อัตลักษณ์ที่ไม่ใช่บุคคล: พื้นที่การโจมตีที่เงียบเชียบ

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial5 ชั่วโมงที่ผ่านมา1min read

Non-Human Identities: The Silent Attack Surface

คุณทราบจำนวนพนักงานของคุณ แต่คุณอาจจะไม่ทราบจำนวนอัตลักษณ์ที่ไม่ใช่คน (non-human identity) ของคุณ

บริษัทส่วนใหญ่ให้ความสำคัญกับการปกป้องผู้คน คุณใช้ SSO และ MFA เพื่อรักษาความปลอดภัยให้กับผู้ใช้งานที่เป็นมนุษย์ ซึ่งวิธีนี้ได้ผล เพราะบัญชีของมนุษย์นั้นถูกแฮ็กได้ยากขึ้นในปัจจุบัน

ในขณะที่คุณกำลังปกป้องมนุษย์ แต่อัตลักษณ์ของเครื่องจักร (machine identities) กลับเพิ่มจำนวนขึ้นอย่างรวดเร็ว ทั้ง Service principals, workload identities และบทบาทของ AI ในปัจจุบันมีจำนวนมากกว่ามนุษย์ถึง 10 ถึง 50 เท่า

อัตลักษณ์เหล่านี้ไม่ปรากฏในระบบ HR และไม่แสดงในแผนผังองค์กร แต่บ่อยครั้งที่พวกมันกลับมีสิทธิ์การเข้าถึงระดับสูงสุดในระบบคลาวด์ของคุณ

พื้นที่ที่มีความเสี่ยงสูง ได้แก่: • แอป OAuth ที่มีสิทธิ์เข้าถึง Slack หรือ Salesforce อย่างกว้างขวาง • Service principals และ managed identities • อัตลักษณ์ของ CI/CD pipeline • บทบาทของบริการ AI (AI service roles)

ผู้โจมตีมักมองหาเส้นทางที่ง่ายที่สุด เนื่องจากบัญชีของมนุษย์มีความปลอดภัย พวกเขาจึงหันไปมุ่งเป้าที่เครื่องจักรแทน ซึ่งเครื่องจักรต้องเผชิญกับปัญหาหลัก 3 ประการ: • Privilege Creep: สิทธิ์การใช้งานยังคงเปิดอยู่เป็นเวลานานหลังจากที่ไม่ได้ใช้งานแล้ว • Lack of Visibility: คุณไม่มีรายการบทบาทบริการ (service roles) หรือการอนุญาต OAuth (OAuth grants) ที่กำลังใช้งานอยู่ • Long-Lived Credentials: คีย์แบบคงที่ (Static keys) สร้างช่องทางลับ (backdoors) ที่ถาวร

คุณต้องให้ความสำคัญกับอัตลักษณ์ของเครื่องจักรเป็นอันดับต้นๆ

ปฏิบัติตามขั้นตอนเหล่านี้เพื่อรักษาความปลอดภัย: • ใช้ Workload Identity Federation: เปลี่ยนจากการใช้ static keys มาเป็น short-lived tokens ผ่าน OIDC • เฝ้าระวังอย่างต่อเนื่อง: ใช้เครื่องมืออย่าง AWS IAM Access Analyzer เพื่อตรวจหาพฤติกรรมที่ผิดปกติ • ใช้หลักการ Least Privilege แบบอัตโนมัติ: ลบสิทธิ์ที่ไม่ได้ใช้งานออกโดยอัตโนมัติ • ควบคุมดูแลอัตลักษณ์ของ AI: ทำบัญชีรายชื่อ (Inventory) ทุกบทบาทของบริการ AI ตั้งแต่เริ่มต้น

ความปลอดภัยได้เปลี่ยนผ่านจากเครือข่าย (networks) ไปสู่จุดเชื่อมต่อ (endpoints) และมาสู่มนุษย์ ขั้นตอนต่อไปก็คืออัตลักษณ์ที่ไม่ใช่คน (non-human identities)

ในยุคของ AI agents ผู้โจมตีไม่จำเป็นต้องแฮ็กพนักงานเลย พวกเขาต้องการเพียงแค่ token เดียวเท่านั้น

อัตลักษณ์ (Identity) คือขอบเขตความปลอดภัย (perimeter) ใหม่ของคุณ และบ่อยครั้งที่อัตลักษณ์นั้นไม่ใช่คน

Source: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

Optional learning community: https://t.me/GyaanSetuAi

อัตลักษณ์ที่ไม่ใช่บุคคล: พื้นที่การโจมตีที่เงียบเชียบ

Continue reading

3 เลเยอร์ของการยืนยันตัวตนสำหรับ AI Agent

ความต่อเนื่องของอัตลักษณ์ AI Agent สร้างความเสี่ยงใหม่

ขอบเขตที่ปลอดภัยที่สุด คือขอบเขตที่เอเจนต์ไม่สามารถข้ามผ่านไปได้

Zero Touch OAuth: แก้ไขวิกฤตการยืนยันตัวตนของ AI Agent

𝗡𝗼𝗯𝗼𝗱𝘆 𝗞𝗻𝗼𝘄𝘀 𝗛𝗼𝘄 𝗠𝗮𝗻𝘆 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁𝘀 𝗧𝗵𝗲𝘆'𝗿𝗲 𝗥𝘂𝗻𝗻𝗶𝗻𝗴