如今,非人类(Non-humans)身份可谓无处不在。日常生活中,每天都有很多的非人类实体与我们互动:智能恒温器程序会在特定时间为房子降温;手机上的应用程序会向用户推荐搜索过的信息等等。非人类身份已经渗透到我们生活的方方面面,囊括个人生活和职业生涯。
事实上,根据CyberArk的研究数据显示,机器身份与人类身份的比值是45:1。随着越来越多的公司进行数字化转型,机器人流程自动化(RPA)工作负载中的机器人和在云中运行的微服务等机器身份正在以指数级的速度增长。它们正在自动化许多繁复的任务,并提高许多功能的操作效率。这些非人类身份依赖于秘密(包括密码、SSH密钥和API密钥)来访问关键资源并完成其工作。这些秘密需要得到保护,就像人类的特权证书一样。
下面,我们将介绍在组织中可能存在的七种最常见的非人类身份,以及在涉及秘密管理时每种类型面临的安全挑战及防护建议。
七种最常见的非人类身份
1. 云环境和云原生应用
许多组织使用多个云服务提供商(CSP)来维持价格控制、实现灵活性并避免云供应商锁定。每个CSP都有自己的存储、访问和管理秘密的方法。此外,在这些平台中构建的云原生应用程序使用CI/CD进程不断更新,并且经常使用秘密与云环境中的其他微服务通信以运行。当涉及到云计算时,要解决的主要问题是确保组织的安全性与开发人员工作的环境一样灵活和动态。
安全挑战:
- 开发人员需要能够动态地、大规模地工作。
- 开发人员可以走捷径(例如,硬编码秘密)或跳过安全需求。
- 遵从性障碍可能是由于不满足公司安全需求而造成的。
- 底层DevOps工具和容器平台可能缺乏安全性。
- 代码存储库可能会意外地暴露秘密和云访问密钥,如阿斯利康事件,通过GitHub上的凭据暴露了对敏感患者数据的访问。
防护建议:
在云中工作时,为了应对这些挑战,安全团队应该找到一种方法来无缝地管理云原生应用程序的秘密。此外,对于在多云或混合环境中运行的组织,基于SaaS的集中式解决方案可以帮助安全团队跨多个云管理秘密,并为应用程序提供云可移植性,因此开发人员不必担心代码更改,如果他们稍后转移到不同的云实例,安全团队也可以从单一窗格中工作。
2. DevOps工具、CI/CD管道和软件供应链
DevOps工具通常需要高级别的特权访问才能执行其任务。因此,CI/CD管道和其他DevOps工具被称为“零层”(Tier Zero)资产,这意味着如果攻击者获得了对这些资产的访问权限,他们就可以访问更多的特权凭据。软件开发生命周期变化很快,如果DevOps团队没有充分意识到必要的安全措施,那么其中使用的工具可能会成为一个很大的漏洞。
安全挑战:
- 安全必须左移更早的开发周期中。
- DevOps管理员和开发人员可能会选择使用内置的秘密管理功能,从而导致秘密或vault蔓延。
- 一旦工具被攻破,攻击者可能会升级访问权限,例如CircleCI漏洞。
防护建议:
当谈到保护DevOps工具时,安全需要“左移”,与开发人员合作,并确保秘密不会意外暴露,例如通过删除硬编码和默认密码,或频繁轮换密码并启用多因素身份验证—所有这些都不会减慢开发速度。此外,考虑到所使用的DevOps工具数量,开发人员和DevOps管理员应该意识到vault蔓延的风险,并努力集中秘密管理。
3. 自动化工具和脚本
自动化工具和脚本功能强大,可以执行复杂的IT和其他相关任务。但是它们也可以非常简单,例如不经常使用的基本PowerShell脚本。虽然这些简单的脚本可能不会成为一个大的漏洞,但这些自动化工具和脚本通常需要高级别的特权访问,并且在过去已经引发了一些引人注目的漏洞。
安全挑战:
- 脚本经常使用嵌入的硬编码凭据,并且可以发布到存储库中。
- 由于脚本的简单性,它们可能会被误以为不构成安全漏洞。
- 易于复制和不经常使用使得脚本难以跟踪。
- 一些自动化工具具有内置(本地)秘密管理功能,可能导致秘密和vault蔓延。
- 即便只是基本工具,攻击者仍然可以利用高价值的凭据,例如2022年优步的漏洞。
防护建议:
安全性需要积极、彻底地审核,以防止在自动化工具和脚本中使用硬编码凭据,并建立定期轮换凭据的策略,以便如果凭据在脚本中硬编码,它们很快就会失效。脚本的一大挑战是它们很容易被复制和共享,因此如果脚本包含嵌入式凭据,就会很快失去控制。
在基础级别上,所有脚本和自动化工具都应该从集中式秘密管理解决方案获得必要的凭据,该解决方案使安全团队能够使用这些凭据查看工具。然后,集中式解决方案可以实施最佳实践和策略,例如零信任、即时访问、职责隔离,如果有需要,还可以使用多因素身份验证强制人工批准。
4. COTS和ISV应用
商用现货(COTS)和独立软件供应商(ISV)应用程序都需要高级别的特权访问才能完成它们的工作。因为这些应用程序不属于公司所有,它们有一些独特的安全需求应该得到解决,包括确保它们与组织的安全工具集成。
安全挑战:
- 这些应用程序需要供应商开发的集成。
- 它们很容易受到供应商软件供应链和CI/CD过程中的缺陷的影响。
- 高级别访问意味着如果它们被攻击者破坏,就会发生高水平的暴露。
- 存储在业务应用程序中的个人信息可能会在数据泄露中暴露。
防护建议:
由于这些应用程序的关键特性,安全团队必须控制对这些应用程序的访问。轮换凭据是一个关键步骤,这可以通过与秘密管理解决方案的开箱即用集成来完成。此外,实现即时访问可以确保这些应用程序只能在需要的时间点访问完成工作所需的数据或系统。例如,当漏洞扫描程序需要扫描网络时,它可以从vault中提取必要的凭据,并在扫描所需的时间段内使用它。然后,当扫描完成时,vault可以收回该凭据。这样,如果漏洞扫描程序被攻破,攻击者将无法访问有价值的网络资源。
5. 机器人流程自动化(RPA)工作负载
RPA机器人帮助开发和运营团队(以及其他“公民开发人员”)自动化了许多繁复的任务,加快了工作流程。但是,这些机器人的手动凭据轮换无法扩展,特别是当一个组织使用大量无人值守的机器人而非人类主管时。安全团队面临的最大挑战是需要确保他们在启用RPA速度的同时,还需要集中管理策略以保持遵从性并防御攻击。
安全挑战:
- 手动轮换和管理流程无法扩展。
- 安全性可能被视为部署或操作效率需求的障碍。
- 安全性需要易于使用的集成,以最大限度地减少安全问题并加快部署。
防护建议:
安全团队需要确保他们在启用RPA速度的同时,还需要集中管理策略以保持遵从性并防御攻击。集中和自动化RPA机器人的秘密管理可以允许安全团队在不延迟部署的情况下进行大规模工作。凭据可以自动轮换,并且所有机器人凭据都可以从单个窗格中查看。这为安全和运营团队提供了更好的可视性,特别是在无人值守的机器人上。
6. N层(N-Tier)/静态自定义应用程序
虽然上述许多应用程序都利用了更新的数字创新,如云和自动化,但大多数组织仍然依赖于各种内部开发的应用程序。这些应用程序包括各种传统环境(如Java)和操作系统(包括Unix/Linux),并且由于它们是本地托管的,因此它们可能对其他类型的身份构成一些不同的挑战。
安全挑战:
- 凭据是硬编码或本地存储的,一旦泄露就会带来风险。
- 这些应用程序使用的凭据有时无法自动轮换。
- 访问权限需要更好地定制,因为这些应用程序可能被过度许可。
- 它们需要轻松地连接到其他系统和应用程序。
防护建议:
对于这些应用程序,安全团队必须根据策略轮换秘密,同时保持这些关键应用程序运行,以满足高可用性和业务连续性需求。发现和删除任何硬编码凭据是关键,将秘密保存在中央位置以提高可见性也是关键。与集中式秘密管理解决方案的开箱即用集成可以使安全团队更容易地管理权限。
7. 大型机应用程序
与N层应用程序一样,托管在大型机(如zOS)上的应用程序仍然被企业广泛用于特定用例。这些是企业中最关键的应用程序,确保这些应用程序不会出现中断或其进程不会被安全过程中断,这一点至关重要。
安全挑战:
- 凭据轮换可能会中断大容量事务。
- 凭据是硬编码或本地存储的,一旦泄露就会带来风险。
- 需要高水平的可靠性。
防护建议:
对于这些身份,安全团队必须仔细管理秘密,同时确保不会中断重要的任务和流程。自动轮换与秘密管理工具是可行的,同时坚持双重密码结构。就像N层/静态本地应用程序一样,安全团队应该确保没有硬编码或本地存储的秘密,并确保他们对需要完成的任务有适当的访问权限。
非人类身份安全现状:攻击案例及教训
与所有人一样,威胁行为者也在寻找阻力最小的路径,而在2023年,这条路径似乎是非人类身份。下面,我们将盘点2023年最重大的5起非人类身份访问事件及其经验教训,以帮助组织更好地认识此类威胁并制定防御策略。
1.Sumologic
2023年11月,Sumologic发现一个被盗用的凭据被用来访问公司的AWS账户。然后,他们轮换了暴露的AWS凭据,锁定了可能受影响的基础设施,并报告称,他们没有检测到对客户数据的未经授权访问。尽管如此,该公司仍然建议客户立即轮换所有Sumologic API访问密钥。
吸取的教训:从Sumologic对这次事件的反应中可以看出,即使从理论上讲,漏洞已经被控制住了,响应工作仍然是非常重要的。正是因为公司采取了非常强有力的保护措施,才将事件的影响降至最低。由此可见,能够持续清点非人类访问和监测行为,对于尽量减少缓解成本和此类事件的潜在影响至关重要。
2.微软SAS密钥
2023年9月,微软人工智能研究人员发布的SAS令牌实际上授予了对创建该令牌的整个存储帐户的完全访问权限,导致超过38TB的极度敏感信息泄露。更糟糕的是,这些权限暴露给了攻击者超过2年。
吸取的教训:即使是最大的公司也会受到秘密泄露的攻击。即使在秘密应该公开的情况下,也应该采取极致的预防措施,以确保它不被暴露或滥用。
3.Okta
2023年10月,攻击者使用窃取的服务帐户访问Okta的支持案例管理系统。这使得攻击者可以查看所有Okta客户上传的文件,这些文件通常包括个人信息、详细信息,最重要的是凭据和会话令牌。
吸取的教训:服务帐户是一种非常常见的非人类访问类型。它们对于攻击者来说也是非常有利可图的,因为大多数适用于用户访问的安全措施(如MFA、SSO、CASB等)并不适用于服务帐户。这意味着当涉及到服务帐户时,安全性必须使用最低权限权限和动态监视。
4.CircleCI
2023年1月,CircleCI员工的计算机被恶意软件入侵,允许威胁行为者访问并窃取CircleCI会话令牌。由于工程员工拥有生成生产访问令牌的特权,因此威胁参与者能够升级特权,以访问并从客户环境变量、令牌和密钥中窃取数据。
吸取的教训:供应链攻击是最突出的攻击类型之一,修复它们是一个困难的过程,因为非人类身份不容易管理和保护。这就要求组织拥有一个能够持续盘点、监控和分析所有非人工访问的自动工具,以允许安全团队检测可疑行为并快速找到需要轮换或删除的所有凭据。
5.微软365伪造访问令牌
2023年7月,一个不活跃的主签名密钥从一台受损的微软员工设备中被盗,并被用于签名和创建有效的电子邮件访问令牌。这些令牌被Azure AD云系统错误地接受,从而被其Outlook Exchange服务器错误地接受。这使得攻击者可以访问使用微软Azure Active Directory和Office 365的组织的数据,包括电子邮件通信、文件、聊天等。
吸取的教训:从用于身份验证、电子邮件和存储的本地服务器转向云原生解决方案,已经席卷了全球的组织。这甚至包括传统的老式组织,如政府机构。然而,正如我们现在所知道的,它不是没有风险的。完全信任云供应商来保证数据安全,将使公司和组织面临更多的攻击媒介,而非人类访问正成为威胁参与者的最爱。
2024年是非人类身份安全的一年
非人类访问是云计算采用和自动化的直接结果————这两种趋势都有助于增长和效率,并且应该会在2024年及以后继续下去。然而,这些趋势也使组织达到了这样一种状态:每1000名员工有10,000个非人类身份连接,其中大多数不受管理,进而导致了我们在上文介绍的攻击。
这里有五个技巧可以帮助组织更好地保护非人类身份及其在组织中使用的秘密:
- 将秘密管理与现有工具和应用程序集成。正如我们所提到的,现在有很多工具可以用来访问秘密。将解决方案直接与这些不同的工具集成有助于简化安全应用程序的秘密管理。
- 集中式秘密管理,减少秘密蔓延。一个集中的平台意味着只需要支持一个程序,来获取所需的广泛可见性。集中式解决方案还减少了未经授权的应用程序访问以及相关的数据盗窃和泄露的可能性,并且为审计和记录提供了一个单一的位置。
- 自动化安全功能以提高操作效率。自动化意味着像轮换、审计和数据收集这样的任务可以在后台运行,而不是在可能破坏工作流程的地方运行。
- 为开发人员提供简单的安全性-并提供易于使用的选项。通过为应用程序团队提供工具来保持他们的速度,而非减慢他们的部署。开发人员希望找到阻力最小的途径,而与他们已经使用的解决方案无缝集成的自助服务工具可以确保满足安全需求,同时不会让开发人员感到沮丧。理想情况下,安全团队可以为开发人员提供秘密管理工具,以满足开发人员的需求,并避免改变开发人员的经验和工作流。
- 优先考虑要保护的应用程序。许多CISO希望保护所有应用程序类型,但这是一个循序渐进的过程。安全团队必须选择从哪里开始,然后在此基础上进行构建。在创建秘密管理路线图时,组织需要弄清楚要处理哪些应用程序以及以何种顺序处理。组织可以根据感知到的业务风险、红队演习期间发现的漏洞,或对已知漏洞和安全事件的响应,对应用程序进行排序。
原文链接:
- https://www.csoonline.com/article/652144/the-7-types-of-non-human-identities-to-secure.html
- https://astrix.security/top-5-non-human-access-attacks-of-2023/