精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

非人類身份(NHI)近年來成為網絡安全領域熱議話題，這背后有其充分理由——據估計，在企業網絡中，每1000名人類用戶就對應著10000個非人類連接或憑證。

一些估計甚至將該比例定得更高，認為非人類身份的數量是人類身份數量的10至50倍。鑒于憑證仍是安全漏洞中的主要攻擊途徑(根據Verizon的數據泄露調查報告)，我們不難理解為何這會成為一個問題。

因此，OWASP首次發布非人類身份十大關鍵風險清單，旨在提高人們對NHI相關安全挑戰的認識，提供針對關鍵NHI風險的可操作見解，并幫助組織優先實施相關最佳實踐，這具有重要意義。

為了強調NHI帶來的安全挑戰，OWASP指出了幾個近期發生的顯著事件，如微軟2024年的Midnight Blizzard數據泄露事件、互聯網檔案館2024年的Zendesk支持平臺數據泄露事件，以及2023年的Okta支持系統數據泄露事件，這些事件均涉及NHI。

OWASP的NHI風險第1位：不當的離職處理

我們都熟悉員工、承包商和資源進入組織、獲得賬戶和訪問權限，然后角色變更或離開組織的情況。在許多情況下，他們的賬戶會無限期地留在系統中，成為孤立賬戶或環境中殘留的憑證。

這種情況同樣發生在NHI上，且如前所述，其規模遠超人類身份。在這種情況下，憑證通常與應用程序、服務、自動化工作流和系統相關聯，這些實體被授予NHI憑證以便開展活動，但在相關應用程序、服務和實體停止使用或特定憑證不再需要時，卻未得到清理。

OWASP提供了諸如孤立的Kubernetes服務賬戶和前員工利用未撤銷的憑證或殘留應用程序進行權限提升和橫向移動的例子。

緩解措施

為了緩解與不當離職處理相關的風險，OWASP建議實施標準化的離職處理流程，以審查與離職員工、應用程序、服務等可能不再需要的所有NHI。

為確保這些活動得到執行，建議盡可能自動化離職處理步驟，并定期審計活躍的NHI，以識別其使用情況并阻止潛在的濫用。這也有助于確定使用基線，并根據已知活動調整憑證及其相關權限。

NHI風險第2位：秘密泄露

列表中的第二位是秘密泄露。秘密通常用于描述API密鑰、令牌、加密密鑰等實體。有許多與秘密泄露相關的高調事件，如影響Codecov、三星和其他幾家公司的事件，以及代碼倉庫、基礎設施即代碼(IaC)清單和CI/CD系統等秘密泄露源。

秘密泄露在2025年仍然是一個主要問題，這在OWASP列表中其排名第二即可見一斑。OWASP列舉了Azure SAS令牌泄露和Delinea管理API密鑰泄露導致事件發生的例子。

緩解措施

建議采取以下步驟來緩解秘密泄露的風險：使用臨時憑證、部署秘密管理工具、自動化秘密檢測以及定期輪換秘密。鑒于現代云原生開發環境中秘密數量龐大，組織無法手動執行這些活動，因此提供這些功能的秘密管理工具和供應商至關重要。

NHI風險第3位：易受攻擊的第三方NHI

列表中的第三位是第三方NHI及其在集成開發環境(IDE)、擴展、第三方SaaS應用程序等方面的作用。2024年，安全研究人員發現，Visual Studio Code市場已被用于通過數千個惡意擴展感染數百萬個安裝。

如OWASP所指出的，這些擴展通常需要對開發者的機器進行大量訪問，進而訪問他們與之交互的資源和系統。他們引用的外部系統和服務示例包括版本控制系統、數據庫、虛擬機和云環境。

因此，第三方通常會被提供API密鑰、訪問令牌和SSH密鑰。這些憑證可能被惡意使用，以影響環境、進行橫向移動、將受感染的代碼引入軟件開發生命周期(SDLC)等。

緩解措施

為了緩解第三方NHI的風險，OWASP建議采取以下活動：審查和限制第三方集成、監控和檢測第三方行為，以及使用臨時憑證或至少定期輪換它們。

NHI風險第4位：不安全的認證

在此，OWASP強調了開發人員與內部和外部服務的集成，包括SaaS應用程序和云環境。如其所指出的，這些各種內部和外部服務支持并使用各種認證方法，其中一些可能已過時、存在漏洞或不安全。OWASP建議開發人員使用標準化協議，如OAuth 2.1和OpenID Connect(OIDC)。

然后，OWASP提供了涉及不安全認證風險的示例攻擊場景，如已棄用的OAuth流程、應用程序密碼繞過多因素認證(MFA)，以及不使用現代安全標準(如OAuth)的舊版認證協議。

緩解措施

OWASP建議采取緩解措施，以防止不安全認證帶來的風險，例如采用現代認證標準(如OAuth 2.1和OIDC)、利用無憑證方法、標準化OAuth實現，以及對正在使用的認證方法進行定期安全審計，以逐步淘汰已棄用或不安全的實現和配置。

NHI風險第5位：過度特權的NHI

自網絡安全早期以來，一直困擾身份和訪問管理的一個基本問題是缺乏最小權限訪問控制。盡管最近由于零信任等趨勢以及NIST 800-207等來源的關注而日益受到重視，但最小權限訪問一直是長期以來的網絡安全最佳實踐。

然而，云計算等技術趨勢非但沒有改善這一問題，反而使其愈發嚴重。對跨數萬云環境和數百家組織的數十萬個身份進行的分析發現，99%的云身份權限設置過于寬松。

鑒于我們歷史上一直在這個挑戰上掙扎，因此在OWASP(開放Web應用安全項目)NHI(非人類身份)十大風險中看到它也就不足為奇了。與人類身份相比，NHI的數量呈指數級增長，這使得問題更加嚴重。

正如OWASP所述，為NHI合理設置權限既困難又耗時。因此，組織不太可能持續監控這些權限，尤其是在沒有足夠工具和能力協助的情況下。

問問自己：如果我們將多個風險結合起來，比如長期存在的、權限設置過于寬松的NHI的不當撤銷，這些NHI極易被惡意行為者利用，那么這對組織來說會有什么后果?

后果不容樂觀。

這會導致一種情況，即這些NHI一旦被攻破，可能會對攻擊范圍、橫向移動、敏感數據訪問等產生巨大影響。

OWASP提供了示例攻擊場景，包括權限過高的Web服務器用戶、虛擬機、OAuth應用程序和具有過多權限的服務賬戶。

緩解措施

OWASP建議的緩解措施包括實施最小權限原則、定期審計和審查權限、建立預防性護欄以及利用即時(JIT)訪問。

這一問題的欺騙性在于，表面上看實施最小權限原則似乎很簡單，但任何從業者都知道，在擁有多個身份提供者、數千個身份和憑證的大型復雜環境中，做到這一點絕非易事，這也正是自網絡安全誕生以來就一直影響其的問題所在。

NHI風險第6項：不安全的云部署配置

對于在云環境或周邊工作的人來說，不安全的配置構成重大風險，并且這一風險已經存在相當一段時間了，這早已不是新聞。包括Gartner在內的組織都表示，99%的云安全事件是由于客戶配置錯誤造成的。

當我們查看云中的重大事件時，這通常由于存儲、存儲桶、加密、公開暴露的資產等問題而得到證實。

OWASP對這一問題的處理方法很有趣，因為它被稱為不安全的云部署配置，但重點卻放在了CI/CD(持續集成/持續交付)管道上。盡管如此，它討論了與代碼庫、日志或配置文件相關聯的憑證如何通過CI/CD環境存儲/傳輸，并可能被攻破和濫用，以繞過多因素認證(MFA)、進行橫向移動等。OWASP強調了更安全的選項，如OIDC(開放身份連接)，以允許CI/CD管道獲取短期動態生成的令牌進行身份驗證，而不是使用靜態的長期憑證。

緩解措施

建議的緩解措施包括使用OIDC進行安全身份驗證、從靜態憑證轉向通過OIDC動態生成的令牌、為CI/CD管道實施最小權限、限制IAM(身份和訪問管理)角色中的信任關系、避免硬編碼憑證，而是使用AWS Secrets Manager和Azure Key Vault等工具，以及最后定期掃描存儲庫以查找暴露的憑證。

NHI風險第7項：長期存在的秘密

NHI通常涉及秘密數據，如API密鑰、令牌、加密密鑰和證書。長期存在的秘密是指沒有過期日期或過期日期過長的秘密。OWASP提到，這些秘密有助于組織內部服務和資源的應用程序身份驗證和集成。

任何形式的長期憑證都是有問題的，因為它們可能成為攻擊者的誘人目標，秘密也不例外。它們可能導致通過過時和被盜的訪問令牌進行權限提升，以及通過被盜的長期Cookie進行會話劫持，并且它們還構成了另一個等待被攻破和濫用的目標。

緩解措施

OWASP建議啟用自動化密鑰輪換、實施短期憑證、采用零信任原則，以及實施最小權限原則。這種緩解措施的組合使秘密更加短暫和動態，并增強了架構，以在秘密被攻破時限制攻擊范圍。

NHI風險第8項：缺乏環境隔離

除了實施零信任原則外，環境隔離還可以減輕涉及NHI的事件(如果發生)的影響。

環境隔離是安全軟件開發和網絡安全中常見的實踐，NIST(美國國家標準與技術研究院)安全軟件開發框架(SSDF)等其他來源也提到了這一點。

雖然不同組織和開發團隊的環境可能有所不同(例如，開發環境、測試環境、生產環境等)，但環境隔離的基本原理是普遍適用的。

OWASP建議為每個環境使用單獨的NHI，應用最小權限原則，實施環境特定的訪問控制，并定期審計和監控NHI的未經授權訪問嘗試。遵循這些原則可以限制一個環境中的攻破或事件對其他環境的影響。

緩解措施

除了上述緩解措施外，OWASP還建議采取特定的緩解措施，包括嚴格隔離NHI的環境、應用最小權限原則、實施環境特定的訪問控制，以及為敏感資源隔離基礎設施。同樣，這里的主題是通過這些緩解控制和措施減輕系統性影響，并將其限制在特定環境中。

NHI風險第9項：重用NHI

憑證重用一直是從業者所警告的問題，但盡管如此，它還是進入了各種合規框架、最佳實踐指南等。因此，在這里看到它被列為NHI的風險因素也就不足為奇了。

如上文表格所述，為每個NHI定制細粒度權限可能很復雜，因此組織可能會默認重用權限廣泛的NHI。這使得它們成為具有廣泛影響攻擊后果的誘人目標。

OWASP討論了NHI(如服務賬戶、API密鑰和機器憑證)對于現代應用程序、服務、身份驗證和授權的重要性。

假設組織在多個應用程序和服務中重用NHI，那么其潛在影響是顯著的——如果重用的其中一個NHI被攻破，尤其是如果它權限過高(NHI5)，并且缺乏環境隔離(NHI8)，這可能導致漏洞/攻擊鏈，并對組織產生廣泛影響。

OWASP提供了示例，如重用Kubernetes服務賬戶、在應用程序之間共享API密鑰，以及在不同服務和資源中重用云憑證(如AWS IAM角色)。

緩解措施

為了緩解這些風險，OWASP建議為每個應用程序或服務及其環境分配唯一的NHI，實施最小權限原則，并審計和審查NHI的使用。

NHI風險第10項：人類使用NHI

NHI(如服務賬戶、API令牌、工作負載身份和秘密)使程序能夠訪問應用程序和服務。然而，正如OWASP所討論的，開發人員或用戶濫用NHI進行手動任務，而非其原本意圖的自動化活動和工作流，這種情況并不少見。

這帶來了多種風險，因為人類活動可能被視為程序化活動，從而限制了審計和監控，掩蓋了良性內部人員的活動，甚至可能掩蓋內部威脅，以及最值得注意的是，潛在攻擊者。

OWASP列舉了示例場景，如管理員使用服務賬戶憑證、開發人員使用NHI執行命令、團隊成員之間共享API令牌，甚至攻擊者利用NHI進行持久化攻擊。

緩解措施

OWASP NHI十大風險中最后一項風險的緩解措施包括使用專用身份、審計和監控NHI活動(我們已多次看到這一點)、使用上下文感知訪問控制，以及教育開發人員和管理員了解人類使用NHI的風險。這些措施提供了技術和文化控制，以限制人類使用NHI及其相關風險。

企業網D1net(hfnxjk.com)：

國內主流的to B IT門戶，旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。

版權聲明：本文為企業網D1Net編譯，轉載需在文章開頭注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。