Jaringan perusahaan modern adalah lingkungan yang sangat kompleks yang mengandalkan ratusan aplikasi dan layanan infrastruktur. Sistem ini perlu berinteraksi dengan aman dan efisien tanpa pengawasan manusia yang konstan, di situlah non-manusia identitas (NHI) masuk. NHIS-termasuk rahasia aplikasi, kunci API, akun layanan, dan token oauth-telah meledak satu tahun terakhir, berkat lalat aplikasi dan layanan yang terus berkembang yang harus bekerja sama dan mengidentifikasi satu sama lain. Di beberapa perusahaan, NHIS sekarang lebih banyak daripada identitas manusia sebanyak 50-ke-1.
Namun, NHIS memperkenalkan risiko unik dan tantangan manajemen yang membuat para pemimpin keamanan waspada. Empat puluh enam persen organisasi telah mengalami kompromi akun atau kredensial NHI selama setahun terakhir, dan 26% lainnya mencurigai, menurut laporan baru-baru ini dari Enterprise Strategy Group.
Tidak heran NHIS – dan kesulitan yang mereka hadapi dengan pengawasan, pengurangan risiko, dan tata kelola – telah menjadi topik yang berulang di Forum CISO Okta. Di sini, kita akan menjelajahi kenaikan, risiko, dan bagaimana cisos dan pemimpin keamanan mengelola mereka hari ini.
Kebangkitan spektakuler NHIS
Kenaikan NHIS dapat ditelusuri ke meningkatnya penggunaan layanan cloud, AI dan otomatisasi, dan alur kerja digital. Ini adalah tren yang kemungkinan akan berlanjut, karena semakin banyak tugas yang otomatis dan manusia kurang dari bagian dari persamaan.
NHIS memungkinkan aplikasi untuk mengotentikasi satu sama lain, baik di dalam domain tertentu dan dengan aplikasi pihak ketiga seperti layanan cloud. Rahasia, kunci, dan token itu sama sensitifnya dengan kredensial yang digunakan oleh manusia, dan dalam beberapa kasus, terlebih lagi, karena mereka dapat memberikan musuh akses yang kuat ke aplikasi dan layanan tertentu jika mereka bocor.
Cisos memperhatikan. Faktanya, lebih dari 80% organisasi berharap untuk meningkatkan pengeluaran untuk keamanan identitas non-manusia.
Menurut Mark Sutton, Ciso di Bain Capital, “identitas non-manusia telah menjadi fokus bagi tim berdasarkan kematangan identitas dan program manajemen akses mereka. Ini dengan cepat menjadi kebakaran terpanas berikutnya karena orang-orang memiliki identitas pengguna yang agak terpecahkan. Perkembangan alami kemudian untuk mulai melihat akun layanan dan mesin non-Machine-to-Machine, termasuk Api.”
Sederhananya, begitu organisasi membangun protokol yang kuat untuk mengamankan identitas manusia, langkah logis berikutnya adalah menangani NHIS. “Itu, dan identitas non-manusia adalah bagian dari lanskap ancaman, dan di situlah penyerang pergi berikutnya.”
Kebocoran rahasia dan risiko NHIS lainnya
Seperti set kredensial lainnya, NHIS sensitif dan perlu dilindungi. Tetapi sementara manusia dapat menggunakan langkah -langkah keamanan yang kuat seperti MFA atau biometrik untuk melindungi kredensial sensitif, NHI sering mengandalkan langkah -langkah yang kurang aman untuk otentikasi. Itu bisa menjadikannya target mudah bagi penyerang.
Kebocoran rahasia NHI juga bisa menjadi perhatian serius. Ini dapat terjadi dalam beberapa cara, apakah itu melalui coding hard mereka ke dalam kode sumber aplikasi atau secara tidak sengaja menyalin dan menempelkannya ke dalam dokumen publik. Kebocoran rahasia adalah masalah yang signifikan, dan rahasia sering muncul di repositori gitub publik. Faktanya, perusahaan keamanan GitGuardian menemukan lebih dari 27 juta rahasia baru di repositori publik tahun lalu. Ini menimbulkan masalah yang bahkan lebih besar ketika Anda menganggap bahwa rahasia NHI tidak sering diputar di sebagian besar lingkungan, sehingga masa manfaat rahasia yang bocor bisa sangat lama.
Dan, karena mereka sering membutuhkan izin yang luas dan gigih untuk melakukan tugas, NHI dapat mengumpulkan izin yang berlebihan, lebih lanjut meningkatkan permukaan serangan. Semua ini menjadikan NHIS target utama bagi penyerang dan tantangan besar bagi CISO dan tim keamanan mereka.
Tiga tantangan yang dihadapi Cisos dalam mengamankan NHIS
Sementara NHIS sekarang berada di radar Cisos, mengamankan mereka adalah cerita lain. Berikut adalah tiga tantangan yang kami dengar dari CISO, dan bagaimana mereka mengelolanya:
- Mendapatkan visibilitas. Rintangan terbesar dalam mencoba mengamankan dan mengelola NHIS benar -benar menemukannya. Visibilitas ke tempat NHIS berada di lingkungan dapat dibatasi, dan menemukan semua atau bahkan kebanyakan dari mereka adalah tugas yang sulit. Banyak organisasi memiliki ribuan NHI yang bahkan tidak mereka ketahui. Pepatah lama “Anda tidak dapat mengamankan apa yang tidak Anda ketahui” berlaku di sini. Itu berarti menemukan dan menginventarisasi NHIS sangat penting. Menerapkan solusi manajemen postur keamanan identitas dapat membantu admin dan profesional keamanan mengidentifikasi NHI di seluruh organisasi mereka.
- Prioritas dan Pengurangan Risiko. Tantangan berikutnya adalah memprioritaskan risiko yang terkait dengan NHIS di lingkungan. Tidak semua NHI diciptakan sama. Menemukan NHI yang paling kuat dan mengidentifikasi NHIS yang terlalu istimewa adalah langkah kunci dalam mengamankan identitas ini. Banyak akun layanan dan NHI lainnya memiliki hak istimewa yang jauh lebih banyak daripada yang sebenarnya mereka butuhkan, yang dapat menimbulkan risiko bagi organisasi. Mengidentifikasi NHIS bernilai tinggi dan menyesuaikan hak dan izin dapat membantu mengurangi risiko itu. “Ini tentang memahami jari-jari ledakan yang terkait dengan setiap identitas non-manusia dan bertanya 'Apa risikonya?' Tidak semua nhis memiliki ancaman yang sama, “Sutton menekankan.
- Membangun tata kelola. Dengan begitu banyak NHI yang diciptakan hari ini, pemerintahan telah menjadi duri nyata di sisi CISO. Tetapi ketika mereka tidak diatur dengan benar, hal-hal buruk dapat terjadi-ambil, misalnya, serangkaian pelanggaran arsip internet yang terkait dengan token yang tidak ada yang tidak ada pada Oktober 2024. Seringkali, NHI diciptakan oleh pengembang untuk melayani kebutuhan jangka pendek, tetapi mereka jarang dilacak atau dinonaktifkan dengan benar. Memahami siapa yang menciptakan NHIS, bagaimana mereka menciptakannya, dan untuk tujuan apa adalah langkah pertama yang baik. Kemudian, tim keamanan harus membangun proses yang jelas untuk mengelolanya sehingga identitas non-manusia tidak dapat dibuat secara sewenang-wenang. “Kita harus memikirkan apa kebijakan otentikasi dan kata sandi kita,” kata Sutton. “Misalnya, ada kemungkinan banyak akun layanan dengan kata sandi statis yang lemah yang belum diputar selama bertahun -tahun. Bagaimana kita memastikan kita mengelola itu?”
Pikiran terakhir
Identitas non-manusia sangat penting untuk bisnis saat ini, membantu mereka mengotomatisasi proses, memungkinkan integrasi, dan memastikan kelancaran operasi. Tantangannya: Mereka sulit untuk diamankan dan merupakan target yang menarik bagi para aktor ancaman karena mereka sering tidak difederasi, kekurangan MFA, menggunakan kredensial statis, dan memiliki hak istimewa yang berlebihan.
Pada akhirnya, identitas non-manusia dan identitas manusia mungkin memiliki karakteristik dan kebutuhan yang berbeda, tetapi keduanya memerlukan pendekatan ujung ke ujung yang melindungi mereka sebelum, selama, dan setelah otentikasi. NHIS mungkin bukan manusia, tetapi mereka adalah aktor yang semakin kuat di lingkungan Anda. Itu membuat mengamankan mereka bukan opsional, tetapi mendesak.
Bergabunglah dengan webcast kami pada 18 Agustus untuk mempelajari bagaimana organisasi mengurangi risiko dan kompleksitas dengan mengelola semua identitas – manusia atau tidak – di bawah satu sistem terpadu.
