非人类身份(NHI)指的是与应用程序、服务和机器相关的数字身份,涵盖了机器人、API密钥、服务账户和OAuth令牌等,这些是机器进行身份验证、访问资源和相互通信的凭证。 数量对比:在企业技术栈中,NHI的数量远超人类身份,平均每位人类身份对应约17个NHI。据Veza的报告显示,每1000名员工对应的NHI数量超过2万个。尽管NHI并非新概念,但在过去13个月中,它们的重要性显著提升。 分布挑战:NHI分散在多个系统中,这使得企业难以精确定位它们。企业面临的主要挑战是获取全面的可视性并维护企业技术栈中所有NHI的清单。 解决方案缺口:目前没有单一身份解决方案能完全解决NHI相关问题。身份访问管理(IAM)、身份治理与管理(IGA)、特权访问管理(PAM)和身份威胁检测与响应(ITDR)等现代身份安全工具只能提供部分可视性,而非全面解决方案。这也是新兴公司试图解决此问题的原因。 未来展望:对NHI的未来发展进行了深入讨论,提供了它们如何与现有企业解决方案整合及行业未来演变的战略性分析。 致谢:感谢软件分析师合作伙伴Astrix、Entro、Natoma、Clutch和Aembit对本研究项目的支持。
云端和本地环境 商业平台:例如 Google Workspace、Salesforce 和 Slack 工程环境:例如 GitHub、AWS 和 GCP 服务账户:存在于 Snowflake 等解决方案中
不与特定用户绑定 通常具有提升的权限 通常不需要交互式登录
连接多个系统的关键角色, 这种连接性不仅提高了效率,也为攻击者提供了多个后门,便于潜在的攻击。 NHIs通常被授予过于宽松的权限,且很多时候缺乏到期限制。这意味着攻击者一旦获得这些身份的访问权限,可以进行大范围的活动,而不会受到限制。 监控不足且难以检测,因此在发生未经授权的活动时,很难被及时发现。这种缺乏可见性使得安全团队难以追踪和响应潜在威胁。 NHIs能够在网络中进行大规模的横向移动,这增加了攻击的影响范围。攻击者可以利用这一点在不同系统和资源之间快速传播,从而造成更严重的损失。 与通常使用多因素认证来增强安全性的人类身份不同,非人类身份通常仅依赖静态凭据(如API密钥、令牌)进行身份验证。一旦这些静态凭据被攻击者获得,他们就能绕过大部分传统的安全措施。 许多非人类身份在创建时并未设定到期日期,或者其密钥可以长达数年不进行轮换。这种长时间的有效期进一步增加了被利用的风险。
最近的NHI攻击案例
重大网络攻击事件,如SolarWinds攻击和AWS泄露,暴露了企业在管理非人类身份方面的弱点,使其成为网络攻击者的主要目标。服务账户、令牌和API密钥通常具备较高的权限并可以访问关键基础设施,一旦被攻破,攻击者可以轻松实现横向移动或数据外泄。这不仅仅是一个关于管理NHI风险的问题,还涉及到对第三方供应链风险的严重暴露(中型组织通常有超过300个第三方SaaS集成)。云计算的普及与混合云环境
向云平台(如AWS、Azure、GCP)的迁移以及与SaaS服务的集成,极大地增加了非人类身份的使用(即秘密扩散)。云服务通过API互联,这些集成需要使用令牌、API密钥、服务账户等形式的机器间通信。微服务架构的爆炸性增长
微服务架构高度依赖非人类身份(NHI)进行内部通信。每个服务通常都有自己的API密钥、令牌或凭据,以便与其他服务进行交互。这大幅增加了NHI的数量,现代应用程序由数百甚至数千个微服务构成。向微服务的转变还引发了一波基于OAuth2的API安全需求,且自动管理和数据在多种管道和信任边界间移动的需求进一步加剧了这一情况,涉及服务账户、聊天机器人以及如今的AI系统。人工智能代理和自动化
AI代理通常被设计用于自动化任务、分析数据、做出决策,甚至独立与其他系统交互,这些也被归类为非人类身份。随着AI技术的进步,有预测表明,AI代理将推动各行业的增长,这意味着拥有AI代理和自动化流程的公司越多,NHI的扩散现象也将愈加明显。投资者资金和创始人的涌现
在过去三年中,许多公司应运而生,专注于解决NHI挑战,许多投资者也正在推动这一领域的增长。
明文/未加密凭证
组织往往会发现许多NHI以硬编码的形式存储在源代码库(和其他地方),因此很容易被外部和内部威胁者发现。解决这些问题对大多数组织来说都是一项艰巨的任务。完整账户清单
获取所有NHI的完整清单非常具有挑战性,因为这些NHI可能存在于许多平台、终端、目录服务和云集成中。过期/非活动账户
由于生命周期管理流程薄弱且缺乏账户使用信息的可见性,许多NHI最终处于非活动状态,从而增加了攻击面。缺乏账户所有权
大多数组织的NHI缺乏所有权信息,识别每个NHI的所有者至关重要,以帮助推动卫生/修复活动。人类使用非人类账户
人类使用NHI始终是一个问题。用户可以轻松绕过人类访问控制,使用NHI账户。这导致了否认问题,并且在许多情况下,相关活动未被检测到。缺乏凭证周期性更新/轮换
周期性更新/轮换NHI非常具有挑战性,原因包括缺乏密码更改信息、未知依赖关系可能导致操作影响、需要对应用代码/配置进行更改、缺乏秘密存储能力以及缺乏终端轮换能力。缺乏环境隔离
在许多情况下,同一个NHI在生产和非生产环境中使用,或者同一个逻辑NHI在每个环境中使用相同的密码,这增加了横向移动的风险。凭证共享
应用程序之间共享NHI是一个重大问题,破坏了按需和最低特权原则。这使得密码周期性更新变得更加复杂,因为您不知道凭证正在使用的所有依赖关系。
分类和安全配置:非人类身份应根据重要性、特权级别和访问类型(例如,特权访问、敏感数据访问、职责分离)进行标记,并附上捕捉所有权和关联服务或系统的元数据。随后,非人类身份应通过与安全政策对齐的受控自动化流程创建。 基于角色的分配:每个非人类身份必须分配给特定角色、服务或系统,清晰定义其可以访问的数据或操作(例如,AWS Lambda函数或Azure服务账户)。 权限分类:非人类身份必须根据其访问级别(特权、敏感数据)和上下文(例如,是否用于内部服务之间的通信或第三方集成)进行分类。
秘密轮换:每个非人类身份厂商必须确保能够实施自动化政策,定期轮换非人类身份的秘密(例如API密钥、令牌),以限制凭据的使用寿命,减少攻击者的机会窗口。最佳实践包括每30、60或90天轮换秘密。 安全保管:公司应将所有非人类身份的秘密存储在集中式加密秘密管理解决方案或保管库中。确保对保管库的访问受到严格控制和监控,采用基于角色的权限防止未经授权访问。像HashiCorp Vault或AWS Secrets Manager这样的秘密管理工具可以提供帮助。 审计与跟踪:保持所有非人类身份秘密的访问、变更和轮换的详细审计日志。这确保了责任追踪,并为合规性和安全调查提供审计线索。
认证厂商 授权和治理厂商
认证层vs授权层
使用场景
Aembit的竞争优势
跨环境的身份联合:Aembit能够在任意基础设施上联合身份——包括AWS、GCP、Azure、本地或SaaS应用,提供实时、加密验证的身份。这种“无密钥”访问模式减少了与长期凭证相关的安全风险。 自动化凭证管理:Aembit的自动化能力简化了凭证管理流程,消除了手动操作,减少了人为错误。这帮助公司摆脱了凭证注入的复杂性,显著提升了安全性。 开发者友好的无代码集成:Aembit的无代码实现允许开发者在不修改工作流的情况下继续他们的开发工作,平台在后台管理凭证和策略。这种灵活性使得组织在不破坏现有开发流程的情况下能够采用Aembit,并在运行第三方软件时使用该平台。 与现有秘密管理器的无缝集成:Aembit可以与CyberArk等遗留系统集成,提供按需生成的短期令牌。这一功能确保了策略的顺利执行,而不会迫使公司更换现有基础设施。
Astrix Security Clutch Security Entro Security Natoma Security
NHI 发现和清单:在 AWS、GitHub、Slack 和 Active Directory 等各种环境中识别和记录 NHI。 姿势管理:确保 NHI 遵守最小权限原则并正确配置以减少攻击面。 生命周期管理:协调 NHI 的生命周期,包括密钥轮换、NHI 退役和重新分配。 异常检测与威胁缓解:分析 NHI 的异常行为或配置异常,并直接在工作流程中解决问题。
起源 (Origin):即身份的生成来源,例如生成 API 密钥或密钥的系统。 人员 (People):指组织内创建或使用这些非人类身份的人类操作员。通过将 NHI 与特定人员关联,Clutch 提供了问责制和清晰的归属轨迹。 存储位置 (Storage):NHI 通常存储在不同的位置,如密钥管理器(例如 AWS Secrets Manager、Azure Key Vault)、密码管理器(例如 1Password、LastPass)或嵌入在应用程序代码中。Clutch 追踪这些身份的存储位置,确保这些存储机制是否安全。 使用者 (Consumers):指以编程方式使用 NHI 的系统。通过识别哪些系统在使用这些身份,Clutch 帮助组织监控并控制哪些进程或应用程序能够访问敏感信息。 资源 (Resources):这些是 NHI 可以访问的资产或数据。通过映射每个 NHI 可以交互的资源,Clutch 能够帮助组织确定这些身份是否有过多权限或存在漏洞。
NHI的所有者是谁:识别每个NHI的责任人或团队。 NHI的使用场景:将NHI映射到其在云工作负载中的使用,以确保生命周期操作(如轮换、停用)不会中断关键服务。 NHI的权限:确保NHI遵循最小特权原则,只授予其需要的权限并实际使用这些权限。
