非人类身份 (NHI) 在组织中占据了相当大的比例,其数量可能比人类身份高出 50 倍。为了应对由此带来的安全问题,OWASP 提出了全新的非人类身份十大风险指南,帮助组织提高对 NHI 危险的意识并提供切实可行的对策。
根据估计,在每 1000 个人类用户中,企业网络中可能拥有 10000 个非人类连接或凭证。当我们认识到凭证仍然是安全违规事件的主要攻击向量时,就能理解为什么这将成为问题。一旦认识到这一点,就会意识到信任的设置可能比想像中更具挑战性。
OWASP 的非人类身份十大风险包含了一些显著的安全挑战,下面是对其主要风险的说明和建议。
员工、承包商和资源在组织中更换职位或离职后,往往会留下孤立的帐号和凭证。这种情况也发生在 NHI 上,往往涉及到与应用程式、服务、系统等的凭证无法及时清理。
这些孤立的 Kubernetes 服务帐号,或者是前员工利用未撤销的凭证进行特权提升,都是实际存在的风险。
OWASP 建议实施标准化的离职流程,审查所有与离职员工或应用程序相关的 NHI。自动化离职步骤和定期审计活动可阻止潜在的滥用行为。
第二大风险是秘密泄露,包括 API 键、令牌、加密密钥等。在过去的几年中,Codecov、Samsung 等诸多公开事件反映了这个问题的普遍性。
加速npv下载为了降低秘密泄露的风险,建议使用临时凭证、部署秘密管理工具、自动化秘密检测和定期旋转密钥。
第三方 NHI 可能在 IDE、扩展和 SaaS 应用程序中集成中发挥作用。2024 年,安全研究人员发现 Visual Studio Code 市场的一些恶意扩展影响了数百万安装。
为减少第三方 NHI 的风险,OWASP 建议对第三方整合进行审核,监控其行为,并优化凭证的使用。
OWASP 强调开发者在内部和外部服务中的身份管理,不合规的身份验证可能导致安全隐患。它建议开发者采用标准化的协议,如 OAuth 21 和 OpenID Connect。
为防止不安全的身份验证风险,建议采取现代身份验证标准,整合无凭证方法并定期进行安全审计。
过多权限一直是身份和访问管理中的关键问题。虽然目前对零信任的关注日益增强,但权限过度问题仍然普遍存在。
降低 NHI 过度权限的建议包括强制执行最小权限原则、定期
白鲸加速器最新版1.45上线,优化节点调度与连接速度,提升日常使用流畅度。
