Нечеловеческие идентификаторы: скрытая поверхность атаки

Нечеловеческие идентификаторы: скрытая поверхность атаки

Вы знаете количество своих сотрудников. Но вы, скорее всего, не знаете количество своих нечеловеческих идентификаторов.

Большинство компаний сосредоточены на защите людей. Вы используете SSO и MFA для обеспечения безопасности учетных записей пользователей. Это работает. Взломать учетные записи людей стало сложнее.

Пока вы защищаете людей, количество машинных идентификаторов растет. Service principals, workload identities и роли ИИ теперь превосходят людей по количеству в 10–50 раз.

Эти идентификаторы не отображаются в HR-системах. Они не фигурируют в организационных структурах. Тем не менее, зачастую именно они обладают самым высоким уровнем доступа в вашем облаке.

Зоны высокого риска включают: • OAuth-приложения с широким доступом к Slack или Salesforce. • Service principals и managed identities. • Идентификаторы CI/CD-конвейеров. • Роли сервисов ИИ.

Злоумышленники ищут легкий путь. Поскольку учетные записи людей защищены, они нацеливаются на машины. Машины страдают от трех основных проблем: • Privilege Creep (разрастание привилегий): разрешения остаются активными долгое время после того, как они перестали быть нужными. • Отсутствие видимости: у вас нет списка активных сервисных ролей или разрешений OAuth. • Долгоживущие учетные данные: статические ключи создают постоянные бэкдоры.

Вы должны рассматривать машинные идентификаторы как приоритетную задачу.

Выполните следующие шаги для их защиты: • Используйте Workload Identity Federation. Замените статические ключи краткосрочными токенами через OIDC. • Постоянно проводите мониторинг. Используйте такие инструменты, как AWS IAM Access Analyzer, чтобы обнаруживать необычное поведение. • Автоматизируйте принцип наименьших привилегий. Автоматически удаляйте неиспользуемые разрешения. • Управляйте ИИ-идентификаторами. С самого начала ведите учет каждой сервисной роли ИИ.

Безопасность переместилась от сетей к конечным точкам, а затем к людям. Следующий этап — нечеловеческие идентификаторы.

В эпоху ИИ-агентов злоумышленникам не нужно взламывать сотрудника. Им нужен всего один токен.

Идентификация — это ваш новый периметр. И зачастую этот идентификатор не принадлежит человеку.

Источник: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

Опциональное сообщество для обучения: https://t.me/GyaanSetuAi