В современном цифровом ландшафте одна из самых недооцененных угроз кибербезопасности кроется не в действиях людей, а в так называемых немашинных идентификаторах (Non-Human Identities, NHI). В отличие от человеческих учетных записей, которые аутентифицируются с помощью паролей и многофакторной аутентификации, NHI используют секреты — API-ключи, токены и сертификаты — для доступа к системам и данным.
Масштаб проблемы поражает: по последним данным, только в 2024 году на публичных репозиториях GitHub было обнаружено 23,7 миллиона новых утечек секретов. Еще более тревожным выглядит тот факт, что 70% секретов, утекших в 2022 году, до сих пор остаются действующими. При этом количество машинных идентификаторов превышает количество человеческих в соотношении от 50:1 до 100:1, что создает огромную поверхность для атак.
К немашинным идентификаторам относятся сервисные учетные записи, сервисные принципалы, роли Snowflake, IAM-роли и множество других конструкций, специфичных для облачных платформ AWS, Azure и GCP. Основная проблема этих идентификаторов заключается в отсутствии многофакторной аутентификации для машин и предоставлении им избыточных привилегий. Более того, многие секреты имеют необязательные или чрезвычайно длительные сроки действия — до 50 лет, что делает их идеальными кандидатами на роль невидимых бэкдоров в системах.
Секреты часто обнаруживаются захардкоженными в кодовых базах, распределенными между различными инструментами и командами, дремлющими в устаревших системах и передаваемыми ИИ-агентам с минимальным надзором. Большинство этих секретов не имеют срока действия, четкого владельца и возможности аудита, что значительно усложняет управление ими.
Традиционные инструменты безопасности оказываются малоэффективными в борьбе с этой угрозой. Устаревшие системы IAM и PAM разрабатывались с учетом человеческих идентификаторов, менеджеры секретов хранят секреты, но не обнаруживают их утечки, а инструменты CSPM сосредоточены только на облачных средах. Кроме того, отсутствуют стандартизированные процессы подключения и отключения для немашинных идентификаторов.
С развитием искусственного интеллекта риски только увеличиваются. Системы RAG (Retrieval-Augmented Generation) могут случайно извлекать секреты из данных, а ИИ-агенты, подключенные к нескольким системам, увеличивают риск распространения секретов. Секреты также появляются в документах, тикетах и сообщениях, к которым ИИ имеет доступ.
Показательным примером серьезности проблемы служит инцидент с Toyota, когда один утекший секрет повлиял на глобальную систему компании, демонстрируя, как единичная утечка может иметь катастрофические последствия для крупных организаций.
Для решения этой растущей проблемы предлагается внедрение системы управления NHI, которая создает визуальный граф всего ландшафта секретов, соединяет секреты с хранилищами, сервисами, системами и владельцами, а также обеспечивает управление жизненным циклом (создание, использование, ротация, отзыв). Такая система включает в себя также механизм политик для последовательного контроля и отслеживает покрытие хранилищ, гигиену секретов, привилегии и соответствие требованиям.
В эпоху цифровой трансформации и повсеместного использования облачных технологий, управление немашинными идентификаторами становится критически важным аспектом кибербезопасности, который больше нельзя игнорировать. Без должного контроля эти невидимые цифровые сущности могут стать самой опасной слепой зоной в системе безопасности любой организации.
Изображение носит иллюстративный характер
Масштаб проблемы поражает: по последним данным, только в 2024 году на публичных репозиториях GitHub было обнаружено 23,7 миллиона новых утечек секретов. Еще более тревожным выглядит тот факт, что 70% секретов, утекших в 2022 году, до сих пор остаются действующими. При этом количество машинных идентификаторов превышает количество человеческих в соотношении от 50:1 до 100:1, что создает огромную поверхность для атак.
К немашинным идентификаторам относятся сервисные учетные записи, сервисные принципалы, роли Snowflake, IAM-роли и множество других конструкций, специфичных для облачных платформ AWS, Azure и GCP. Основная проблема этих идентификаторов заключается в отсутствии многофакторной аутентификации для машин и предоставлении им избыточных привилегий. Более того, многие секреты имеют необязательные или чрезвычайно длительные сроки действия — до 50 лет, что делает их идеальными кандидатами на роль невидимых бэкдоров в системах.
Секреты часто обнаруживаются захардкоженными в кодовых базах, распределенными между различными инструментами и командами, дремлющими в устаревших системах и передаваемыми ИИ-агентам с минимальным надзором. Большинство этих секретов не имеют срока действия, четкого владельца и возможности аудита, что значительно усложняет управление ими.
Традиционные инструменты безопасности оказываются малоэффективными в борьбе с этой угрозой. Устаревшие системы IAM и PAM разрабатывались с учетом человеческих идентификаторов, менеджеры секретов хранят секреты, но не обнаруживают их утечки, а инструменты CSPM сосредоточены только на облачных средах. Кроме того, отсутствуют стандартизированные процессы подключения и отключения для немашинных идентификаторов.
С развитием искусственного интеллекта риски только увеличиваются. Системы RAG (Retrieval-Augmented Generation) могут случайно извлекать секреты из данных, а ИИ-агенты, подключенные к нескольким системам, увеличивают риск распространения секретов. Секреты также появляются в документах, тикетах и сообщениях, к которым ИИ имеет доступ.
Показательным примером серьезности проблемы служит инцидент с Toyota, когда один утекший секрет повлиял на глобальную систему компании, демонстрируя, как единичная утечка может иметь катастрофические последствия для крупных организаций.
Для решения этой растущей проблемы предлагается внедрение системы управления NHI, которая создает визуальный граф всего ландшафта секретов, соединяет секреты с хранилищами, сервисами, системами и владельцами, а также обеспечивает управление жизненным циклом (создание, использование, ротация, отзыв). Такая система включает в себя также механизм политик для последовательного контроля и отслеживает покрытие хранилищ, гигиену секретов, привилегии и соответствие требованиям.
В эпоху цифровой трансформации и повсеместного использования облачных технологий, управление немашинными идентификаторами становится критически важным аспектом кибербезопасности, который больше нельзя игнорировать. Без должного контроля эти невидимые цифровые сущности могут стать самой опасной слепой зоной в системе безопасности любой организации.