız ve saldırganlar bunu biliyor,” dedi Entro Security.
Artık sadece kod değil
Kaynak kodundaki sert kodlanmış sırlar hala en büyük parçaları (yüzde 57) oluştururken, tüm sızıntıların neredeyse yarısı şimdi başka bir yerden geliyor.
CI/CD iş akışlarından çeyrek sırlardan fazlası sızdı. GitHub Eylemleri, Jenkins ve Gitlab CI gibi araçlardan gelen kütükler genellikle yapılar ve testler sırasında jetonlar ve kimlik bilgileri yanlışlıkla çıktı. Büyük bir olay, Coinbase de dahil olmak üzere 23.000’den fazla depodan sırları sessizce birleştiren tehlikeye atılmış bir GitHub eylemini içeriyordu.
Mesajlaşma ve işbirliği araçları da büyüyen bir sorundur. Sızıntıların yaklaşık yüzde 14’ü Slack, Jira, Confluence ve Microsoft Teams gibi platformlardan geldi. Geliştiriciler, sorun giderme sırasında genellikle kimlik bilgilerini sohbetlere veya biletlere bırakır ve paylaşıldıktan sonra bu sırlar etrafta dolaşır.
Beklenmedik bir sıcak nokta SharePoint’dir. Otomatik onedrive senkronizasyonu sayesinde, gömülü sırları olan yerel dosyalar genellikle bulutta depolanır. Elektronik tablolar, SharePoint tabanlı tüm maruziyetlerin yarısından fazlasını oluşturan en kötü suçlulardır. CSV’ler, metin dosyaları, komut dosyaları ve hatta Word belgeleri de içine gömülü sırlarla ortaya çıktı.
Uzun ömürlü botlar, unutulmuş riskler
Raporda ayrıca bir yaşam döngüsü sorunu da vurgulamaktadır: makine kimlikleri ve sırlar emekli olmaz. Tüm aktif NHI’lerin neredeyse yarısı bir yaşın üzerindedir ve yüzde 7,5’i beş ila on yaş arasındadır. Her bin nhis’ten biri on yıldan daha eskidir.
Eski, yönetilmeyen hizmet hesaplarının bu artan nüfusu, insan olmayan kimlik riskinin zamanla nasıl izlenmesinin zorlaştığını göstermektedir. Düzenli incelemeler olmadan, bu unutulmuş kimlik bilgileri saldırı yüzeyini sessizce ve ısrarla genişletir.
Sırlar da zayıf yaşıyor. Aktif sırların yüzde 2,3’ü on yaşın üzerindedir, muhtemelen kod veya yapılandırma dosyalarına derinlemesine gömülmüş ve değiştirmek için çok riskli veya karmaşık olarak kabul edilir.
Daha da kötüsü, bu eski kimliklerin birçoğu boşta oturuyor, ancak yine de geniş izinleri var. Entro, AWS NHIS’in yüzde 62’sinin son 90 gün içinde herhangi bir aktivite göstermediğini buldu. Yaklaşık yüzde 9’unda hiç kullanmadıkları hizmetlere erişimi vardı, klasik bir aşırı koruma işareti. Ve tüm AWS makine kimliklerinin yüzde 5,5’inin tam yönetici erişimi vardı.
Güvenlik ekipleri ne yapabilir
Entro, kod dışındaki sırların, elektronik tablolarda veya gevşekliklerde olduğu gibi, kaynak kodundakilerle aynı ciddiyetle işlenmesini önerir. Bu, ofis dosyalarını, günlükleri ve biletleri kapsayacak şekilde gizli taramayı genişletmeyi ve mümkünse elde tutmayı sınırlamayı içerir.
NHI’ler için kuruluşlar eski veya kullanılmayan kimlikleri denetleyerek, gereksiz ayrıcalıkları kaldırarak ve mülkiyet ve son kullanma süresinin uygulanmasıyla başlamalıdır. Yönetici düzeyinde NHIS kilitlenmeli, izlenmeli ve sadece kesinlikle gerektiğinde kullanılmalıdır.