非人類身份的安全挑戰、攻擊案例及教訓
如今,非人類(Non-humans)身份可謂無處不在。日常生活中,每天都有很多的非人類實體與我們互動:智能恒溫器程序會在特定時間為房子降溫;手機上的應用程序會向用戶推薦搜索過的信息等等。非人類身份已經滲透到我們生活的方方面面,囊括個人生活和職業生涯。
事實上,根據CyberArk的研究數據顯示,機器身份與人類身份的比值是45:1。隨著越來越多的公司進行數字化轉型,機器人流程自動化(RPA)工作負載中的機器人和在云中運行的微服務等機器身份正在以指數級的速度增長。它們正在自動化許多繁復的任務,并提高許多功能的操作效率。這些非人類身份依賴于秘密(包括密碼、SSH密鑰和API密鑰)來訪問關鍵資源并完成其工作。這些秘密需要得到保護,就像人類的特權證書一樣。
下面,我們將介紹在組織中可能存在的七種最常見的非人類身份,以及在涉及秘密管理時每種類型面臨的安全挑戰及防護建議。
七種最常見的非人類身份
1. 云環境和云原生應用
許多組織使用多個云服務提供商(CSP)來維持價格控制、實現靈活性并避免云供應商鎖定。每個CSP都有自己的存儲、訪問和管理秘密的方法。此外,在這些平臺中構建的云原生應用程序使用CI/CD進程不斷更新,并且經常使用秘密與云環境中的其他微服務通信以運行。當涉及到云計算時,要解決的主要問題是確保組織的安全性與開發人員工作的環境一樣靈活和動態。
安全挑戰:
- 開發人員需要能夠動態地、大規模地工作。
- 開發人員可以走捷徑(例如,硬編碼秘密)或跳過安全需求。
- 遵從性障礙可能是由于不滿足公司安全需求而造成的。
- 底層DevOps工具和容器平臺可能缺乏安全性。
- 代碼存儲庫可能會意外地暴露秘密和云訪問密鑰,如阿斯利康事件,通過GitHub上的憑據暴露了對敏感患者數據的訪問。
防護建議:
在云中工作時,為了應對這些挑戰,安全團隊應該找到一種方法來無縫地管理云原生應用程序的秘密。此外,對于在多云或混合環境中運行的組織,基于SaaS的集中式解決方案可以幫助安全團隊跨多個云管理秘密,并為應用程序提供云可移植性,因此開發人員不必擔心代碼更改,如果他們稍后轉移到不同的云實例,安全團隊也可以從單一窗格中工作。
2. DevOps工具、CI/CD管道和軟件供應鏈
DevOps工具通常需要高級別的特權訪問才能執行其任務。因此,CI/CD管道和其他DevOps工具被稱為“零層”(Tier Zero)資產,這意味著如果攻擊者獲得了對這些資產的訪問權限,他們就可以訪問更多的特權憑據。軟件開發生命周期變化很快,如果DevOps團隊沒有充分意識到必要的安全措施,那么其中使用的工具可能會成為一個很大的漏洞。
安全挑戰:
- 安全必須左移更早的開發周期中。
- DevOps管理員和開發人員可能會選擇使用內置的秘密管理功能,從而導致秘密或vault蔓延。
- 一旦工具被攻破,攻擊者可能會升級訪問權限,例如CircleCI漏洞。
防護建議:
當談到保護DevOps工具時,安全需要“左移”,與開發人員合作,并確保秘密不會意外暴露,例如通過刪除硬編碼和默認密碼,或頻繁輪換密碼并啟用多因素身份驗證—所有這些都不會減慢開發速度。此外,考慮到所使用的DevOps工具數量,開發人員和DevOps管理員應該意識到vault蔓延的風險,并努力集中秘密管理。
3. 自動化工具和腳本
自動化工具和腳本功能強大,可以執行復雜的IT和其他相關任務。但是它們也可以非常簡單,例如不經常使用的基本PowerShell腳本。雖然這些簡單的腳本可能不會成為一個大的漏洞,但這些自動化工具和腳本通常需要高級別的特權訪問,并且在過去已經引發了一些引人注目的漏洞。
安全挑戰:
- 腳本經常使用嵌入的硬編碼憑據,并且可以發布到存儲庫中。
- 由于腳本的簡單性,它們可能會被誤以為不構成安全漏洞。
- 易于復制和不經常使用使得腳本難以跟蹤。
- 一些自動化工具具有內置(本地)秘密管理功能,可能導致秘密和vault蔓延。
- 即便只是基本工具,攻擊者仍然可以利用高價值的憑據,例如2022年優步的漏洞。
防護建議:
安全性需要積極、徹底地審核,以防止在自動化工具和腳本中使用硬編碼憑據,并建立定期輪換憑據的策略,以便如果憑據在腳本中硬編碼,它們很快就會失效。腳本的一大挑戰是它們很容易被復制和共享,因此如果腳本包含嵌入式憑據,就會很快失去控制。
在基礎級別上,所有腳本和自動化工具都應該從集中式秘密管理解決方案獲得必要的憑據,該解決方案使安全團隊能夠使用這些憑據查看工具。然后,集中式解決方案可以實施最佳實踐和策略,例如零信任、即時訪問、職責隔離,如果有需要,還可以使用多因素身份驗證強制人工批準。
4. COTS和ISV應用
商用現貨(COTS)和獨立軟件供應商(ISV)應用程序都需要高級別的特權訪問才能完成它們的工作。因為這些應用程序不屬于公司所有,它們有一些獨特的安全需求應該得到解決,包括確保它們與組織的安全工具集成。
安全挑戰:
- 這些應用程序需要供應商開發的集成。
- 它們很容易受到供應商軟件供應鏈和CI/CD過程中的缺陷的影響。
- 高級別訪問意味著如果它們被攻擊者破壞,就會發生高水平的暴露。
- 存儲在業務應用程序中的個人信息可能會在數據泄露中暴露。
防護建議:
由于這些應用程序的關鍵特性,安全團隊必須控制對這些應用程序的訪問。輪換憑據是一個關鍵步驟,這可以通過與秘密管理解決方案的開箱即用集成來完成。此外,實現即時訪問可以確保這些應用程序只能在需要的時間點訪問完成工作所需的數據或系統。例如,當漏洞掃描程序需要掃描網絡時,它可以從vault中提取必要的憑據,并在掃描所需的時間段內使用它。然后,當掃描完成時,vault可以收回該憑據。這樣,如果漏洞掃描程序被攻破,攻擊者將無法訪問有價值的網絡資源。
5. 機器人流程自動化(RPA)工作負載
RPA機器人幫助開發和運營團隊(以及其他“公民開發人員”)自動化了許多繁復的任務,加快了工作流程。但是,這些機器人的手動憑據輪換無法擴展,特別是當一個組織使用大量無人值守的機器人而非人類主管時。安全團隊面臨的最大挑戰是需要確保他們在啟用RPA速度的同時,還需要集中管理策略以保持遵從性并防御攻擊。
安全挑戰:
- 手動輪換和管理流程無法擴展。
- 安全性可能被視為部署或操作效率需求的障礙。
- 安全性需要易于使用的集成,以最大限度地減少安全問題并加快部署。
防護建議:
安全團隊需要確保他們在啟用RPA速度的同時,還需要集中管理策略以保持遵從性并防御攻擊。集中和自動化RPA機器人的秘密管理可以允許安全團隊在不延遲部署的情況下進行大規模工作。憑據可以自動輪換,并且所有機器人憑據都可以從單個窗格中查看。這為安全和運營團隊提供了更好的可視性,特別是在無人值守的機器人上。
6. N層(N-Tier)/靜態自定義應用程序
雖然上述許多應用程序都利用了更新的數字創新,如云和自動化,但大多數組織仍然依賴于各種內部開發的應用程序。這些應用程序包括各種傳統環境(如Java)和操作系統(包括Unix/Linux),并且由于它們是本地托管的,因此它們可能對其他類型的身份構成一些不同的挑戰。
安全挑戰:
- 憑據是硬編碼或本地存儲的,一旦泄露就會帶來風險。
- 這些應用程序使用的憑據有時無法自動輪換。
- 訪問權限需要更好地定制,因為這些應用程序可能被過度許可。
- 它們需要輕松地連接到其他系統和應用程序。
防護建議:
對于這些應用程序,安全團隊必須根據策略輪換秘密,同時保持這些關鍵應用程序運行,以滿足高可用性和業務連續性需求。發現和刪除任何硬編碼憑據是關鍵,將秘密保存在中央位置以提高可見性也是關鍵。與集中式秘密管理解決方案的開箱即用集成可以使安全團隊更容易地管理權限。
7. 大型機應用程序
與N層應用程序一樣,托管在大型機(如zOS)上的應用程序仍然被企業廣泛用于特定用例。這些是企業中最關鍵的應用程序,確保這些應用程序不會出現中斷或其進程不會被安全過程中斷,這一點至關重要。
安全挑戰:
- 憑據輪換可能會中斷大容量事務。
- 憑據是硬編碼或本地存儲的,一旦泄露就會帶來風險。
- 需要高水平的可靠性。
防護建議:
對于這些身份,安全團隊必須仔細管理秘密,同時確保不會中斷重要的任務和流程。自動輪換與秘密管理工具是可行的,同時堅持雙重密碼結構。就像N層/靜態本地應用程序一樣,安全團隊應該確保沒有硬編碼或本地存儲的秘密,并確保他們對需要完成的任務有適當的訪問權限。
非人類身份安全現狀:攻擊案例及教訓
與所有人一樣,威脅行為者也在尋找阻力最小的路徑,而在2023年,這條路徑似乎是非人類身份。下面,我們將盤點2023年最重大的5起非人類身份訪問事件及其經驗教訓,以幫助組織更好地認識此類威脅并制定防御策略。
1.Sumologic
2023年11月,Sumologic發現一個被盜用的憑據被用來訪問公司的AWS賬戶。然后,他們輪換了暴露的AWS憑據,鎖定了可能受影響的基礎設施,并報告稱,他們沒有檢測到對客戶數據的未經授權訪問。盡管如此,該公司仍然建議客戶立即輪換所有Sumologic API訪問密鑰。
吸取的教訓:從Sumologic對這次事件的反應中可以看出,即使從理論上講,漏洞已經被控制住了,響應工作仍然是非常重要的。正是因為公司采取了非常強有力的保護措施,才將事件的影響降至最低。由此可見,能夠持續清點非人類訪問和監測行為,對于盡量減少緩解成本和此類事件的潛在影響至關重要。
2.微軟SAS密鑰
2023年9月,微軟人工智能研究人員發布的SAS令牌實際上授予了對創建該令牌的整個存儲帳戶的完全訪問權限,導致超過38TB的極度敏感信息泄露。更糟糕的是,這些權限暴露給了攻擊者超過2年。
吸取的教訓:即使是最大的公司也會受到秘密泄露的攻擊。即使在秘密應該公開的情況下,也應該采取極致的預防措施,以確保它不被暴露或濫用。
3.Okta
2023年10月,攻擊者使用竊取的服務帳戶訪問Okta的支持案例管理系統。這使得攻擊者可以查看所有Okta客戶上傳的文件,這些文件通常包括個人信息、詳細信息,最重要的是憑據和會話令牌。
吸取的教訓:服務帳戶是一種非常常見的非人類訪問類型。它們對于攻擊者來說也是非常有利可圖的,因為大多數適用于用戶訪問的安全措施(如MFA、SSO、CASB等)并不適用于服務帳戶。這意味著當涉及到服務帳戶時,安全性必須使用最低權限權限和動態監視。
4.CircleCI
2023年1月,CircleCI員工的計算機被惡意軟件入侵,允許威脅行為者訪問并竊取CircleCI會話令牌。由于工程員工擁有生成生產訪問令牌的特權,因此威脅參與者能夠升級特權,以訪問并從客戶環境變量、令牌和密鑰中竊取數據。
吸取的教訓:供應鏈攻擊是最突出的攻擊類型之一,修復它們是一個困難的過程,因為非人類身份不容易管理和保護。這就要求組織擁有一個能夠持續盤點、監控和分析所有非人工訪問的自動工具,以允許安全團隊檢測可疑行為并快速找到需要輪換或刪除的所有憑據。
5.微軟365偽造訪問令牌
2023年7月,一個不活躍的主簽名密鑰從一臺受損的微軟員工設備中被盜,并被用于簽名和創建有效的電子郵件訪問令牌。這些令牌被Azure AD云系統錯誤地接受,從而被其Outlook Exchange服務器錯誤地接受。這使得攻擊者可以訪問使用微軟Azure Active Directory和Office 365的組織的數據,包括電子郵件通信、文件、聊天等。
吸取的教訓:從用于身份驗證、電子郵件和存儲的本地服務器轉向云原生解決方案,已經席卷了全球的組織。這甚至包括傳統的老式組織,如政府機構。然而,正如我們現在所知道的,它不是沒有風險的。完全信任云供應商來保證數據安全,將使公司和組織面臨更多的攻擊媒介,而非人類訪問正成為威脅參與者的最愛。
2024年是非人類身份安全的一年
非人類訪問是云計算采用和自動化的直接結果————這兩種趨勢都有助于增長和效率,并且應該會在2024年及以后繼續下去。然而,這些趨勢也使組織達到了這樣一種狀態:每1000名員工有10,000個非人類身份連接,其中大多數不受管理,進而導致了我們在上文介紹的攻擊。
這里有五個技巧可以幫助組織更好地保護非人類身份及其在組織中使用的秘密:
- 將秘密管理與現有工具和應用程序集成。正如我們所提到的,現在有很多工具可以用來訪問秘密。將解決方案直接與這些不同的工具集成有助于簡化安全應用程序的秘密管理。
- 集中式秘密管理,減少秘密蔓延。一個集中的平臺意味著只需要支持一個程序,來獲取所需的廣泛可見性。集中式解決方案還減少了未經授權的應用程序訪問以及相關的數據盜竊和泄露的可能性,并且為審計和記錄提供了一個單一的位置。
- 自動化安全功能以提高操作效率。自動化意味著像輪換、審計和數據收集這樣的任務可以在后臺運行,而不是在可能破壞工作流程的地方運行。
- 為開發人員提供簡單的安全性-并提供易于使用的選項。通過為應用程序團隊提供工具來保持他們的速度,而非減慢他們的部署。開發人員希望找到阻力最小的途徑,而與他們已經使用的解決方案無縫集成的自助服務工具可以確保滿足安全需求,同時不會讓開發人員感到沮喪。理想情況下,安全團隊可以為開發人員提供秘密管理工具,以滿足開發人員的需求,并避免改變開發人員的經驗和工作流。
- 優先考慮要保護的應用程序。許多CISO希望保護所有應用程序類型,但這是一個循序漸進的過程。安全團隊必須選擇從哪里開始,然后在此基礎上進行構建。在創建秘密管理路線圖時,組織需要弄清楚要處理哪些應用程序以及以何種順序處理。組織可以根據感知到的業務風險、紅隊演習期間發現的漏洞,或對已知漏洞和安全事件的響應,對應用程序進行排序。
原文鏈接:
- https://www.csoonline.com/article/652144/the-7-types-of-non-human-identities-to-secure.html
- https://astrix.security/top-5-non-human-access-attacks-of-2023/
