Как неконтролируемые машинные идентификаторы становятся главной угрозой кибербезопасности?

В современном цифровом ландшафте одна из самых недооцененных угроз кибербезопасности кроется не в действиях людей, а в так называемых немашинных идентификаторах (Non-Human Identities, NHI). В отличие от человеческих учетных записей, которые аутентифицируются с помощью паролей и многофакторной аутентификации, NHI используют секреты — API-ключи, токены и сертификаты — для доступа к системам и данным.
Как неконтролируемые машинные идентификаторы становятся главной угрозой кибербезопасности?
Изображение носит иллюстративный характер

Масштаб проблемы поражает: по последним данным, только в 2024 году на публичных репозиториях GitHub было обнаружено 23,7 миллиона новых утечек секретов. Еще более тревожным выглядит тот факт, что 70% секретов, утекших в 2022 году, до сих пор остаются действующими. При этом количество машинных идентификаторов превышает количество человеческих в соотношении от 50:1 до 100:1, что создает огромную поверхность для атак.

К немашинным идентификаторам относятся сервисные учетные записи, сервисные принципалы, роли Snowflake, IAM-роли и множество других конструкций, специфичных для облачных платформ AWS, Azure и GCP. Основная проблема этих идентификаторов заключается в отсутствии многофакторной аутентификации для машин и предоставлении им избыточных привилегий. Более того, многие секреты имеют необязательные или чрезвычайно длительные сроки действия — до 50 лет, что делает их идеальными кандидатами на роль невидимых бэкдоров в системах.

Секреты часто обнаруживаются захардкоженными в кодовых базах, распределенными между различными инструментами и командами, дремлющими в устаревших системах и передаваемыми ИИ-агентам с минимальным надзором. Большинство этих секретов не имеют срока действия, четкого владельца и возможности аудита, что значительно усложняет управление ими.

Традиционные инструменты безопасности оказываются малоэффективными в борьбе с этой угрозой. Устаревшие системы IAM и PAM разрабатывались с учетом человеческих идентификаторов, менеджеры секретов хранят секреты, но не обнаруживают их утечки, а инструменты CSPM сосредоточены только на облачных средах. Кроме того, отсутствуют стандартизированные процессы подключения и отключения для немашинных идентификаторов.

С развитием искусственного интеллекта риски только увеличиваются. Системы RAG (Retrieval-Augmented Generation) могут случайно извлекать секреты из данных, а ИИ-агенты, подключенные к нескольким системам, увеличивают риск распространения секретов. Секреты также появляются в документах, тикетах и сообщениях, к которым ИИ имеет доступ.

Показательным примером серьезности проблемы служит инцидент с Toyota, когда один утекший секрет повлиял на глобальную систему компании, демонстрируя, как единичная утечка может иметь катастрофические последствия для крупных организаций.

Для решения этой растущей проблемы предлагается внедрение системы управления NHI, которая создает визуальный граф всего ландшафта секретов, соединяет секреты с хранилищами, сервисами, системами и владельцами, а также обеспечивает управление жизненным циклом (создание, использование, ротация, отзыв). Такая система включает в себя также механизм политик для последовательного контроля и отслеживает покрытие хранилищ, гигиену секретов, привилегии и соответствие требованиям.

В эпоху цифровой трансформации и повсеместного использования облачных технологий, управление немашинными идентификаторами становится критически важным аспектом кибербезопасности, который больше нельзя игнорировать. Без должного контроля эти невидимые цифровые сущности могут стать самой опасной слепой зоной в системе безопасности любой организации.


Новое на сайте

20276Как один npm-пакет для защиты кода сам стал источником заражения? 20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать... 20262Дыра в Defender: как гонка процессов открывала путь к правам SYSTEM, а заплатка принесла...
Ссылка