هویتهای غیرانسانی: سطح حمله خاموش
شما از تعداد کارکنان خود باخبر هستید. اما احتمالاً از تعداد هویتهای غیرانسانی خود اطلاعی ندارید.
بیشتر شرکتها بر محافظت از افراد تمرکز میکنند. شما از SSO و MFA برای ایمنسازی کاربران انسانی استفاده میکنید. این روش موثر است و هک کردن حسابهای انسانی اکنون دشوارتر شده است.
در حالی که از انسانها محافظت میکنید، هویتهای ماشینی در حال رشد هستند. Service principals، هویتهای workload و نقشهای AI اکنون ۱۰ تا ۵۰ برابر بیشتر از انسانها هستند.
این هویتها در سیستمهای HR ظاهر نمیشوند و در نمودارهای سازمانی دیده نمیشوند. با این حال، آنها اغلب بالاترین سطح دسترسی را در فضای ابری (cloud) شما دارند.
حوزههای پرخطر عبارتند از: • اپلیکیشنهای OAuth با دسترسی گسترده به Slack یا Salesforce. • Service principals و managed identities. • هویتهای CI/CD pipeline. • نقشهای سرویس AI.
مهاجمان به دنبال مسیر آسان هستند. از آنجایی که حسابهای انسانی ایمن هستند، آنها ماشینها را هدف قرار میدهند. ماشینها از سه مشکل اصلی رنج میبرند: • افزایش تدریجی امتیازات (Privilege Creep): مجوزها مدتها پس از زمانی که مورد نیاز هستند، فعال میمانند. • عدم مشاهدهپذیری (Lack of Visibility): شما فهرستی از نقشهای سرویس فعال یا مجوزهای OAuth ندارید. • اعتبارنامههای طولانیمدت (Long-Lived Credentials): کلیدهای ایستا (static keys) درهای پشتی دائمی ایجاد میکنند.
شما باید با هویتهای ماشینی به عنوان یک اولویت برخورد کنید.
برای ایمنسازی آنها این مراحل را دنبال کنید: • از Workload Identity Federation استفاده کنید. کلیدهای ایستا را با توکنهای کوتاهمدت از طریق OIDC جایگزین کنید. • بهطور مداوم نظارت کنید. از ابزارهایی مانند AWS IAM Access Analyzer برای یافتن رفتارهای غیرعادی استفاده کنید. • اصل کمترین امتیاز (least privilege) را خودکار کنید. مجوزهای استفادهنشده را بهطور خودکار حذف کنید. • هویتهای AI را مدیریت کنید. از همان ابتدا تمام نقشهای سرویس AI را فهرستبندی کنید.
امنیت از شبکهها به سمت نقاط انتهایی (endpoints) و سپس به سمت انسانها حرکت کرده است. مرحله بعدی، هویتهای غیرانسانی است.
در عصر عاملهای AI، مهاجمان نیازی به هک کردن یک کارمند ندارند؛ آنها فقط به یک توکن نیاز دارند.
هویت، مرز جدید شماست. اغلب، آن هویت انسانی نیست.
منبع: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie
انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi