Le moderne reti aziendali sono ambienti altamente complessi che si basano su centinaia di app e servizi di infrastruttura. Questi sistemi devono interagire in modo sicuro ed efficiente senza costante supervisione umana, che è dove le identità non umane (NHIS). NHIS-compresi i segreti delle applicazioni, le chiavi API, i conti di servizio e i token OAuth-sono esplosi negli ultimi anni, grazie a una serie di app e servizi che devono lavorare insieme e identificarne un altro. In alcune imprese, NHIS ora supera le identità umane di quanto 50 a 1.
Tuttavia, NHIS introduce rischi unici e sfide di gestione che hanno chief di sicurezza in allerta. Il quarantasei percento delle organizzazioni ha sperimentato compromessi di conti o credenziali NHI nell’ultimo anno e un altro sospettato del 26% che hanno, secondo un Rapporto recente di Enterprise Technique Group.
Non c’è da meravigliarsi che NHIS – e le difficoltà che presentano con supervisione, riduzione del rischio e governance – sono state un argomento ricorrente presso il discussion board CISO di Okta. Qui, esploreremo i loro aumenti, rischi e come i CISO e i chief della sicurezza li gestiscono oggi.
L’ascesa spettacolare di NHIS
L’aumento di NHIS può essere ricondotto al crescente uso di servizi cloud, AI e automazione e flussi di lavoro digitali. È una tendenza che probabilmente continuerà, poiché sempre più compiti sono automatizzati e gli umani fanno meno parte dell’equazione.
NHIS consentono alle app di autenticarsi l’una all’altra, sia all’interno di un dominio specifico che con applicazioni di terze parti come i servizi cloud. Quei segreti, le chiavi e i token sono sensibili quanto le credenziali utilizzate dagli umani e, in alcuni casi, ancora di più, in quanto possono fornire agli avversari un potente accesso a applicazioni e servizi specifici se trapelano.
I CISO stanno prendendo atto. In effetti, oltre l’80% delle organizzazioni si aspetta Aumenta la spesa per la sicurezza dell’identità non umana.
Secondo Mark Sutton, CISO di Bain Capital, “Le identità non umane sono diventate al centro delle squadre basate sulla maturità dei loro programmi di identità e gestione degli accessi. Sta rapidamente diventando il prossimo incendio più caldo perché le persone hanno in qualche modo risolte identità utente. La progressione naturale è quindi iniziare a guardare gli account di servizio e le identità non umane machine-to-machine, comprese le API.”
In poche parole, una volta che le organizzazioni stabiliscono protocolli forti per garantire identità umane, il prossimo passo logico è affrontare NHIS. “Quella, e le identità non umane fanno parte del panorama delle minacce, ed è dove gli aggressori andranno in seguito.”
Perdita segreta e altri rischi di NHIS
Come qualsiasi altra serie di credenziali, gli NHIS sono sensibili e devono essere protetti. Ma mentre gli esseri umani possono impiegare misure di sicurezza solide come MFA o biometria per proteggere le credenziali sensibili, NHIS si basa spesso su misure meno sicure per l’autenticazione. Ciò può renderli facili bersagli per gli aggressori.
Anche la perdita di segreti NHI può essere una seria preoccupazione. Ciò può accadere in vari modi, sia che si tratti di codificarli nel codice sorgente di un’applicazione o di copiarli e incollare accidentalmente in un documento pubblico. La perdita segreta è un problema significativo e i segreti spesso si presentano nei repository di GitHub pubblici. In effetti, società di sicurezza Gitguardian ha trovato oltre 27 milioni di nuovi segreti Nei repository pubblici l’anno scorso. Ciò pone un problema ancora più grande se si considera che i segreti NHI non vengono ruotati molto spesso nella maggior parte degli ambienti, quindi la vita utile di un segreto trapelato potrebbe essere piuttosto lunga.
E, poiché spesso richiedono autorizzazioni ampie e persistenti per svolgere compiti, NHIS può accumulare autorizzazioni eccessive, aumentando ulteriormente la superficie di attacco. Tutto ciò rende NHIS un obiettivo principale per gli aggressori e una grande sfida per i CISO e le loro squadre di sicurezza.
Tre sfide che i Cisos affrontano nel garantire NHIS
Mentre i NHIS sono ora sul radar di Cisos, proteggerli è un’altra storia. Ecco tre sfide che stiamo ascoltando dai CISO e come li gestiscono:
- Guadagnare visibilità. Il più grande ostacolo nel tentativo di proteggere e gestire NHIS è in realtà trovarli. La visibilità su dove si trovano NHIS in un ambiente può essere limitata e scoprire tutto o anche la maggior parte di essi è un compito difficile. Molte organizzazioni hanno migliaia di NHIS che non sapevano nemmeno esistessero. Il vecchio adagio “Non puoi proteggere ciò che non sai” è vero qui. Ciò significa che scoprire e inventare NHIS è fondamentale. Implementazione di un Gestione della postura della sicurezza dell’identità La soluzione può aiutare gli amministratori e i professionisti della sicurezza a identificare NHIS attraverso la loro organizzazione.
- Priorità e riduzione del rischio. La prossima sfida è dare la priorità ai rischi associati all’NHIS nell’ambiente. Non tutti i NHIS sono creati uguali. Trovare il NHIS più potente e identificare NHIS troppo privilegiati è un passo fondamentale per garantire queste identità. Molti account di servizio e altri NHIS hanno molti più privilegi di quanto hanno effettivamente bisogno, il che può creare rischi per l’organizzazione. L’identificazione di NHIS di alto valore e adeguamento dei privilegi e delle autorizzazioni può aiutare a ridurre story rischio. “Si tratta di comprendere il raggio di esplosione associato a ciascuna identità non umana e chiedere” qual è il rischio? ” Non tutti i NHIS portano la stessa minaccia “, ha sottolineato Sutton.
- Stabilire governance. Con così tanti NHIS creati oggi, la governance è diventata una vera spina nella parte dei CISO. Ma quando non sono adeguatamente governati, possono accadere cose cattive: prendi, advert esempio, il Serie di violazioni dell’archivio Web legate a token non classificati Nell’ottobre 2024. Spesso, gli NHIS sono creati dagli sviluppatori per soddisfare le esigenze a breve termine, ma raramente sono tracciati o disattivati correttamente. Comprendere chi sta creando NHIS, come li stanno creando e per quale scopo è un buon primo passo. Quindi, i group di sicurezza devono stabilire un chiaro processo per gestirli in modo che le identità non umane non possano essere create arbitrariamente. “Dobbiamo pensare a quali sono le nostre politiche di autenticazione e password”, afferma Sutton. “Advert esempio, ci sono probabilmente molti account di servizio con password deboli e statiche che non sono stati ruotati da anni. Come possiamo assicurarci di gestire quelli?”
Pensieri finali
Le identità non umane sono essenziali per le aziende oggi, aiutandole a automatizzare i processi, abilitare integrazioni e garantire operazioni fluide. La sfida: sono difficili da garantire e sono un obiettivo allettante per gli attori delle minacce perché sono spesso non federati, mancano di IMF, usano credenziali statiche e hanno privilegi eccessivi.
Alla high quality della giornata, le identità non umane e le identità umane possono avere caratteristiche e esigenze numerous, ma entrambi richiedono un approccio end-to-end che li protegga prima, durante e dopo l’autenticazione. NHIS potrebbe non essere persone, ma sono attori sempre più potenti nel tuo ambiente. Ciò rende la protezione non facoltativa, ma urgente.
Unisciti al nostro webcast il 18 agosto Per imparare come le organizzazioni riducono il rischio e la complessità gestendo tutte le identità – umane o no – sotto un sistema unificato.
