
Proyek Keamanan Aplikasi Web Terbuka baru-baru ini memperkenalkan proyek Top 10 baru – Non-Human Identity (NHI) Top 10. Selama bertahun-tahun, OWASP telah memberikan panduan penting dan kerangka kerja yang dapat ditindaklanjuti kepada para profesional dan pengembang keamanan melalui 10 proyek Topnya, termasuk Daftar keamanan API dan Aplikasi Web yang banyak digunakan.
Keamanan identitas non-manusia mewakili minat yang muncul dalam industri keamanan siber, yang mencakup risiko dan kurangnya pengawasan yang terkait dengan kunci API, akun layanan, aplikasi OAuth, kunci SSH, peran IAM, rahasia, dan kredensial mesin serta identitas beban kerja lainnya.
Mengingat bahwa proyek unggulan OWASP Top 10 sudah mencakup berbagai risiko keamanan yang harus menjadi fokus pengembang, orang mungkin bertanya – apakah kita benar-benar membutuhkan NHI Top 10? Jawaban singkatnya adalah – ya. Mari kita lihat alasannya, dan jelajahi 10 risiko terbesar NHI.
Mengapa kita membutuhkan NHI Top 10
Meskipun proyek OWASP lainnya mungkin menyentuh kerentanan terkait, seperti kesalahan konfigurasi rahasia, NHI dan risiko terkait lebih dari itu. Insiden keamanan yang memanfaatkan NHI tidak hanya berkisar pada rahasia yang terungkap; hal ini mencakup izin yang berlebihan, serangan phishing OAuth, peran IAM yang digunakan untuk pergerakan lateral, dan banyak lagi.
Meskipun penting, daftar 10 Teratas OWASP yang ada tidak mampu menjawab tantangan unik yang dihadapi oleh NHI dengan tepat. Sebagai penggerak konektivitas penting antara sistem, layanan, data, dan agen AI, NHI sangat lazim di lingkungan pengembangan dan runtime, dan pengembang berinteraksi dengan mereka di setiap tahap jalur pengembangan.
Dengan meningkatnya frekuensi serangan yang menyasar NHI, menjadi penting untuk membekali pengembang dengan panduan khusus mengenai risiko yang mereka hadapi.

Memahami kriteria peringkat 10 Besar OWASP
Sebelum kita mendalami risiko sebenarnya, penting untuk memahami peringkat di balik 10 proyek Teratas. 10 proyek teratas OWASP mengikuti serangkaian parameter standar untuk menentukan tingkat keparahan risiko:
- Eksploitasi: Evaluasi seberapa mudah penyerang dapat mengeksploitasi kerentanan tertentu jika organisasi tidak memiliki perlindungan yang memadai.
- Dampak: Mempertimbangkan potensi kerusakan yang dapat ditimbulkan oleh risiko terhadap operasi dan sistem bisnis.
- Prevalensi: Menilai seberapa umum masalah keamanan terjadi di berbagai lingkungan, dengan mengabaikan tindakan perlindungan yang ada.
- Deteksi: Mengukur kesulitan menemukan kelemahan menggunakan alat pemantauan dan deteksi standar.
Menguraikan 10 risiko teratas OWASP NHI
Sekarang ke daging. Mari kita jelajahi risiko-risiko utama yang masuk dalam daftar 10 Besar NHI dan mengapa risiko-risiko tersebut penting:
NHI10:2025 – Pemanfaatan NHI oleh Manusia
NHI dirancang untuk memfasilitasi proses, layanan, dan aplikasi otomatis tanpa campur tangan manusia. Namun, selama fase pengembangan dan pemeliharaan, pengembang atau administrator dapat menggunakan kembali NHI untuk operasi manual yang idealnya dilakukan menggunakan kredensial manusia pribadi dengan hak istimewa yang sesuai. Hal ini dapat menyebabkan penyalahgunaan hak istimewa, dan jika kunci yang disalahgunakan ini adalah bagian dari eksploitasi, sulit untuk mengetahui siapa yang bertanggung jawab atas hal tersebut.
NHI9:2025 – Penggunaan Kembali NHI
Penggunaan kembali NHI terjadi ketika tim menggunakan kembali akun layanan yang sama, misalnya, di beberapa aplikasi. Meskipun mudah dilakukan, hal ini melanggar prinsip paling sedikit hak istimewa dan dapat mengekspos banyak layanan jika NHI dikompromikan – sehingga meningkatkan radius ledakan.
NHI8:2025 – Isolasi Lingkungan
Kurangnya isolasi lingkungan yang ketat dapat menyebabkan pengujian NHI mengalami penurunan produksi. Contoh dunia nyata adalah serangan Midnight Blizzard terhadap Microsoft, di mana aplikasi OAuth yang digunakan untuk pengujian ditemukan memiliki hak istimewa yang tinggi dalam produksi, sehingga memperlihatkan data sensitif.
NHI7:2025 – Rahasia Umur Panjang
Rahasia yang tetap berlaku untuk jangka waktu lama menimbulkan risiko yang signifikan. Sebuah insiden penting melibatkan Microsoft AI yang secara tidak sengaja mengekspos token akses di repositori GitHub publik, yang tetap aktif selama lebih dari dua tahun dan menyediakan akses ke data internal sebesar 38 terabyte.
NHI6:2025 – Konfigurasi Penerapan Cloud Tidak Aman
Pipeline CI/CD pada dasarnya memerlukan izin yang ekstensif, menjadikannya target utama bagi penyerang. Kesalahan konfigurasi, seperti kredensial yang dikodekan secara keras atau konfigurasi OIDC yang terlalu permisif, dapat menyebabkan akses tidak sah ke sumber daya penting, sehingga rentan terhadap pelanggaran.
NHI5:2025 – NHI Berkelebihan
Banyak NHI yang diberikan hak istimewa berlebihan karena praktik pemberian layanan yang buruk. Menurut laporan CSA baru-baru ini, 37% insiden keamanan terkait NHI disebabkan oleh individu dengan hak istimewa yang berlebihan. Hal ini menunjukkan adanya kebutuhan mendesak akan kontrol akses yang tepat dan praktik dengan hak istimewa yang rendah.
NHI4:2025 – Metode Otentikasi Tidak Aman
Banyak platform seperti Microsoft 365 dan Google Workspace masih mendukung metode autentikasi yang tidak aman seperti alur OAuth implisit dan sandi aplikasi, yang mengabaikan MFA dan rentan terhadap serangan. Pengembang sering kali tidak menyadari risiko keamanan dari mekanisme yang sudah ketinggalan zaman ini, sehingga menyebabkan penggunaannya secara luas dan potensi eksploitasi.
NHI3:2025 – NHI Pihak Ketiga yang Rentan
Banyak jalur pengembangan bergantung pada alat dan layanan pihak ketiga untuk mempercepat pengembangan, meningkatkan kemampuan, memantau aplikasi, dan banyak lagi. Alat dan layanan ini terintegrasi langsung dengan IDE dan repositori kode menggunakan NHI seperti kunci API, aplikasi OAuth, dan akun layanan. Pelanggaran yang melibatkan vendor seperti CircleCI, Okta, dan GitHub telah memaksa pelanggan untuk berebut merotasi kredensial, menyoroti pentingnya pemantauan dan pemetaan secara ketat terhadap NHI yang dimiliki secara eksternal ini.
NHI2:2025 – Kebocoran Rahasia
Kebocoran rahasia masih menjadi perhatian utama, sering kali menjadi vektor akses awal bagi penyerang. Penelitian menunjukkan bahwa 37% organisasi memiliki rahasia yang di-hardcode dalam aplikasinya, sehingga menjadikan mereka target utama.
NHI1:2025 – Offboarding yang Tidak Benar
Digolongkan sebagai risiko NHI tertinggi, offboarding yang tidak tepat mengacu pada pengawasan umum terhadap NHI yang masih ada namun tidak diberhentikan atau dinonaktifkan setelah seorang karyawan keluar, layanannya dihapus, atau pihak ketiga diberhentikan. Faktanya, lebih dari 50% organisasi tidak memiliki proses formal untuk keluar dari NHI. NHI yang tidak lagi diperlukan namun tetap aktif menciptakan beragam peluang serangan, terutama ancaman dari dalam.
Kerangka kerja standar untuk keamanan NHI
OWASP NHI Top 10 mengisi kesenjangan kritis dengan menyoroti tantangan keamanan unik yang ditimbulkan oleh NHI. Tim keamanan dan pengembangan sama-sama tidak memiliki pandangan yang jelas dan terstandarisasi mengenai risiko yang ditimbulkan oleh identitas ini, dan bagaimana cara memasukkan mereka ke dalam program keamanan. Seiring dengan meluasnya penggunaannya dalam berbagai aplikasi modern, proyek seperti OWASP NHI Top 10 menjadi lebih penting dari sebelumnya.