如今，非人類（Non-humans）身份可謂無處不在。日常生活中，每天都有很多的非人類實體與我們互動：智能恒溫器程序會在特定時間為房子降溫；手機(jī)上的應(yīng)用程序會向用戶推薦搜索過的信息等等。非人類身份已經(jīng)滲透到我們生活的方方面面，囊括個人生活和職業(yè)生涯。

事實上，根據(jù)CyberArk的研究數(shù)據(jù)顯示，機(jī)器身份與人類身份的比值是45:1。隨著越來越多的公司進(jìn)行數(shù)字化轉(zhuǎn)型，機(jī)器人流程自動化（RPA）工作負(fù)載中的機(jī)器人和在云中運行的微服務(wù)等機(jī)器身份正在以指數(shù)級的速度增長。它們正在自動化許多繁復(fù)的任務(wù)，并提高許多功能的操作效率。這些非人類身份依賴于秘密（包括密碼、SSH密鑰和API密鑰）來訪問關(guān)鍵資源并完成其工作。這些秘密需要得到保護(hù)，就像人類的特權(quán)證書一樣。

下面，我們將介紹在組織中可能存在的七種最常見的非人類身份，以及在涉及秘密管理時每種類型面臨的安全挑戰(zhàn)及防護(hù)建議。

七種最常見的非人類身份

1. 云環(huán)境和云原生應(yīng)用

許多組織使用多個云服務(wù)提供商（CSP）來維持價格控制、實現(xiàn)靈活性并避免云供應(yīng)商鎖定。每個CSP都有自己的存儲、訪問和管理秘密的方法。此外，在這些平臺中構(gòu)建的云原生應(yīng)用程序使用CI/CD進(jìn)程不斷更新，并且經(jīng)常使用秘密與云環(huán)境中的其他微服務(wù)通信以運行。當(dāng)涉及到云計算時，要解決的主要問題是確保組織的安全性與開發(fā)人員工作的環(huán)境一樣靈活和動態(tài)。

安全挑戰(zhàn)：

• 開發(fā)人員需要能夠動態(tài)地、大規(guī)模地工作。
• 開發(fā)人員可以走捷徑（例如，硬編碼秘密）或跳過安全需求。
• 遵從性障礙可能是由于不滿足公司安全需求而造成的。
• 底層DevOps工具和容器平臺可能缺乏安全性。
• 代碼存儲庫可能會意外地暴露秘密和云訪問密鑰，如阿斯利康事件，通過GitHub上的憑據(jù)暴露了對敏感患者數(shù)據(jù)的訪問。

防護(hù)建議：

在云中工作時，為了應(yīng)對這些挑戰(zhàn)，安全團(tuán)隊?wèi)?yīng)該找到一種方法來無縫地管理云原生應(yīng)用程序的秘密。此外，對于在多云或混合環(huán)境中運行的組織，基于SaaS的集中式解決方案可以幫助安全團(tuán)隊跨多個云管理秘密，并為應(yīng)用程序提供云可移植性，因此開發(fā)人員不必?fù)?dān)心代碼更改，如果他們稍后轉(zhuǎn)移到不同的云實例，安全團(tuán)隊也可以從單一窗格中工作。

2. DevOps工具、CI/CD管道和軟件供應(yīng)鏈

DevOps工具通常需要高級別的特權(quán)訪問才能執(zhí)行其任務(wù)。因此，CI/CD管道和其他DevOps工具被稱為“零層”（Tier Zero）資產(chǎn)，這意味著如果攻擊者獲得了對這些資產(chǎn)的訪問權(quán)限，他們就可以訪問更多的特權(quán)憑據(jù)。軟件開發(fā)生命周期變化很快，如果DevOps團(tuán)隊沒有充分意識到必要的安全措施，那么其中使用的工具可能會成為一個很大的漏洞。

安全挑戰(zhàn)：

• 安全必須左移更早的開發(fā)周期中。
• DevOps管理員和開發(fā)人員可能會選擇使用內(nèi)置的秘密管理功能，從而導(dǎo)致秘密或vault蔓延。
• 一旦工具被攻破，攻擊者可能會升級訪問權(quán)限，例如CircleCI漏洞。

防護(hù)建議：

當(dāng)談到保護(hù)DevOps工具時，安全需要“左移”，與開發(fā)人員合作，并確保秘密不會意外暴露，例如通過刪除硬編碼和默認(rèn)密碼，或頻繁輪換密碼并啟用多因素身份驗證—所有這些都不會減慢開發(fā)速度。此外，考慮到所使用的DevOps工具數(shù)量，開發(fā)人員和DevOps管理員應(yīng)該意識到vault蔓延的風(fēng)險，并努力集中秘密管理。

3. 自動化工具和腳本

自動化工具和腳本功能強大，可以執(zhí)行復(fù)雜的IT和其他相關(guān)任務(wù)。但是它們也可以非常簡單，例如不經(jīng)常使用的基本PowerShell腳本。雖然這些簡單的腳本可能不會成為一個大的漏洞，但這些自動化工具和腳本通常需要高級別的特權(quán)訪問，并且在過去已經(jīng)引發(fā)了一些引人注目的漏洞。

安全挑戰(zhàn)：

• 腳本經(jīng)常使用嵌入的硬編碼憑據(jù)，并且可以發(fā)布到存儲庫中。
• 由于腳本的簡單性，它們可能會被誤以為不構(gòu)成安全漏洞。
• 易于復(fù)制和不經(jīng)常使用使得腳本難以跟蹤。
• 一些自動化工具具有內(nèi)置（本地）秘密管理功能，可能導(dǎo)致秘密和vault蔓延。
• 即便只是基本工具，攻擊者仍然可以利用高價值的憑據(jù)，例如2022年優(yōu)步的漏洞。

防護(hù)建議：

安全性需要積極、徹底地審核，以防止在自動化工具和腳本中使用硬編碼憑據(jù)，并建立定期輪換憑據(jù)的策略，以便如果憑據(jù)在腳本中硬編碼，它們很快就會失效。腳本的一大挑戰(zhàn)是它們很容易被復(fù)制和共享，因此如果腳本包含嵌入式憑據(jù)，就會很快失去控制。

在基礎(chǔ)級別上，所有腳本和自動化工具都應(yīng)該從集中式秘密管理解決方案獲得必要的憑據(jù)，該解決方案使安全團(tuán)隊能夠使用這些憑據(jù)查看工具。然后，集中式解決方案可以實施最佳實踐和策略，例如零信任、即時訪問、職責(zé)隔離，如果有需要，還可以使用多因素身份驗證強制人工批準(zhǔn)。

4. COTS和ISV應(yīng)用

商用現(xiàn)貨（COTS）和獨立軟件供應(yīng)商（ISV）應(yīng)用程序都需要高級別的特權(quán)訪問才能完成它們的工作。因為這些應(yīng)用程序不屬于公司所有，它們有一些獨特的安全需求應(yīng)該得到解決，包括確保它們與組織的安全工具集成。

安全挑戰(zhàn)：

• 這些應(yīng)用程序需要供應(yīng)商開發(fā)的集成。
• 它們很容易受到供應(yīng)商軟件供應(yīng)鏈和CI/CD過程中的缺陷的影響。
• 高級別訪問意味著如果它們被攻擊者破壞，就會發(fā)生高水平的暴露。
• 存儲在業(yè)務(wù)應(yīng)用程序中的個人信息可能會在數(shù)據(jù)泄露中暴露。

防護(hù)建議：

由于這些應(yīng)用程序的關(guān)鍵特性，安全團(tuán)隊必須控制對這些應(yīng)用程序的訪問。輪換憑據(jù)是一個關(guān)鍵步驟，這可以通過與秘密管理解決方案的開箱即用集成來完成。此外，實現(xiàn)即時訪問可以確保這些應(yīng)用程序只能在需要的時間點訪問完成工作所需的數(shù)據(jù)或系統(tǒng)。例如，當(dāng)漏洞掃描程序需要掃描網(wǎng)絡(luò)時，它可以從vault中提取必要的憑據(jù)，并在掃描所需的時間段內(nèi)使用它。然后，當(dāng)掃描完成時，vault可以收回該憑據(jù)。這樣，如果漏洞掃描程序被攻破，攻擊者將無法訪問有價值的網(wǎng)絡(luò)資源。

5. 機(jī)器人流程自動化（RPA）工作負(fù)載

RPA機(jī)器人幫助開發(fā)和運營團(tuán)隊（以及其他“公民開發(fā)人員”）自動化了許多繁復(fù)的任務(wù)，加快了工作流程。但是，這些機(jī)器人的手動憑據(jù)輪換無法擴(kuò)展，特別是當(dāng)一個組織使用大量無人值守的機(jī)器人而非人類主管時。安全團(tuán)隊面臨的最大挑戰(zhàn)是需要確保他們在啟用RPA速度的同時，還需要集中管理策略以保持遵從性并防御攻擊。

安全挑戰(zhàn)：

• 手動輪換和管理流程無法擴(kuò)展。
• 安全性可能被視為部署或操作效率需求的障礙。
• 安全性需要易于使用的集成，以最大限度地減少安全問題并加快部署。

防護(hù)建議：

安全團(tuán)隊需要確保他們在啟用RPA速度的同時，還需要集中管理策略以保持遵從性并防御攻擊。集中和自動化RPA機(jī)器人的秘密管理可以允許安全團(tuán)隊在不延遲部署的情況下進(jìn)行大規(guī)模工作。憑據(jù)可以自動輪換，并且所有機(jī)器人憑據(jù)都可以從單個窗格中查看。這為安全和運營團(tuán)隊提供了更好的可視性，特別是在無人值守的機(jī)器人上。

6. N層（N-Tier）/靜態(tài)自定義應(yīng)用程序

雖然上述許多應(yīng)用程序都利用了更新的數(shù)字創(chuàng)新，如云和自動化，但大多數(shù)組織仍然依賴于各種內(nèi)部開發(fā)的應(yīng)用程序。這些應(yīng)用程序包括各種傳統(tǒng)環(huán)境（如Java）和操作系統(tǒng)（包括Unix/Linux），并且由于它們是本地托管的，因此它們可能對其他類型的身份構(gòu)成一些不同的挑戰(zhàn)。

安全挑戰(zhàn)：

• 憑據(jù)是硬編碼或本地存儲的，一旦泄露就會帶來風(fēng)險。
• 這些應(yīng)用程序使用的憑據(jù)有時無法自動輪換。
• 訪問權(quán)限需要更好地定制，因為這些應(yīng)用程序可能被過度許可。
• 它們需要輕松地連接到其他系統(tǒng)和應(yīng)用程序。

防護(hù)建議：

對于這些應(yīng)用程序，安全團(tuán)隊必須根據(jù)策略輪換秘密，同時保持這些關(guān)鍵應(yīng)用程序運行，以滿足高可用性和業(yè)務(wù)連續(xù)性需求。發(fā)現(xiàn)和刪除任何硬編碼憑據(jù)是關(guān)鍵，將秘密保存在中央位置以提高可見性也是關(guān)鍵。與集中式秘密管理解決方案的開箱即用集成可以使安全團(tuán)隊更容易地管理權(quán)限。

7. 大型機(jī)應(yīng)用程序

與N層應(yīng)用程序一樣，托管在大型機(jī)（如zOS）上的應(yīng)用程序仍然被企業(yè)廣泛用于特定用例。這些是企業(yè)中最關(guān)鍵的應(yīng)用程序，確保這些應(yīng)用程序不會出現(xiàn)中斷或其進(jìn)程不會被安全過程中斷，這一點至關(guān)重要。

安全挑戰(zhàn)：

• 憑據(jù)輪換可能會中斷大容量事務(wù)。
• 憑據(jù)是硬編碼或本地存儲的，一旦泄露就會帶來風(fēng)險。
• 需要高水平的可靠性。

防護(hù)建議：

對于這些身份，安全團(tuán)隊必須仔細(xì)管理秘密，同時確保不會中斷重要的任務(wù)和流程。自動輪換與秘密管理工具是可行的，同時堅持雙重密碼結(jié)構(gòu)。就像N層/靜態(tài)本地應(yīng)用程序一樣，安全團(tuán)隊?wèi)?yīng)該確保沒有硬編碼或本地存儲的秘密，并確保他們對需要完成的任務(wù)有適當(dāng)?shù)脑L問權(quán)限。

非人類身份安全現(xiàn)狀：攻擊案例及教訓(xùn)

與所有人一樣，威脅行為者也在尋找阻力最小的路徑，而在2023年，這條路徑似乎是非人類身份。下面，我們將盤點2023年最重大的5起非人類身份訪問事件及其經(jīng)驗教訓(xùn)，以幫助組織更好地認(rèn)識此類威脅并制定防御策略。

1.Sumologic

2023年11月，Sumologic發(fā)現(xiàn)一個被盜用的憑據(jù)被用來訪問公司的AWS賬戶。然后，他們輪換了暴露的AWS憑據(jù)，鎖定了可能受影響的基礎(chǔ)設(shè)施，并報告稱，他們沒有檢測到對客戶數(shù)據(jù)的未經(jīng)授權(quán)訪問。盡管如此，該公司仍然建議客戶立即輪換所有Sumologic API訪問密鑰。

吸取的教訓(xùn)：從Sumologic對這次事件的反應(yīng)中可以看出，即使從理論上講，漏洞已經(jīng)被控制住了，響應(yīng)工作仍然是非常重要的。正是因為公司采取了非常強有力的保護(hù)措施，才將事件的影響降至最低。由此可見，能夠持續(xù)清點非人類訪問和監(jiān)測行為，對于盡量減少緩解成本和此類事件的潛在影響至關(guān)重要。

2.微軟SAS密鑰

2023年9月，微軟人工智能研究人員發(fā)布的SAS令牌實際上授予了對創(chuàng)建該令牌的整個存儲帳戶的完全訪問權(quán)限，導(dǎo)致超過38TB的極度敏感信息泄露。更糟糕的是，這些權(quán)限暴露給了攻擊者超過2年。

吸取的教訓(xùn)：即使是最大的公司也會受到秘密泄露的攻擊。即使在秘密應(yīng)該公開的情況下，也應(yīng)該采取極致的預(yù)防措施，以確保它不被暴露或濫用。

3.Okta

2023年10月，攻擊者使用竊取的服務(wù)帳戶訪問Okta的支持案例管理系統(tǒng)。這使得攻擊者可以查看所有Okta客戶上傳的文件，這些文件通常包括個人信息、詳細(xì)信息，最重要的是憑據(jù)和會話令牌。

吸取的教訓(xùn)：服務(wù)帳戶是一種非常常見的非人類訪問類型。它們對于攻擊者來說也是非常有利可圖的，因為大多數(shù)適用于用戶訪問的安全措施（如MFA、SSO、CASB等）并不適用于服務(wù)帳戶。這意味著當(dāng)涉及到服務(wù)帳戶時，安全性必須使用最低權(quán)限權(quán)限和動態(tài)監(jiān)視。

4.CircleCI

2023年1月，CircleCI員工的計算機(jī)被惡意軟件入侵，允許威脅行為者訪問并竊取CircleCI會話令牌。由于工程員工擁有生成生產(chǎn)訪問令牌的特權(quán)，因此威脅參與者能夠升級特權(quán)，以訪問并從客戶環(huán)境變量、令牌和密鑰中竊取數(shù)據(jù)。

吸取的教訓(xùn)：供應(yīng)鏈攻擊是最突出的攻擊類型之一，修復(fù)它們是一個困難的過程，因為非人類身份不容易管理和保護(hù)。這就要求組織擁有一個能夠持續(xù)盤點、監(jiān)控和分析所有非人工訪問的自動工具，以允許安全團(tuán)隊檢測可疑行為并快速找到需要輪換或刪除的所有憑據(jù)。

5.微軟365偽造訪問令牌

2023年7月，一個不活躍的主簽名密鑰從一臺受損的微軟員工設(shè)備中被盜，并被用于簽名和創(chuàng)建有效的電子郵件訪問令牌。這些令牌被Azure AD云系統(tǒng)錯誤地接受，從而被其Outlook Exchange服務(wù)器錯誤地接受。這使得攻擊者可以訪問使用微軟Azure Active Directory和Office 365的組織的數(shù)據(jù)，包括電子郵件通信、文件、聊天等。

吸取的教訓(xùn)：從用于身份驗證、電子郵件和存儲的本地服務(wù)器轉(zhuǎn)向云原生解決方案，已經(jīng)席卷了全球的組織。這甚至包括傳統(tǒng)的老式組織，如政府機(jī)構(gòu)。然而，正如我們現(xiàn)在所知道的，它不是沒有風(fēng)險的。完全信任云供應(yīng)商來保證數(shù)據(jù)安全，將使公司和組織面臨更多的攻擊媒介，而非人類訪問正成為威脅參與者的最愛。

2024年是非人類身份安全的一年

非人類訪問是云計算采用和自動化的直接結(jié)果————這兩種趨勢都有助于增長和效率，并且應(yīng)該會在2024年及以后繼續(xù)下去。然而，這些趨勢也使組織達(dá)到了這樣一種狀態(tài)：每1000名員工有10,000個非人類身份連接，其中大多數(shù)不受管理，進(jìn)而導(dǎo)致了我們在上文介紹的攻擊。

這里有五個技巧可以幫助組織更好地保護(hù)非人類身份及其在組織中使用的秘密：

• 將秘密管理與現(xiàn)有工具和應(yīng)用程序集成。正如我們所提到的，現(xiàn)在有很多工具可以用來訪問秘密。將解決方案直接與這些不同的工具集成有助于簡化安全應(yīng)用程序的秘密管理。
• 集中式秘密管理，減少秘密蔓延。一個集中的平臺意味著只需要支持一個程序，來獲取所需的廣泛可見性。集中式解決方案還減少了未經(jīng)授權(quán)的應(yīng)用程序訪問以及相關(guān)的數(shù)據(jù)盜竊和泄露的可能性，并且為審計和記錄提供了一個單一的位置。
• 自動化安全功能以提高操作效率。自動化意味著像輪換、審計和數(shù)據(jù)收集這樣的任務(wù)可以在后臺運行，而不是在可能破壞工作流程的地方運行。
• 為開發(fā)人員提供簡單的安全性-并提供易于使用的選項。通過為應(yīng)用程序團(tuán)隊提供工具來保持他們的速度，而非減慢他們的部署。開發(fā)人員希望找到阻力最小的途徑，而與他們已經(jīng)使用的解決方案無縫集成的自助服務(wù)工具可以確保滿足安全需求，同時不會讓開發(fā)人員感到沮喪。理想情況下，安全團(tuán)隊可以為開發(fā)人員提供秘密管理工具，以滿足開發(fā)人員的需求，并避免改變開發(fā)人員的經(jīng)驗和工作流。
• 優(yōu)先考慮要保護(hù)的應(yīng)用程序。許多CISO希望保護(hù)所有應(yīng)用程序類型，但這是一個循序漸進(jìn)的過程。安全團(tuán)隊必須選擇從哪里開始，然后在此基礎(chǔ)上進(jìn)行構(gòu)建。在創(chuàng)建秘密管理路線圖時，組織需要弄清楚要處理哪些應(yīng)用程序以及以何種順序處理。組織可以根據(jù)感知到的業(yè)務(wù)風(fēng)險、紅隊演習(xí)期間發(fā)現(xiàn)的漏洞，或?qū)σ阎┒春桶踩录捻憫?yīng)，對應(yīng)用程序進(jìn)行排序。

原文鏈接：

• https://www.csoonline.com/article/652144/the-7-types-of-non-human-identities-to-secure.html
• https://astrix.security/top-5-non-human-access-attacks-of-2023/