當(dāng)前網(wǎng)絡(luò)安全行業(yè)的流行語“身份是新的邊界”、“黑客不入侵，他們登錄”等，凸顯了身份和訪問管理（IAM）在當(dāng)今網(wǎng)絡(luò)安全中的重要性。

根據(jù)Verizon數(shù)據(jù)泄露調(diào)查報告，憑據(jù)泄露是導(dǎo)致數(shù)據(jù)泄露的主要攻擊向量，傳統(tǒng)網(wǎng)絡(luò)邊界理論已經(jīng)失效。業(yè)界對IAM的普遍重視正推動整個網(wǎng)絡(luò)安全行業(yè)向零信任架構(gòu)邁進(jìn)。

但是IAM有一個致命的盲區(qū)：非人類身份（NHI）。當(dāng)數(shù)字系統(tǒng)需要訪問和權(quán)限時，它們也需要憑據(jù)，就像人類一樣。這些非人類身份（NHI）允許復(fù)雜系統(tǒng)的許多組件協(xié)同工作，但同時也帶來了重大的安全問題。

IAM通常關(guān)注如何保護(hù)用戶名和密碼以及與人類用戶相關(guān)的身份。但相比人類身份，NHI（與應(yīng)用程序、設(shè)備或其他自動化系統(tǒng)相關(guān)的數(shù)字和機(jī)器憑據(jù)）的訪問范圍要大得多。

非人類身份數(shù)量遠(yuǎn)超人類身份

一些組織發(fā)現(xiàn)，每1000名人類用戶，通常有1萬個非人類連接或憑據(jù)。在某些情況下，NHI的數(shù)量可能是人類身份的50倍。

NHI包括服務(wù)賬戶、系統(tǒng)賬戶、IAM角色和其他用于企業(yè)身份驗證活動的機(jī)器身份，主要圍繞API密鑰、令牌、證書和機(jī)密信息展開。

在云原生時代，機(jī)密信息管理面臨的挑戰(zhàn)迅速增加。對公共GitHub存儲庫的掃描發(fā)現(xiàn)了數(shù)百萬個機(jī)密信息，三星等公司的數(shù)據(jù)泄露事件更是泄露了數(shù)以千計的機(jī)密信息。

NHI對機(jī)器間訪問和身份驗證至關(guān)重要

每種身份類型都有其獨(dú)特的方式來管理NHI的使用，以進(jìn)行機(jī)器間的訪問和身份驗證。NHI不僅數(shù)量龐大，其治理更加復(fù)雜，因為它們存在于整個企業(yè)內(nèi)的不同工具、服務(wù)和環(huán)境中，安全部門通常難以全面監(jiān)控和控制其安全使用或整個生命周期。

安全團(tuán)隊面臨巨大挑戰(zhàn)

安全團(tuán)隊投入大量精力和資源來保護(hù)人類憑據(jù)和身份，如配置、最小權(quán)限訪問控制、范圍設(shè)定、停用和多因素認(rèn)證（MFA）等強(qiáng)大安全措施。

然而，企業(yè)內(nèi)部和外部的NHI由于其規(guī)模和不透明性（包括第三方服務(wù)提供商、合作伙伴和環(huán)境等），安全管理難度呈指數(shù)級增長。

開發(fā)人員、工程師和最終用戶經(jīng)常創(chuàng)建NHI并授予其訪問權(quán)限，但他們可能并不深刻理解這些長期憑據(jù)的影響、訪問級別以及惡意行為者可能利用這些憑據(jù)的潛在風(fēng)險，而這一過程中通常沒有安全團(tuán)隊的治理或參與。

OAuth推動NHI訪問

NHI是企業(yè)環(huán)境中活動、工作流和任務(wù)的核心推動力，廣泛使用的OAuth等在線授權(quán)標(biāo)準(zhǔn)在其中發(fā)揮了重要作用。OAuth可以用于為各種客戶端類型（如基于瀏覽器的應(yīng)用程序、移動應(yīng)用程序、連接設(shè)備等）提供委托訪問。

OAuth使用訪問令牌，這些數(shù)據(jù)用于代表企業(yè)或其他用戶訪問資源。OAuth利用核心組件來促進(jìn)這一活動，包括資源服務(wù)器、資源所有者、授權(quán)服務(wù)器和客戶端。

軟件供應(yīng)鏈攻擊日益猖獗

OAuth的使用存在潛在問題，特別是在處理外部服務(wù)（如SaaS）時，最終用戶無法控制這些OAuth令牌的存儲方式。這些都由外部服務(wù)提供商或應(yīng)用程序處理。

這本身并非問題，但我們知道軟件供應(yīng)鏈攻擊正在增加。攻擊者已經(jīng)意識到，針對廣泛使用的軟件供應(yīng)商比單獨(dú)攻擊一個個人或客戶組織更為有效。

這些攻擊不僅集中在廣泛使用的開源軟件組件上，如Log4j和XZ Utils，還針對世界上最大的軟件公司，如Okta、GitHub和微軟。微軟攻擊事件涉及國家級黑客濫用Microsoft Office 365及其OAuth使用。

NHI正在成為熱門攻擊目標(biāo)

供應(yīng)鏈攻擊日益猖獗不僅強(qiáng)調(diào)了保護(hù)NHI的必要性，也強(qiáng)調(diào)了組織制定強(qiáng)有力的SaaS治理計劃的必要性。大多數(shù)組織可能僅使用兩到三個IaaS提供商，但卻使用了數(shù)百個SaaS提供商，通常不在內(nèi)部安全團(tuán)隊的監(jiān)控范圍內(nèi)，缺乏對訪問級別、數(shù)據(jù)類型或外部SaaS提供商在遭受軟件供應(yīng)鏈攻擊時的可見性。

NHI在重大的網(wǎng)絡(luò)安全事件中經(jīng)常扮演重要角色，甚至進(jìn)入了美國證券交易委員會的8-K文件，例如Dropbox最近提交的一份文件中指出：“攻擊者入侵了DropboxSign后端的一個服務(wù)賬戶，這是一種用于執(zhí)行應(yīng)用程序和運(yùn)行自動服務(wù)的非人類賬戶?！?/p>

這表明NHI在現(xiàn)代企業(yè)中廣泛存在，并越來越多地成為黑客攻擊的目標(biāo)。NHI是現(xiàn)代數(shù)字生態(tài)系統(tǒng)的基礎(chǔ)，廣泛用于內(nèi)部的云、開發(fā)和自動化以及SaaS生態(tài)系統(tǒng)的集成。

如果沒有全面的NHI安全方法，CISO和安全團(tuán)隊很難發(fā)現(xiàn)NHI相關(guān)漏洞，以及身份安全戰(zhàn)略的致命缺陷。