管理非人类身份的隐形风险

2024-09-05 06:52

本文主要是介绍管理非人类身份的隐形风险,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在网络安全的动态世界中,身份和访问管理 (IAM) 是关键的基础。确保只有授权的个人和系统才能访问公司资源至关重要。

不幸的是,虽然许多组织擅长管理人类身份,但他们通常需要更多地关注不断增长且可能更具危险的数字参与者类别,即非人类身份 (NHI)。

这些看不见的实体(包括服务帐户、API、机器人等)正在迅速增加,导致广泛的攻击面被忽视,因此保护不足。

非人类身份的兴起和风险

NHI 是一种数字身份,代表数字环境中的机器、应用程序或服务。这些身份是机器对机器通信不可或缺的一部分,为从 IT 自动化到云服务的一切提供支持。

与人类身份不同,NHI 基于预定义的算法和脚本运行,通常无需直接人工监督。这种自主性使它们能够以远远超出人类能力的速度和规模执行任务,但也放大了与它们被入侵相关的风险。

云计算、DevOps 方法和物联网 (IoT) 等技术进步是 NHI 数量不断增长的原因。

企业环境中添加的每项新服务、设备或应用程序通常都会带来一组新的 NHI。这种快速扩张使得组织几乎不可能跟踪所有非人类实体,从而导致 NHI 通常在暗中运作——看不见也想不到。

网络安全影响

NHI 面临的挑战与人类身份识别截然不同。其中一个重大挑战是,NHI 通常可以更深入、更广泛地访问关键系统,这使它们成为攻击者的高价值目标。

此外,许多 NHI 都依赖于很少更新的静态凭证(例如 API 密钥或密码),这增加了风险。这增加了恶意行为者利用这些凭证的可能性。

NHI 的运作速度也增加了造成损害的可能性。一旦受到攻击,NHI 就可以在网络中横向移动,以人类响应者难以应对的速度执行任务和访问数据。

NHI 运作的自动化和连续性意味着攻击者的机会窗口比人类身份大得多,而人类身份通常只在规定的工作时间内活跃。

此外,NHI 通常存在于不受密切监控的环境中。这种缺乏可见性带来了重大风险因素,因为检测受损的 NHI 可能具有挑战性。

因此,组织面临日益严重的“影子 IT”问题,他们通常不知道 NHI 的全部足迹,更不用说如何有效地保护它了。

合规和声誉风险

除了网络安全风险外,NHI 还面临严重的合规挑战。GDPR、HIPAA 和萨班斯-奥克斯利法案等监管框架要求严格的身份和访问管理控制。

然而,这些法规主要是针对人类身份而设计的。因此,未能将这些控制扩展到 NHI 的组织可能会不合规,这可能导致巨额罚款和声誉受损。

涉及 NHI 的重大违规行为已经证明了其潜在后果。

例如,2023 年 Cloudflare 违规行为暴露了与 NHI 管理不善相关的漏洞。

攻击者通过入侵服务帐户(一种 NHI)获取敏感数据,这凸显了对这些身份进行更严格控制和监控的迫切需求。

管理 NHI 的最佳实践

鉴于 NHI 所面临的独特风险和挑战,组织必须采取积极主动的方式来管理这些身份。以下最佳实践可以帮助降低风险:

1.全面的清单和可视性:管理 NHI 的第一步是全面了解其在企业中的存在和活动。这涉及定期审核目录服务并维护所有 NHI 的最新清单。专用工具可以帮助发现和编目这些身份,使跟踪和管理它们更加容易。

2.生命周期管理和自动化:NHI 的生命周期通常与人类身份不同,有些 NHI 仅暂时存在。组织应实施自动化流程来创建、管理和取消配置 NHI。这可降低孤立身份的风险,并确保在不再需要时撤销权限。生命周期管理必须包括定义每个 NHI 所有权的策略,以便了解 NHI 存在的原因并确定谁控制 NHI 的责任。

3.特权访问管理 (PAM):NHI 通常需要提升权限才能执行任务,但这些权限应受到严格控制。PAM 解决方案可以强制执行最小特权原则,确保 NHI 仅在需要时才能访问所需的内容。PAM 还可以自动执行凭证轮换并实施即时 (JIT) 访问,从而进一步降低凭证滥用的风险。

4.零信任架构:对 NHI 实施零信任方法需要根据时间、位置和行为等情境因素不断验证其访问权限。这可确保 NHI 不会被授予永久访问权限,并且其活动会受到密切监控,以防出现任何泄露迹象。

5.政策和治理框架:为确保 NHI 管理的一致性,组织应将 NHI 特定政策整合到其更广泛的身份治理框架中。这包括明确分配 NHI 所有权、定义审批工作流程和建立便于识别和控制的命名约定。

随着数字环境的不断发展,非人类身份的扩散只会加速。如果组织未能认识到并解决这些隐形行为者带来的独特风险,那么他们就会陷入危险。

通过采用全面的 NHI 管理方法(包括可见性、问责制、PAM、零信任和强有力的治理),企业可以降低风险并加强其整体网络安全态势。

现在是采取行动的时候了……否则 NHI 的隐形危险将成为下一个引人注目的漏洞。

这篇关于管理非人类身份的隐形风险的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1138250

相关文章

综合安防管理平台LntonAIServer视频监控汇聚抖动检测算法优势

LntonAIServer视频质量诊断功能中的抖动检测是一个专门针对视频稳定性进行分析的功能。抖动通常是指视频帧之间的不必要运动,这种运动可能是由于摄像机的移动、传输中的错误或编解码问题导致的。抖动检测对于确保视频内容的平滑性和观看体验至关重要。 优势 1. 提高图像质量 - 清晰度提升:减少抖动,提高图像的清晰度和细节表现力,使得监控画面更加真实可信。 - 细节增强:在低光条件下,抖

软考系统规划与管理师考试证书含金量高吗?

2024年软考系统规划与管理师考试报名时间节点: 报名时间:2024年上半年软考将于3月中旬陆续开始报名 考试时间:上半年5月25日到28日,下半年11月9日到12日 分数线:所有科目成绩均须达到45分以上(包括45分)方可通过考试 成绩查询:可在“中国计算机技术职业资格网”上查询软考成绩 出成绩时间:预计在11月左右 证书领取时间:一般在考试成绩公布后3~4个月,各地领取时间有所不同

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

从状态管理到性能优化:全面解析 Android Compose

文章目录 引言一、Android Compose基本概念1.1 什么是Android Compose?1.2 Compose的优势1.3 如何在项目中使用Compose 二、Compose中的状态管理2.1 状态管理的重要性2.2 Compose中的状态和数据流2.3 使用State和MutableState处理状态2.4 通过ViewModel进行状态管理 三、Compose中的列表和滚动

Sentinel 高可用流量管理框架

Sentinel 是面向分布式服务架构的高可用流量防护组件,主要以流量为切入点,从限流、流量整形、熔断降级、系统负载保护、热点防护等多个维度来帮助开发者保障微服务的稳定性。 Sentinel 具有以下特性: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应

NGINX轻松管理10万长连接 --- 基于2GB内存的CentOS 6.5 x86-64

转自:http://blog.chinaunix.net/xmlrpc.php?r=blog/article&uid=190176&id=4234854 一 前言 当管理大量连接时,特别是只有少量活跃连接,NGINX有比较好的CPU和RAM利用率,如今是多终端保持在线的时代,更能让NGINX发挥这个优点。本文做一个简单测试,NGINX在一个普通PC虚拟机上维护100k的HTTP

PMBOK® 第六版 规划进度管理

目录 读后感—PMBOK第六版 目录 规划进度管理主要关注为整个项目期间的进度管理提供指南和方向。以下是两个案例,展示了进度管理中的复杂性和潜在的冲突: 案例一:近期,一个长期合作的客户因政策要求,急需我们为多家医院升级一个小功能。在这个过程中出现了三个主要问题: 在双方确认接口协议后,客户私自修改接口并未通知我们,直到催进度时才发现这个问题关于UI设计的部分,后台开发人员未将其传递给

PHP原理之内存管理中难懂的几个点

PHP的内存管理, 分为俩大部分, 第一部分是PHP自身的内存管理, 这部分主要的内容就是引用计数, 写时复制, 等等面向应用的层面的管理. 而第二部分就是今天我要介绍的, zend_alloc中描写的关于PHP自身的内存管理, 包括它是如何管理可用内存, 如何分配内存等. 另外, 为什么要写这个呢, 因为之前并没有任何资料来介绍PHP内存管理中使用的策略, 数据结构, 或者算法. 而在我们

C++学习笔记----6、内存管理(四)---- 通常的内存陷阱(2)

3、Windows环境下使用Visual C++发现并修复内存渗露         内存渗露很难跟踪是因为你无法很容易地看着内存并且看到什么对象处于使用中,一开始在哪儿分配的内存。然而,是有程序可以为你做到这一点的。内存渗露检测工具有昂贵的专业软件包,也有免费下载的工具。如果你是在Microsoft Visual C++环境下工作,它的排错工具库有内建的对于内存渗露检测的支持。该内存检测默认没有

FreeRTOS学习笔记(四)Freertos的中断管理及临界保护

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言一、Cortex-M 中断管理1.1 中断优先级分组1.2 相关寄存器1.3 相关宏定义1.4 FreeRTOS 开关中断 二、临界段及其保护2.1 taskENTER_CRITICAL( ) 和 taskEXIT_CRITICAL( )2.2 taskENTER_CRITICAL_FROM_ISR( )