當(dāng)微軟、Okta等巨頭接連因"非人類(lèi)身份"漏洞遭黑客攻陷，一場(chǎng)無(wú)聲的安全危機(jī)正在全球企業(yè)蔓延——據(jù)OWASP最新報(bào)告，企業(yè)網(wǎng)絡(luò)中非人類(lèi)身份數(shù)量是人類(lèi)的10-50倍，而它們正成為黑客最?lèi)?ài)的"后門(mén)"。2024年多起史詩(shī)級(jí)數(shù)據(jù)泄露事件背后，竟都藏著這些不會(huì)說(shuō)話(huà)的"數(shù)字員工"。

非人類(lèi)身份(NHI)近年來(lái)成為網(wǎng)絡(luò)安全領(lǐng)域熱議話(huà)題，這背后有其充分理由——據(jù)估計(jì)，在企業(yè)網(wǎng)絡(luò)中，每1000名人類(lèi)用戶(hù)就對(duì)應(yīng)著10000個(gè)非人類(lèi)連接或憑證。

一些估計(jì)甚至將該比例定得更高，認(rèn)為非人類(lèi)身份的數(shù)量是人類(lèi)身份數(shù)量的10至50倍。鑒于憑證仍是安全漏洞中的主要攻擊途徑(根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報(bào)告)，我們不難理解為何這會(huì)成為一個(gè)問(wèn)題。

因此，OWASP首次發(fā)布非人類(lèi)身份十大關(guān)鍵風(fēng)險(xiǎn)清單，旨在提高人們對(duì)NHI相關(guān)安全挑戰(zhàn)的認(rèn)識(shí)，提供針對(duì)關(guān)鍵NHI風(fēng)險(xiǎn)的可操作見(jiàn)解，并幫助組織優(yōu)先實(shí)施相關(guān)最佳實(shí)踐，這具有重要意義。

為了強(qiáng)調(diào)NHI帶來(lái)的安全挑戰(zhàn)，OWASP指出了幾個(gè)近期發(fā)生的顯著事件，如微軟2024年的Midnight Blizzard數(shù)據(jù)泄露事件、互聯(lián)網(wǎng)檔案館2024年的Zendesk支持平臺(tái)數(shù)據(jù)泄露事件，以及2023年的Okta支持系統(tǒng)數(shù)據(jù)泄露事件，這些事件均涉及NHI。

OWASP的NHI風(fēng)險(xiǎn)第1位：不當(dāng)?shù)碾x職處理

我們都熟悉員工、承包商和資源進(jìn)入組織、獲得賬戶(hù)和訪問(wèn)權(quán)限，然后角色變更或離開(kāi)組織的情況。在許多情況下，他們的賬戶(hù)會(huì)無(wú)限期地留在系統(tǒng)中，成為孤立賬戶(hù)或環(huán)境中殘留的憑證。

這種情況同樣發(fā)生在NHI上，且如前所述，其規(guī)模遠(yuǎn)超人類(lèi)身份。在這種情況下，憑證通常與應(yīng)用程序、服務(wù)、自動(dòng)化工作流和系統(tǒng)相關(guān)聯(lián)，這些實(shí)體被授予NHI憑證以便開(kāi)展活動(dòng)，但在相關(guān)應(yīng)用程序、服務(wù)和實(shí)體停止使用或特定憑證不再需要時(shí)，卻未得到清理。

緩解措施

為了緩解與不當(dāng)離職處理相關(guān)的風(fēng)險(xiǎn)，OWASP建議實(shí)施標(biāo)準(zhǔn)化的離職處理流程，以審查與離職員工、應(yīng)用程序、服務(wù)等可能不再需要的所有NHI。

為確保這些活動(dòng)得到執(zhí)行，建議盡可能自動(dòng)化離職處理步驟，并定期審計(jì)活躍的NHI，以識(shí)別其使用情況并阻止?jié)撛诘臑E用。這也有助于確定使用基線，并根據(jù)已知活動(dòng)調(diào)整憑證及其相關(guān)權(quán)限。

NHI風(fēng)險(xiǎn)第2位：秘密泄露

列表中的第二位是秘密泄露。秘密通常用于描述API密鑰、令牌、加密密鑰等實(shí)體。有許多與秘密泄露相關(guān)的高調(diào)事件，如影響Codecov、三星和其他幾家公司的事件，以及代碼倉(cāng)庫(kù)、基礎(chǔ)設(shè)施即代碼(IaC)清單和CI/CD系統(tǒng)等秘密泄露源。

秘密泄露在2025年仍然是一個(gè)主要問(wèn)題，這在OWASP列表中其排名第二即可見(jiàn)一斑。OWASP列舉了Azure SAS令牌泄露和Delinea管理API密鑰泄露導(dǎo)致事件發(fā)生的例子。

緩解措施

建議采取以下步驟來(lái)緩解秘密泄露的風(fēng)險(xiǎn)：使用臨時(shí)憑證、部署秘密管理工具、自動(dòng)化秘密檢測(cè)以及定期輪換秘密。鑒于現(xiàn)代云原生開(kāi)發(fā)環(huán)境中秘密數(shù)量龐大，組織無(wú)法手動(dòng)執(zhí)行這些活動(dòng)，因此提供這些功能的秘密管理工具和供應(yīng)商至關(guān)重要。

NHI風(fēng)險(xiǎn)第3位：易受攻擊的第三方NHI

列表中的第三位是第三方NHI及其在集成開(kāi)發(fā)環(huán)境(IDE)、擴(kuò)展、第三方SaaS應(yīng)用程序等方面的作用。2024年，安全研究人員發(fā)現(xiàn)，Visual Studio Code市場(chǎng)已被用于通過(guò)數(shù)千個(gè)惡意擴(kuò)展感染數(shù)百萬(wàn)個(gè)安裝。

如OWASP所指出的，這些擴(kuò)展通常需要對(duì)開(kāi)發(fā)者的機(jī)器進(jìn)行大量訪問(wèn)，進(jìn)而訪問(wèn)他們與之交互的資源和系統(tǒng)。他們引用的外部系統(tǒng)和服務(wù)示例包括版本控制系統(tǒng)、數(shù)據(jù)庫(kù)、虛擬機(jī)和云環(huán)境。

因此，第三方通常會(huì)被提供API密鑰、訪問(wèn)令牌和SSH密鑰。這些憑證可能被惡意使用，以影響環(huán)境、進(jìn)行橫向移動(dòng)、將受感染的代碼引入軟件開(kāi)發(fā)生命周期(SDLC)等。

緩解措施

為了緩解第三方NHI的風(fēng)險(xiǎn)，OWASP建議采取以下活動(dòng)：審查和限制第三方集成、監(jiān)控和檢測(cè)第三方行為，以及使用臨時(shí)憑證或至少定期輪換它們。

NHI風(fēng)險(xiǎn)第4位：不安全的認(rèn)證

在此，OWASP強(qiáng)調(diào)了開(kāi)發(fā)人員與內(nèi)部和外部服務(wù)的集成，包括SaaS應(yīng)用程序和云環(huán)境。如其所指出的，這些各種內(nèi)部和外部服務(wù)支持并使用各種認(rèn)證方法，其中一些可能已過(guò)時(shí)、存在漏洞或不安全。OWASP建議開(kāi)發(fā)人員使用標(biāo)準(zhǔn)化協(xié)議，如OAuth 2.1和OpenID Connect(OIDC)。

然后，OWASP提供了涉及不安全認(rèn)證風(fēng)險(xiǎn)的示例攻擊場(chǎng)景，如已棄用的OAuth流程、應(yīng)用程序密碼繞過(guò)多因素認(rèn)證(MFA)，以及不使用現(xiàn)代安全標(biāo)準(zhǔn)(如OAuth)的舊版認(rèn)證協(xié)議。

緩解措施

OWASP建議采取緩解措施，以防止不安全認(rèn)證帶來(lái)的風(fēng)險(xiǎn)，例如采用現(xiàn)代認(rèn)證標(biāo)準(zhǔn)(如OAuth 2.1和OIDC)、利用無(wú)憑證方法、標(biāo)準(zhǔn)化OAuth實(shí)現(xiàn)，以及對(duì)正在使用的認(rèn)證方法進(jìn)行定期安全審計(jì)，以逐步淘汰已棄用或不安全的實(shí)現(xiàn)和配置。

NHI風(fēng)險(xiǎn)第5位：過(guò)度特權(quán)的NHI

自網(wǎng)絡(luò)安全早期以來(lái)，一直困擾身份和訪問(wèn)管理的一個(gè)基本問(wèn)題是缺乏最小權(quán)限訪問(wèn)控制。盡管最近由于零信任等趨勢(shì)以及NIST 800-207等來(lái)源的關(guān)注而日益受到重視，但最小權(quán)限訪問(wèn)一直是長(zhǎng)期以來(lái)的網(wǎng)絡(luò)安全最佳實(shí)踐。

然而，云計(jì)算等技術(shù)趨勢(shì)非但沒(méi)有改善這一問(wèn)題，反而使其愈發(fā)嚴(yán)重。對(duì)跨數(shù)萬(wàn)云環(huán)境和數(shù)百家組織的數(shù)十萬(wàn)個(gè)身份進(jìn)行的分析發(fā)現(xiàn)，99%的云身份權(quán)限設(shè)置過(guò)于寬松。

鑒于我們歷史上一直在這個(gè)挑戰(zhàn)上掙扎，因此在OWASP(開(kāi)放Web應(yīng)用安全項(xiàng)目)NHI(非人類(lèi)身份)十大風(fēng)險(xiǎn)中看到它也就不足為奇了。與人類(lèi)身份相比，NHI的數(shù)量呈指數(shù)級(jí)增長(zhǎng)，這使得問(wèn)題更加嚴(yán)重。

正如OWASP所述，為NHI合理設(shè)置權(quán)限既困難又耗時(shí)。因此，組織不太可能持續(xù)監(jiān)控這些權(quán)限，尤其是在沒(méi)有足夠工具和能力協(xié)助的情況下。

問(wèn)問(wèn)自己：如果我們將多個(gè)風(fēng)險(xiǎn)結(jié)合起來(lái)，比如長(zhǎng)期存在的、權(quán)限設(shè)置過(guò)于寬松的NHI的不當(dāng)撤銷(xiāo)，這些NHI極易被惡意行為者利用，那么這對(duì)組織來(lái)說(shuō)會(huì)有什么后果?

后果不容樂(lè)觀。

這會(huì)導(dǎo)致一種情況，即這些NHI一旦被攻破，可能會(huì)對(duì)攻擊范圍、橫向移動(dòng)、敏感數(shù)據(jù)訪問(wèn)等產(chǎn)生巨大影響。

OWASP提供了示例攻擊場(chǎng)景，包括權(quán)限過(guò)高的Web服務(wù)器用戶(hù)、虛擬機(jī)、OAuth應(yīng)用程序和具有過(guò)多權(quán)限的服務(wù)賬戶(hù)。

緩解措施

OWASP建議的緩解措施包括實(shí)施最小權(quán)限原則、定期審計(jì)和審查權(quán)限、建立預(yù)防性護(hù)欄以及利用即時(shí)(JIT)訪問(wèn)。

這一問(wèn)題的欺騙性在于，表面上看實(shí)施最小權(quán)限原則似乎很簡(jiǎn)單，但任何從業(yè)者都知道，在擁有多個(gè)身份提供者、數(shù)千個(gè)身份和憑證的大型復(fù)雜環(huán)境中，做到這一點(diǎn)絕非易事，這也正是自網(wǎng)絡(luò)安全誕生以來(lái)就一直影響其的問(wèn)題所在。

NHI風(fēng)險(xiǎn)第6項(xiàng)：不安全的云部署配置

對(duì)于在云環(huán)境或周邊工作的人來(lái)說(shuō)，不安全的配置構(gòu)成重大風(fēng)險(xiǎn)，并且這一風(fēng)險(xiǎn)已經(jīng)存在相當(dāng)一段時(shí)間了，這早已不是新聞。包括Gartner在內(nèi)的組織都表示，99%的云安全事件是由于客戶(hù)配置錯(cuò)誤造成的。

當(dāng)我們查看云中的重大事件時(shí)，這通常由于存儲(chǔ)、存儲(chǔ)桶、加密、公開(kāi)暴露的資產(chǎn)等問(wèn)題而得到證實(shí)。

OWASP對(duì)這一問(wèn)題的處理方法很有趣，因?yàn)樗环Q(chēng)為不安全的云部署配置，但重點(diǎn)卻放在了CI/CD(持續(xù)集成/持續(xù)交付)管道上。盡管如此，它討論了與代碼庫(kù)、日志或配置文件相關(guān)聯(lián)的憑證如何通過(guò)CI/CD環(huán)境存儲(chǔ)/傳輸，并可能被攻破和濫用，以繞過(guò)多因素認(rèn)證(MFA)、進(jìn)行橫向移動(dòng)等。OWASP強(qiáng)調(diào)了更安全的選項(xiàng)，如OIDC(開(kāi)放身份連接)，以允許CI/CD管道獲取短期動(dòng)態(tài)生成的令牌進(jìn)行身份驗(yàn)證，而不是使用靜態(tài)的長(zhǎng)期憑證。

緩解措施

建議的緩解措施包括使用OIDC進(jìn)行安全身份驗(yàn)證、從靜態(tài)憑證轉(zhuǎn)向通過(guò)OIDC動(dòng)態(tài)生成的令牌、為CI/CD管道實(shí)施最小權(quán)限、限制IAM(身份和訪問(wèn)管理)角色中的信任關(guān)系、避免硬編碼憑證，而是使用AWS Secrets Manager和Azure Key Vault等工具，以及最后定期掃描存儲(chǔ)庫(kù)以查找暴露的憑證。

NHI風(fēng)險(xiǎn)第7項(xiàng)：長(zhǎng)期存在的秘密

NHI通常涉及秘密數(shù)據(jù)，如API密鑰、令牌、加密密鑰和證書(shū)。長(zhǎng)期存在的秘密是指沒(méi)有過(guò)期日期或過(guò)期日期過(guò)長(zhǎng)的秘密。OWASP提到，這些秘密有助于組織內(nèi)部服務(wù)和資源的應(yīng)用程序身份驗(yàn)證和集成。

任何形式的長(zhǎng)期憑證都是有問(wèn)題的，因?yàn)樗鼈兛赡艹蔀楣粽叩恼T人目標(biāo)，秘密也不例外。它們可能導(dǎo)致通過(guò)過(guò)時(shí)和被盜的訪問(wèn)令牌進(jìn)行權(quán)限提升，以及通過(guò)被盜的長(zhǎng)期Cookie進(jìn)行會(huì)話(huà)劫持，并且它們還構(gòu)成了另一個(gè)等待被攻破和濫用的目標(biāo)。

緩解措施

OWASP建議啟用自動(dòng)化密鑰輪換、實(shí)施短期憑證、采用零信任原則，以及實(shí)施最小權(quán)限原則。這種緩解措施的組合使秘密更加短暫和動(dòng)態(tài)，并增強(qiáng)了架構(gòu)，以在秘密被攻破時(shí)限制攻擊范圍。

NHI風(fēng)險(xiǎn)第8項(xiàng)：缺乏環(huán)境隔離

除了實(shí)施零信任原則外，環(huán)境隔離還可以減輕涉及NHI的事件(如果發(fā)生)的影響。

環(huán)境隔離是安全軟件開(kāi)發(fā)和網(wǎng)絡(luò)安全中常見(jiàn)的實(shí)踐，NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院)安全軟件開(kāi)發(fā)框架(SSDF)等其他來(lái)源也提到了這一點(diǎn)。

雖然不同組織和開(kāi)發(fā)團(tuán)隊(duì)的環(huán)境可能有所不同(例如，開(kāi)發(fā)環(huán)境、測(cè)試環(huán)境、生產(chǎn)環(huán)境等)，但環(huán)境隔離的基本原理是普遍適用的。

OWASP建議為每個(gè)環(huán)境使用單獨(dú)的NHI，應(yīng)用最小權(quán)限原則，實(shí)施環(huán)境特定的訪問(wèn)控制，并定期審計(jì)和監(jiān)控NHI的未經(jīng)授權(quán)訪問(wèn)嘗試。遵循這些原則可以限制一個(gè)環(huán)境中的攻破或事件對(duì)其他環(huán)境的影響。

緩解措施

除了上述緩解措施外，OWASP還建議采取特定的緩解措施，包括嚴(yán)格隔離NHI的環(huán)境、應(yīng)用最小權(quán)限原則、實(shí)施環(huán)境特定的訪問(wèn)控制，以及為敏感資源隔離基礎(chǔ)設(shè)施。同樣，這里的主題是通過(guò)這些緩解控制和措施減輕系統(tǒng)性影響，并將其限制在特定環(huán)境中。

NHI風(fēng)險(xiǎn)第9項(xiàng)：重用NHI

憑證重用一直是從業(yè)者所警告的問(wèn)題，但盡管如此，它還是進(jìn)入了各種合規(guī)框架、最佳實(shí)踐指南等。因此，在這里看到它被列為NHI的風(fēng)險(xiǎn)因素也就不足為奇了。

如上文表格所述，為每個(gè)NHI定制細(xì)粒度權(quán)限可能很復(fù)雜，因此組織可能會(huì)默認(rèn)重用權(quán)限廣泛的NHI。這使得它們成為具有廣泛影響攻擊后果的誘人目標(biāo)。

OWASP討論了NHI(如服務(wù)賬戶(hù)、API密鑰和機(jī)器憑證)對(duì)于現(xiàn)代應(yīng)用程序、服務(wù)、身份驗(yàn)證和授權(quán)的重要性。

假設(shè)組織在多個(gè)應(yīng)用程序和服務(wù)中重用NHI，那么其潛在影響是顯著的——如果重用的其中一個(gè)NHI被攻破，尤其是如果它權(quán)限過(guò)高(NHI5)，并且缺乏環(huán)境隔離(NHI8)，這可能導(dǎo)致漏洞/攻擊鏈，并對(duì)組織產(chǎn)生廣泛影響。

OWASP提供了示例，如重用Kubernetes服務(wù)賬戶(hù)、在應(yīng)用程序之間共享API密鑰，以及在不同服務(wù)和資源中重用云憑證(如AWS IAM角色)。

緩解措施

為了緩解這些風(fēng)險(xiǎn)，OWASP建議為每個(gè)應(yīng)用程序或服務(wù)及其環(huán)境分配唯一的NHI，實(shí)施最小權(quán)限原則，并審計(jì)和審查NHI的使用。

NHI風(fēng)險(xiǎn)第10項(xiàng)：人類(lèi)使用NHI

NHI(如服務(wù)賬戶(hù)、API令牌、工作負(fù)載身份和秘密)使程序能夠訪問(wèn)應(yīng)用程序和服務(wù)。然而，正如OWASP所討論的，開(kāi)發(fā)人員或用戶(hù)濫用NHI進(jìn)行手動(dòng)任務(wù)，而非其原本意圖的自動(dòng)化活動(dòng)和工作流，這種情況并不少見(jiàn)。

這帶來(lái)了多種風(fēng)險(xiǎn)，因?yàn)槿祟?lèi)活動(dòng)可能被視為程序化活動(dòng)，從而限制了審計(jì)和監(jiān)控，掩蓋了良性?xún)?nèi)部人員的活動(dòng)，甚至可能掩蓋內(nèi)部威脅，以及最值得注意的是，潛在攻擊者。

OWASP列舉了示例場(chǎng)景，如管理員使用服務(wù)賬戶(hù)憑證、開(kāi)發(fā)人員使用NHI執(zhí)行命令、團(tuán)隊(duì)成員之間共享API令牌，甚至攻擊者利用NHI進(jìn)行持久化攻擊。

緩解措施

OWASP NHI十大風(fēng)險(xiǎn)中最后一項(xiàng)風(fēng)險(xiǎn)的緩解措施包括使用專(zhuān)用身份、審計(jì)和監(jiān)控NHI活動(dòng)(我們已多次看到這一點(diǎn))、使用上下文感知訪問(wèn)控制，以及教育開(kāi)發(fā)人員和管理員了解人類(lèi)使用NHI的風(fēng)險(xiǎn)。這些措施提供了技術(shù)和文化控制，以限制人類(lèi)使用NHI及其相關(guān)風(fēng)險(xiǎn)。