Het Open Web Application Security Project heeft onlangs een nieuw Top 10 -project geïntroduceerd – de niet -Human Identity (NHI) Top 10. Al jaren heeft OWASP beveiligingsprofessionals en ontwikkelaars essentiële richtlijnen en bruikbare kaders gegeven via de top 10 -projecten, inclusief het veel gebruikte API- en webtoepassingsbeveiligingslijsten.
Niet-menselijke identiteitsbeveiliging vertegenwoordigt een opkomende interesse in de cybersecurity-industrie, die de risico’s en gebrek aan toezicht in verband met API-toetsen, servicerekeningen, OAuth-apps, SSH-sleutels, IAM-rollen, geheimen, geheimen en andere machinegeschrijvingen en werkload-identiteiten omvatten.
Gezien het feit dat het vlaggenschip OWASP Top 10 -projecten al een breed scala aan beveiligingsrisico’s dekt die ontwikkelaars moeten focussen, zou men kunnen vragen – hebben we echt de NHI Top 10 nodig? Het korte antwoord is – ja. Laten we eens kijken waarom en verkennen de top 10 NHI -risico’s.
Waarom we de NHI Top 10 nodig hebben
Terwijl andere OWASP -projecten kunnen raken op gerelateerde kwetsbaarheden, zoals geheimen verkeerde configuratie, gaan NHI’s en hun bijbehorende risico’s veel verder dan dat. Beveiligingsincidenten die NHI’s gebruiken, draaien niet alleen om blootgestelde geheimen; Ze strekken zich uit tot buitensporige machtigingen, oauth phishing -aanvallen, iam -rollen die worden gebruikt voor laterale beweging en meer.
Hoewel cruciaal, gaan de bestaande OWASP -top 10 -lijsten niet goed op de unieke uitdagingen die NHIS aanwezig zijn. Als de kritische connectiviteitsstoornissen tussen systemen, diensten, gegevens en AI -agenten, komen NHI’s uiterst gangbaar in de ontwikkelings- en runtime -omgevingen, en ontwikkelaars interageren met hen in elke fase van de ontwikkelingspijplijn.
Met de groeiende frequentie van aanvallen op NHI’s, werd het noodzakelijk om ontwikkelaars uit te rusten met een speciale gids voor de risico’s waarmee ze worden geconfronteerd.
Inzicht in de OWASP Top 10 rangschikkingscriteria
Voordat we duiken in de werkelijke risico’s, is het belangrijk om de rangorde achter de top 10 -projecten te begrijpen. OWASP Top 10 -projecten volgen een standaardset parameters om de ernst van de risico te bepalen:
- Exploiteerbaarheid: Evalueer hoe gemakkelijk een aanvaller een bepaalde kwetsbaarheid kan benutten als de organisatie onvoldoende bescherming heeft.
- Invloed: Overweegt de potentiële schade die het risico kan toebrengen aan bedrijfsactiviteiten en systemen.
- Prevalentie: Beoordeelt hoe vaak het beveiligingsprobleem in verschillende omgevingen is, waarbij bestaande beschermende maatregelen worden genegeerd.
- Detecteerbaarheid: Meet de moeilijkheid om de zwakte te spotten met behulp van standaard monitoring- en detectietools.
De Owasp NHI Top 10 -risico’s afbreken
Nu naar het vlees. Laten we de toprisico’s onderzoeken die een plek op de NHI Top 10 -lijst hebben verdiend en waarom ze ertoe doen:
NHI10: 2025 – Menselijk gebruik van NHI
NHI’s zijn ontworpen om geautomatiseerde processen, diensten en applicaties zonder menselijke tussenkomst te vergemakkelijken. Tijdens de ontwikkelings- en onderhoudsfasen kunnen ontwikkelaars of beheerders NHI’s echter hergebruiken voor handmatige bewerkingen die idealiter moeten worden uitgevoerd met behulp van persoonlijke menselijke referenties met passende privileges. Dit kan misbruik van privileges veroorzaken, en als deze misbruikte sleutel deel uitmaakt van een exploit, is het moeilijk om te weten wie er verantwoordelijk voor is.
NHI9: 2025 – NHI hergebruik
NHI -hergebruik vindt plaats wanneer teams hetzelfde serviceaccount hergebruiken, bijvoorbeeld op meerdere applicaties. Hoewel handig, schendt dit het principe van het minste privilege en kan het meerdere diensten blootstellen in het geval van een gecompromitteerde NHI – die de explosie -straal vergroot.
NHI8: 2025 – Omgevingsisolatie
Een gebrek aan strikte milieu -isolatie kan ertoe leiden dat NHIS -bloeding in productie is. Een real-world voorbeeld is de Midnight Blizzard-aanval op Microsoft, waar een OAuth-app die voor testen werd gebruikt, hoge privileges in de productie bleek te hebben, waardoor gevoelige gegevens worden blootgelegd.
NHI7: 2025 – Langlevende geheimen
Geheimen die geldig blijven voor langere periodes vormen een aanzienlijk risico. Een opmerkelijk incident omvatte Microsoft AI die onbedoeld een toegang token blootlegde in een openbare Github -repository, die meer dan twee jaar actief bleef en toegang gaf tot 38 terabytes interne gegevens.
NHI6: 2025 – Onzekere cloud -implementatieconfiguraties
CI/CD -pijpleidingen vereisen inherent uitgebreide machtigingen, waardoor ze uitstekende doelen voor aanvallers zijn. Misverbonden, zoals hardcode inloggegevens of overdreven tolerante OIDC -configuraties, kunnen leiden tot ongeautoriseerde toegang tot kritieke bronnen, waardoor ze worden blootgesteld aan inbreuken.
NHI5: 2025 – Overbereidde NHI
Veel NHI’s krijgen buitensporige voorrechten vanwege slechte voorzieningen. Volgens een recent CSA-rapport werd 37% van de NHI-gerelateerde beveiligingsincidenten veroorzaakt door overprivilegieerde identiteiten, wat de dringende behoefte aan goede toegangscontroles en de minst-privilege-praktijken benadrukt.
NHI4: 2025 – Onzekere authenticatiemethoden
Veel platforms zoals Microsoft 365 en Google Workspace ondersteunen nog steeds onzekere authenticatiemethoden zoals impliciete oAuth -stromen en app -wachtwoorden, die MFA omzeilen en vatbaar zijn voor aanvallen. Ontwikkelaars zijn zich vaak niet bewust van de beveiligingsrisico’s van deze verouderde mechanismen, wat leidt tot hun wijdverbreide gebruik en potentiële uitbuiting.
NHI3: 2025 – kwetsbare externe NHI
Veel ontwikkelingspijplijnen vertrouwen op tools en services van derden om de ontwikkeling te versnellen, mogelijkheden te verbeteren, applicaties te bewaken en meer. Deze tools en services integreren rechtstreeks met IDE’s en code -repo’s met behulp van NHI’s zoals API -toetsen, OAuth -apps en serviceaccounts. Inbreuken waarbij leveranciers zoals Circleci, Okta en GitHub betrokken zijn, hebben klanten gedwongen om te klauteren om referenties te roteren, wat het belang benadrukt van het strak monitoring en het in kaart brengen van deze extern eigendom NHI’s.
NHI2: 2025 – Geheime lekkage
Geheime lekkage blijft een hoogste zorg en dient vaak als de eerste toegangsvector voor aanvallers. Onderzoek geeft aan dat 37% van de organisaties hardcode geheimen binnen hun toepassingen heeft, waardoor ze prime doelen zijn.
NHI1: 2025 – Onjuist offboarding
Gerangschikt als het beste NHI -risico, verwijst onjuist offboarding naar het heersende toezicht op aanhoudende NHI’s die niet werden verwijderd of onthecht nadat een medewerker was vertrokken, een dienst werd verwijderd of een derde partij werd beëindigd. In feite heeft meer dan 50% van de organisaties geen formele processen om NHI’s buiten boord te maken. NHI’s die niet langer nodig zijn maar actief blijven, creëren een breed scala aan aanvalsmogelijkheden, vooral voor insider -bedreigingen.
Een gestandaardiseerd raamwerk voor NHI -beveiliging
De OWASP NHI Top 10 vult een kritische leemte door licht te werpen op de unieke beveiligingsuitdagingen van NHIS. Zowel beveiligings- en ontwikkelingsteams missen een duidelijke, gestandaardiseerde kijk op de risico’s die deze identiteiten vormen, en hoe ze kunnen worden opgenomen in beveiligingsprogramma’s. Daarvoor implementeerde Astrix Security de OWASP NHI Top 10 als een framework in zijn compliance -dashboard.
Deze mogelijkheid correleert de beveiligingsbevindingen van de organisatie met de NHI Top 10 -risico’s, om beveiligingsprofessionals te helpen de huidige houding te visualiseren, hiaten te identificeren en de volgende stappen prioriteit te geven.
Met het dashboard naast het top 10 -framework kunt u snel zien welke gebieden de meeste aandacht nodig hebben en de verbetering van de tijd nodig hebben.
