Moderne bedrijfsnetwerken zijn zeer complexe omgevingen die afhankelijk zijn van honderden apps en infrastructuurdiensten. Deze systemen moeten veilig en efficiënt interageren zonder constant menselijk toezicht, dat is waar niet-menselijke identiteiten (NHI’s) binnenkomen. NHI’s-inclusief applicatiegeheimen, API-toetsen, servicesaccounts en OAuth Tokens-zijn de afgelopen jaren explodeerd, dankzij een steeds groter wordend-expanderende array van apps en diensten die een andere op de vlieg kunnen werken. In sommige ondernemingen overtreft NHI’s nu de menselijke identiteiten met maar liefst 50-tot-1.
NHI’s introduceren echter unieke risico’s en managementuitdagingen die beveiligingsleiders hebben op een hoog alert. Zesenveertig procent van de organisaties heeft het afgelopen jaar compromissen van NHI-accounts of inloggegevens ervaren, en nog eens 26% vermoedt dat ze hebben, volgens een recent rapport van Enterprise Strategy Group.
Het is geen wonder dat NHIS – en de moeilijkheden die ze met toezicht, risicoreductie en governance hebben – een terugkerend onderwerp zijn geweest op het CISO -forum van Okta. Hier zullen we hun opkomst, risico’s en hoe CISO’s en beveiligingsleiders deze vandaag beheren, onderzoeken.
De spectaculaire opkomst van NHI’s
De stijging van de NHI’s kan worden herleid tot het toenemende gebruik van cloudservices, AI en automatisering en digitale workflows. Het is een trend die waarschijnlijk zal doorgaan, omdat meer en meer taken geautomatiseerd zijn en mensen minder een deel van de vergelijking zijn.
Met NHI’s kunnen apps zich verifiëren aan elkaar, zowel binnen een specifiek domein als met applicaties van derden zoals cloudservices. Die geheimen, sleutels en tokens zijn net zo gevoelig als de inloggegevens die door mensen worden gebruikt, en in sommige gevallen, zelfs meer, omdat ze tegenstanders krachtige toegang kunnen bieden tot specifieke applicaties en diensten als ze worden gelekt.
CISO’s nemen kennis. In feite verwachten meer dan 80% van de organisaties de uitgaven voor niet-menselijke identiteitsbeveiliging te verhogen.
Volgens Mark Sutton, CISO van Bain Capital, zijn “niet-menselijke identiteiten een focus geworden voor teams op basis van de looptijd van hun identiteits- en toegangsmanagementprogramma’s. Het wordt al snel de volgende populairste brand omdat mensen enigszins opgeloste gebruikersidentiteiten hebben.
Simpel gezegd, zodra organisaties sterke protocollen vaststellen voor het beveiligen van menselijke identiteiten, is de logische volgende stap het aanpakken van NHI’s. “Dat, en niet-menselijke identiteiten maken deel uit van het landschap van de dreiging, en het is waar aanvallers naartoe gaan.”
Geheime lekkage en andere risico’s van NHI’s
Net als elke andere reeks referenties zijn NHI’s gevoelig en moeten ze worden beschermd. Maar hoewel mensen robuuste beveiligingsmaatregelen kunnen gebruiken, zoals MFA of biometrie om gevoelige referenties te beschermen, vertrouwen NHI’s vaak op minder veilige maatregelen voor authenticatie. Dat kan hen gemakkelijke doelen voor aanvallers maken.
Lekkage van NHI -geheimen kan ook een serieuze zorg zijn. Dit kan op een aantal manieren gebeuren, of het nu gaat om ze hard te coderen in de broncode van een applicatie of per ongeluk te kopiëren en te plakken in een openbaar document. Geheime lekkage is een belangrijk probleem en geheimen verschijnen vaak in openbare GitHub -repositories. Beveiligingsbedrijf Gitguardian vond vorig jaar zelfs meer dan 27 miljoen nieuwe geheimen in openbare repositories. Dit vormt een nog groter probleem als u bedenkt dat NHI -geheimen niet vaak in de meeste omgevingen worden gedraaid, dus de gebruiksduur van een gelekt geheim kan vrij lang zijn.
En omdat ze vaak brede en aanhoudende machtigingen vereisen om taken uit te voeren, kunnen NHI’s overmatige machtigingen verzamelen, waardoor het aanvalsoppervlak verder wordt vergroot. Dit alles maakt NHIS een belangrijk doelwit voor aanvallers en een grote uitdaging voor CISO’s en hun beveiligingsteams.
Drie uitdagingen waarmee CISO’s worden geconfronteerd bij het beveiligen van NHIS
Terwijl NHI’s nu op de radar van Cisos zijn, is het veiligstellen van hen een ander verhaal. Hier zijn drie uitdagingen die we van CISO’s horen, en hoe ze ze beheren:
- Zichtbaarheid verkrijgen. De grootste hindernis bij het proberen om NHI’s te beveiligen en te beheren, is ze eigenlijk vinden. Zichtbaarheid in waar NHI’s in een omgeving liggen, kan beperkt zijn, en het ontdekken van alle of zelfs de meeste van hen is een moeilijke taak. Veel organisaties hebben duizenden NHI’s waarvan ze niet eens wisten dat ze bestonden. Het oude gezegde “Je kunt niet beveiligen wat je niet weet” is hier waar. Dat betekent dat het ontdekken en inventariseren van NHI’s van cruciaal belang is. Het implementeren van een oplossing voor het beheer van identiteitsbeveiligingspostuurbeheer kan admins en beveiligingsprofessionals helpen bij het identificeren van NHI’s in hun organisatie.
- Risico prioritering en reductie. De volgende uitdaging is het prioriteren van de risico’s die verband houden met de NHI’s in de omgeving. Niet alle NHI’s zijn gelijk gemaakt. Het vinden van de krachtigste NHI’s en het identificeren van overbevorderde NHI’s is een belangrijke stap bij het beveiligen van deze identiteiten. Veel serviceaccounts en andere NHI’s hebben veel meer privileges dan ze daadwerkelijk nodig hebben, wat risico’s voor de organisatie kan veroorzaken. Het identificeren van hoogwaardige NHI’s en het aanpassen van privileges en machtigingen kan helpen dat risico te verminderen. “Het gaat erom de explosie-straal te begrijpen die verband houdt met elke niet-menselijke identiteit en vragen ‘wat is het risico?’ Niet alle NHI’s dragen dezelfde dreiging, “benadrukte Sutton.
- Governance vestigen. Met zoveel NHI’s die vandaag worden gecreëerd, is governance een echte doorn in de zijkant geworden voor cisos. Maar wanneer ze niet goed worden bestuurd, kunnen er slechte dingen gebeuren-neem bijvoorbeeld de reeks inbreuken op internetarchief die in oktober 2024 aan niet-geroteerde tokens zijn gekoppeld. Vaak worden NHI’s gecreëerd door ontwikkelaars om te voorzien in de behoeften op korte termijn, maar ze worden zelden gevolgd of gediscissioneerd. Begrijpen wie NHI’s creëert, hoe ze ze creëren, en voor welk doel een goede eerste stap is. Vervolgens moeten beveiligingsteams een duidelijk proces vaststellen om ze te beheren, zodat niet-menselijke identiteiten niet willekeurig kunnen worden gecreëerd. “We moeten nadenken over wat onze authenticatie- en wachtwoordbeleid zijn”, zegt Sutton. “Er zijn bijvoorbeeld waarschijnlijk veel serviceaccounts met zwakke, statische wachtwoorden die al jaren niet worden gedraaid. Hoe zorgen we ervoor dat we die beheren?”
Laatste gedachten
Niet-menselijke identiteiten zijn van vandaag essentieel voor bedrijven, helpen hen processen te automatiseren, integraties mogelijk te maken en soepel te garanderen. De uitdaging: ze zijn moeilijk te beveiligen en zijn een verleidelijk doelwit voor dreigingsactoren omdat ze vaak niet-gevoed zijn, MFA missen, statische referenties gebruiken en overmatige privileges hebben.
Aan het einde van de dag kunnen niet-menselijke identiteiten en menselijke identiteiten verschillende kenmerken en behoeften hebben, maar beide vereisen een end-to-end benadering die hen voor, tijdens en na authenticatie beschermt. NHI’s zijn misschien geen mensen, maar het zijn steeds krachtiger acteurs in uw omgeving. Dat maakt het veiligstellen van hen niet optioneel, maar dringend.
Word lid van onze webcast op 18 augustus om te leren hoe organisaties het risico en complexiteit verminderen door alle identiteiten – menselijk of niet – onder één verenigd systeem te beheren.
