В современном цифровом ландшафте, где автоматизация и облачные вычисления играют ключевую роль, растет количество машинных идентичностей (NHI). Эти цифровые сущности, включающие API-ключи, служебные учетные записи, OAuth-приложения, SSH-ключи и IAM-роли, становятся все более распространенными в средах разработки и выполнения. Однако, в отличие от человеческих учетных записей, NHI часто остаются в тени, игнорируемые стандартными практиками безопасности. Именно поэтому проект OWASP Non-Human Identity (NHI) Top 10 приобретает критическое значение.
Существующие списки OWASP Top 10, ориентированные на безопасность веб-приложений и API, не в полной мере охватывают специфические риски, связанные с NHI. Безопасность NHI – это вопрос защиты секретов. Она включает в себя управление избыточными разрешениями, предотвращение фишинга OAuth и защиту от горизонтального перемещения в скомпрометированной системе. Разнообразие типов NHI, от API-ключей до учетных записей сервисов, делает их уязвимыми для широкого спектра угроз.
OWASP NHI Top 10 является ответом на эту проблему, предоставляя стандартизированный фреймворк для управления безопасностью машинных идентичностей. Этот список, ранжированный по критериям «Воздействие», «Распространенность» и «Обнаруживаемость», выделяет десять наиболее критических рисков NHI в 2025 году.
Первое место, NHI1:2025, занимает проблема неправильного вывода из эксплуатации, когда забытые или неверно удаленные учетные данные продолжают представлять угрозу. На втором месте, NHI2:2025, находится утечка секретов, которая по-прежнему является серьезной проблемой. NHI3:2025 подчеркивает уязвимость сторонних NHI, когда интеграции с другими системами вводят новые риски. NHI4:2025 относится к небезопасным методам аутентификации и NHI5:2025 – к NHI с избыточными привилегиями, что, согласно отчету CSA, является причиной 37% инцидентов, связанных с NHI.
Кроме того, NHI6:2025 – это небезопасные конфигурации облачных развертываний, а NHI7:2025 – проблема долгоживущих секретов. NHI8:2025 касается изоляции среды и NHI9:2025 – повторного использования NHI, когда одна и та же идентичность используется в различных целях, повышая потенциальные последствия компрометации. Завершает список NHI10:2025 – использование NHI людьми, когда сотрудники используют машинные учетные записи для личных нужд.
Примеры атак и инцидентов, такие как взлом Microsoft «Midnight Blizzard», где скомпрометированное OAuth-приложение, использовалось для тестирования в рабочей среде, или инцидент с Microsoft AI, когда токен доступа, размещенный на GitHub, оставался активным более двух лет и привел к утечке 38 терабайт данных, подчеркивают серьезность проблем безопасности NHI. Бреши безопасности, затрагивающие поставщиков, такие как CircleCI, Okta и GitHub, демонстрируют, что уязвимости в NHI могут иметь далеко идущие последствия. Более 50% организаций не имеют формальных процедур для вывода NHI из эксплуатации, а 37% организаций имеют жестко закодированные секреты в своих приложениях.
Практическая реализация OWASP NHI Top 10 важна для улучшения безопасности NHI. Astrix Security, компания специализирующаяся на безопасности, внедрила фреймворк OWASP NHI Top 10 в свою панель мониторинга соответствия. Этот инструмент помогает специалистам по безопасности визуализировать риски, выявлять пробелы и расставлять приоритеты для улучшения безопасности. Используя этот подход, организации могут получить более полное представление о ландшафте безопасности NHI и принимать более взвешенные решения.
В условиях цифровой трансформации и все более сложного программного обеспечения и развертывания облачных решений, важность надежной системы безопасности NHI постоянно растет. Обеспечение безопасности этих часто игнорируемых, но жизненно важных компонентов является ключом к предотвращению дорогостоящих утечек и сбоев безопасности. Списки OWASP NHI Top 10 и инструменты, такие как панель управления Astrix, помогают организациям лучше понимать и защищать свои машинные идентичности в Microsoft 365 и Google Workspace. Игнорирование этих рисков может привести к катастрофическим последствиям.
Изображение носит иллюстративный характер
Существующие списки OWASP Top 10, ориентированные на безопасность веб-приложений и API, не в полной мере охватывают специфические риски, связанные с NHI. Безопасность NHI – это вопрос защиты секретов. Она включает в себя управление избыточными разрешениями, предотвращение фишинга OAuth и защиту от горизонтального перемещения в скомпрометированной системе. Разнообразие типов NHI, от API-ключей до учетных записей сервисов, делает их уязвимыми для широкого спектра угроз.
OWASP NHI Top 10 является ответом на эту проблему, предоставляя стандартизированный фреймворк для управления безопасностью машинных идентичностей. Этот список, ранжированный по критериям «Воздействие», «Распространенность» и «Обнаруживаемость», выделяет десять наиболее критических рисков NHI в 2025 году.
Первое место, NHI1:2025, занимает проблема неправильного вывода из эксплуатации, когда забытые или неверно удаленные учетные данные продолжают представлять угрозу. На втором месте, NHI2:2025, находится утечка секретов, которая по-прежнему является серьезной проблемой. NHI3:2025 подчеркивает уязвимость сторонних NHI, когда интеграции с другими системами вводят новые риски. NHI4:2025 относится к небезопасным методам аутентификации и NHI5:2025 – к NHI с избыточными привилегиями, что, согласно отчету CSA, является причиной 37% инцидентов, связанных с NHI.
Кроме того, NHI6:2025 – это небезопасные конфигурации облачных развертываний, а NHI7:2025 – проблема долгоживущих секретов. NHI8:2025 касается изоляции среды и NHI9:2025 – повторного использования NHI, когда одна и та же идентичность используется в различных целях, повышая потенциальные последствия компрометации. Завершает список NHI10:2025 – использование NHI людьми, когда сотрудники используют машинные учетные записи для личных нужд.
Примеры атак и инцидентов, такие как взлом Microsoft «Midnight Blizzard», где скомпрометированное OAuth-приложение, использовалось для тестирования в рабочей среде, или инцидент с Microsoft AI, когда токен доступа, размещенный на GitHub, оставался активным более двух лет и привел к утечке 38 терабайт данных, подчеркивают серьезность проблем безопасности NHI. Бреши безопасности, затрагивающие поставщиков, такие как CircleCI, Okta и GitHub, демонстрируют, что уязвимости в NHI могут иметь далеко идущие последствия. Более 50% организаций не имеют формальных процедур для вывода NHI из эксплуатации, а 37% организаций имеют жестко закодированные секреты в своих приложениях.
Практическая реализация OWASP NHI Top 10 важна для улучшения безопасности NHI. Astrix Security, компания специализирующаяся на безопасности, внедрила фреймворк OWASP NHI Top 10 в свою панель мониторинга соответствия. Этот инструмент помогает специалистам по безопасности визуализировать риски, выявлять пробелы и расставлять приоритеты для улучшения безопасности. Используя этот подход, организации могут получить более полное представление о ландшафте безопасности NHI и принимать более взвешенные решения.
В условиях цифровой трансформации и все более сложного программного обеспечения и развертывания облачных решений, важность надежной системы безопасности NHI постоянно растет. Обеспечение безопасности этих часто игнорируемых, но жизненно важных компонентов является ключом к предотвращению дорогостоящих утечек и сбоев безопасности. Списки OWASP NHI Top 10 и инструменты, такие как панель управления Astrix, помогают организациям лучше понимать и защищать свои машинные идентичности в Microsoft 365 и Google Workspace. Игнорирование этих рисков может привести к катастрофическим последствиям.
