非人类身份：沉默的攻击面

非人类身份：沉默的攻击面

你了解你的员工人数。但你可能并不了解你的非人类身份数量。

大多数公司都专注于保护人员。你使用 SSO 和 MFA 来保障人类用户的安全。这很有效，人类账号现在已经变得越来越难以被黑客攻击。

在你保护人类的同时，机器身份正在不断增长。Service principals、workload identities 以及 AI 角色现在的数量是人类的 10 到 50 倍。

这些身份不会出现在 HR 系统中，也不会出现在组织架构图中。然而，它们往往拥有你云端环境中的最高访问权限。

高风险领域包括： • 拥有 Slack 或 Salesforce 广泛访问权限的 OAuth 应用。 • Service principals 和 managed identities。 • CI/CD 流水线身份。 • AI 服务角色。

攻击者总是在寻找捷径。既然人类账号已经足够安全，他们就会将目标转向机器。机器面临着三个主要问题： • 权限蔓延 (Privilege Creep)：权限在不再需要后仍保持激活状态。 • 缺乏可见性：你没有一份活跃的服务角色或 OAuth 授权清单。 • 长效凭据：静态密钥会创建永久性的后门。

你必须将机器身份视为重中之重。

遵循以下步骤来保障其安全： • 使用 Workload Identity Federation。通过 OIDC 用短期 token 取代静态密钥。 • 持续监控。使用 AWS IAM Access Analyzer 等工具来发现异常行为。 • 自动化最小权限原则。自动移除未使用的权限。 • 管理 AI 身份。从一开始就对每个 AI 服务角色进行盘点。

安全防护已从网络转向终端，再转向人类。下一个阶段则是非人类身份。

在 AI Agent 时代，攻击者不需要黑进员工的账号。他们只需要一个 token。

身份已成为你的新边界。而这种身份通常并非人类。

来源：https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

可选学习社区：https://t.me/GyaanSetuAi