https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/
https://www.informationsecurity.com.tw/seminar/2025_TPinfosecurity365/

觀點

IAM致命盲區:非人類身份管理危機浮現

2024 / 10 / 28
編輯部
IAM致命盲區:非人類身份管理危機浮現
 在數位化轉型的浪潮中,「身份是新的邊界(identity is the new perimeter)」、「駭客以登入取代入侵(hackers dont hack in, they log in)」等等說法充分反映了身份和訪問管理(IAM)在當今網路安全中的核心地位。根據Verizon資料洩露調查報告,憑證洩露已成為導致資料洩露的主要攻擊向量,傳統網路邊界理論已不再適用。然而,在產業界普遍重視IAM並推動零信任架構的同時,一個致命的盲區正在威脅著企業安全:非人類身份(non-human identities, NHI)的管理問題。

非人類身份:被忽視的龐大風險

非人類身份(NHI)是指與應用程式、設備或其他自動化系統相關的數位和機器憑證。這些身份允許複雜系統的眾多元件協同工作,但同時也帶來了重大的安全隱憂。與傳統的人類身份管理相比,NHI的管理範圍和複雜度都要大得多。
 
研究數據顯示企業環境中非人類身份數量的驚人規模。每1000名人類用戶通常對應著約1萬個非人類連接或憑證,某些情況下,NHI的數量甚至可達到人類身份的50倍。這些數量龐大的NHI主要表現為服務帳戶、系統帳戶和IAM角色等多種類型,並且主要圍繞API金鑰、權杖、證書和機密資訊等形式展開。這種懸殊的數量差異不僅反映了現代企業對自動化系統的依賴程度,更凸顯了NHI管理在企業安全體系中的重要地位。

雲原生時代的新挑戰

在雲原生時代,機密資訊管理面臨的挑戰迅速增加。安全研究人員對公共GitHub存儲庫的掃描發現了數百萬個機密資訊,這反映出問題的嚴重性。三星等知名企業的資料洩露事件更是暴露出數以千計的機密資訊,凸顯了NHI管理的重要性。
 
NHI的治理複雜性主要體現在以下方面:
1. 分散性:存在於企業內不同工具、服務和環境中
2. 可見性:安全部門難以全面監控
3. 生命週期:難以控制整個使用周期
4. 權限管理:訪問控制難度大

安全團隊面臨的挑戰

儘管安全團隊在保護人類憑證方面投入大量資源,包括配置管理、最小許可權存取控制、範圍設定、帳戶停用機制以及多因素認證(MFA)等強大安全措施,但在面對NHI時卻遭遇了前所未有的挑戰。

由於NHI的規模龐大且系統較為不透明,安全管理的難度呈指數級增長。這種複雜性不僅來自於內部系統,更涉及眾多第三方服務提供者、複雜的合作夥伴關係,以及多樣化的環境需求。特別是在開發人員、工程師和最終用戶經常需要創建NHI並授予存取權限的情況下,他們往往並不深入理解這些長期憑證可能帶來的安全影響及潛在風險。更為關鍵的是,這些授權過程通常在缺乏安全團隊有效治理或參與的情況下進行,這進一步增加了管理的複雜度和風險。

OAuth:機遇與風險並存

OAuth作為廣泛使用的線上授權標準,在NHI訪問中發揮著關鍵作用。它不僅支援基於瀏覽器的應用程式,還能為移動應用程式、連接設備及其他自動化系統提供授權服務。這套標準通過資源伺服器、資源所有者、授權伺服器和用戶端等核心組件的協同工作,實現了安全可靠的授權機制。然而,隨著應用場景的擴大,OAuth的使用也帶來了新的安全挑戰,特別是在處理外部服務時,最終用戶往往無法掌控OAuth權杖的存儲方式,這些都由外部服務提供者或應用程式處理,增加了潛在的安全風險。

供應鏈攻擊:新興威脅

軟體供應鏈攻擊的增加使得OAuth的使用面臨新的挑戰。攻擊者已經認識到,鎖定廣泛使用的軟體供應商比單獨攻擊個別組織更具效益。近期重大攻擊事件包括:
  • Log4j漏洞利用
  • XZ Utils攻擊
  • Okta安全事件
  • GitHub資安漏洞
  • 微軟Office 365 OAuth濫用事件

SaaS治理:刻不容緩

當前企業在SaaS使用方面面臨著特殊而緊迫的挑戰。儘管大多數組織通常只依賴兩到三個IaaS提供商,但其SaaS服務供應商的數量卻往往達到數百個之多。這種情況導致了嚴重的安全管理困境,因為大部分SaaS的使用都超出了內部安全團隊的監控範圍。安全團隊不僅缺乏對這些服務訪問級別的可見性,同時也難以評估所涉及資料類型的安全性。更為棘手的是,在當前軟體供應鏈攻擊頻發的背景下,企業對這些SaaS供應商可能遭受的供應鏈攻擊風險缺乏有效的評估機制。這種情況使得SaaS治理變得刻不容緩,需要企業投入更多資源進行全面管理和風險控制。

以Dropbox事件為例,Dropbox向美國證券交易委員會提交的8-K文件揭示:「攻擊者入侵了DropboxSign後端的一個服務帳戶,這是一種用於執行應用程式和運行自動服務的非人類帳戶。」
 
Dropbox事件凸顯:
  1. NHI在現代企業中的普遍性
  2. 攻擊者對NHI的關注度提升
  3. NHI在數位生態系統中的關鍵地位
  4. 內部系統與SaaS整合的安全風險

結論與建議

在當今快速發展的數位環境中,非人類身份安全管理的重要性日益突出。如果缺乏全面的NHI安全管理方法,CISO和安全團隊將面臨諸多困境。他們不僅難以及時發現NHI相關漏洞,更無法有效識別身份安全戰略中的潛在缺陷。在新興安全威脅不斷湧現的情況下,保護企業核心資產的難度也將大幅提升。

為應對這些挑戰,企業必須建立完整的NHI安全框架,並將其納入整體安全戰略中。這不僅需要技術層面的升級,更需要管理思維的轉變。只有從戰略高度重視NHI安全管理,企業才能在日益複雜的網路安全環境中保持競爭優勢,確保數位資產的安全。

本文轉載自csoonline。