當微軟、Okta等巨頭接連因"非人類身份"漏洞遭黑客攻陷，一場無聲的安全危機正在全球企業(yè)蔓延——據(jù)OWASP最新報告，企業(yè)網(wǎng)絡(luò)中非人類身份數(shù)量是人類的10-50倍，而它們正成為黑客最愛的"后門"。2024年多起史詩級數(shù)據(jù)泄露事件背后，竟都藏著這些不會說話的"數(shù)字員工"。

非人類身份(NHI)近年來成為網(wǎng)絡(luò)安全領(lǐng)域熱議話題，這背后有其充分理由——據(jù)估計，在企業(yè)網(wǎng)絡(luò)中，每1000名人類用戶就對應(yīng)著10000個非人類連接或憑證。

一些估計甚至將該比例定得更高，認為非人類身份的數(shù)量是人類身份數(shù)量的10至50倍。鑒于憑證仍是安全漏洞中的主要攻擊途徑(根據(jù)Verizon的數(shù)據(jù)泄露調(diào)查報告)，我們不難理解為何這會成為一個問題。

因此，OWASP首次發(fā)布非人類身份十大關(guān)鍵風險清單，旨在提高人們對NHI相關(guān)安全挑戰(zhàn)的認識，提供針對關(guān)鍵NHI風險的可操作見解，并幫助組織優(yōu)先實施相關(guān)最佳實踐，這具有重要意義。

為了強調(diào)NHI帶來的安全挑戰(zhàn)，OWASP指出了幾個近期發(fā)生的顯著事件，如微軟2024年的Midnight Blizzard數(shù)據(jù)泄露事件、互聯(lián)網(wǎng)檔案館2024年的Zendesk支持平臺數(shù)據(jù)泄露事件，以及2023年的Okta支持系統(tǒng)數(shù)據(jù)泄露事件，這些事件均涉及NHI。

OWASP的NHI風險第1位：不當?shù)碾x職處理

我們都熟悉員工、承包商和資源進入組織、獲得賬戶和訪問權(quán)限，然后角色變更或離開組織的情況。在許多情況下，他們的賬戶會無限期地留在系統(tǒng)中，成為孤立賬戶或環(huán)境中殘留的憑證。

這種情況同樣發(fā)生在NHI上，且如前所述，其規(guī)模遠超人類身份。在這種情況下，憑證通常與應(yīng)用程序、服務(wù)、自動化工作流和系統(tǒng)相關(guān)聯(lián)，這些實體被授予NHI憑證以便開展活動，但在相關(guān)應(yīng)用程序、服務(wù)和實體停止使用或特定憑證不再需要時，卻未得到清理。

緩解措施

為了緩解與不當離職處理相關(guān)的風險，OWASP建議實施標準化的離職處理流程，以審查與離職員工、應(yīng)用程序、服務(wù)等可能不再需要的所有NHI。

為確保這些活動得到執(zhí)行，建議盡可能自動化離職處理步驟，并定期審計活躍的NHI，以識別其使用情況并阻止?jié)撛诘臑E用。這也有助于確定使用基線，并根據(jù)已知活動調(diào)整憑證及其相關(guān)權(quán)限。

NHI風險第2位：秘密泄露

列表中的第二位是秘密泄露。秘密通常用于描述API密鑰、令牌、加密密鑰等實體。有許多與秘密泄露相關(guān)的高調(diào)事件，如影響Codecov、三星和其他幾家公司的事件，以及代碼倉庫、基礎(chǔ)設(shè)施即代碼(IaC)清單和CI/CD系統(tǒng)等秘密泄露源。

秘密泄露在2025年仍然是一個主要問題，這在OWASP列表中其排名第二即可見一斑。OWASP列舉了Azure SAS令牌泄露和Delinea管理API密鑰泄露導(dǎo)致事件發(fā)生的例子。

緩解措施

建議采取以下步驟來緩解秘密泄露的風險：使用臨時憑證、部署秘密管理工具、自動化秘密檢測以及定期輪換秘密。鑒于現(xiàn)代云原生開發(fā)環(huán)境中秘密數(shù)量龐大，組織無法手動執(zhí)行這些活動，因此提供這些功能的秘密管理工具和供應(yīng)商至關(guān)重要。

NHI風險第3位：易受攻擊的第三方NHI

列表中的第三位是第三方NHI及其在集成開發(fā)環(huán)境(IDE)、擴展、第三方SaaS應(yīng)用程序等方面的作用。2024年，安全研究人員發(fā)現(xiàn)，Visual Studio Code市場已被用于通過數(shù)千個惡意擴展感染數(shù)百萬個安裝。

如OWASP所指出的，這些擴展通常需要對開發(fā)者的機器進行大量訪問，進而訪問他們與之交互的資源和系統(tǒng)。他們引用的外部系統(tǒng)和服務(wù)示例包括版本控制系統(tǒng)、數(shù)據(jù)庫、虛擬機和云環(huán)境。

因此，第三方通常會被提供API密鑰、訪問令牌和SSH密鑰。這些憑證可能被惡意使用，以影響環(huán)境、進行橫向移動、將受感染的代碼引入軟件開發(fā)生命周期(SDLC)等。

緩解措施

為了緩解第三方NHI的風險，OWASP建議采取以下活動：審查和限制第三方集成、監(jiān)控和檢測第三方行為，以及使用臨時憑證或至少定期輪換它們。

NHI風險第4位：不安全的認證

在此，OWASP強調(diào)了開發(fā)人員與內(nèi)部和外部服務(wù)的集成，包括SaaS應(yīng)用程序和云環(huán)境。如其所指出的，這些各種內(nèi)部和外部服務(wù)支持并使用各種認證方法，其中一些可能已過時、存在漏洞或不安全。OWASP建議開發(fā)人員使用標準化協(xié)議，如OAuth 2.1和OpenID Connect(OIDC)。

然后，OWASP提供了涉及不安全認證風險的示例攻擊場景，如已棄用的OAuth流程、應(yīng)用程序密碼繞過多因素認證(MFA)，以及不使用現(xiàn)代安全標準(如OAuth)的舊版認證協(xié)議。

緩解措施

OWASP建議采取緩解措施，以防止不安全認證帶來的風險，例如采用現(xiàn)代認證標準(如OAuth 2.1和OIDC)、利用無憑證方法、標準化OAuth實現(xiàn)，以及對正在使用的認證方法進行定期安全審計，以逐步淘汰已棄用或不安全的實現(xiàn)和配置。

NHI風險第5位：過度特權(quán)的NHI

自網(wǎng)絡(luò)安全早期以來，一直困擾身份和訪問管理的一個基本問題是缺乏最小權(quán)限訪問控制。盡管最近由于零信任等趨勢以及NIST 800-207等來源的關(guān)注而日益受到重視，但最小權(quán)限訪問一直是長期以來的網(wǎng)絡(luò)安全最佳實踐。

然而，云計算等技術(shù)趨勢非但沒有改善這一問題，反而使其愈發(fā)嚴重。對跨數(shù)萬云環(huán)境和數(shù)百家組織的數(shù)十萬個身份進行的分析發(fā)現(xiàn)，99%的云身份權(quán)限設(shè)置過于寬松。

鑒于我們歷史上一直在這個挑戰(zhàn)上掙扎，因此在OWASP(開放Web應(yīng)用安全項目)NHI(非人類身份)十大風險中看到它也就不足為奇了。與人類身份相比，NHI的數(shù)量呈指數(shù)級增長，這使得問題更加嚴重。

正如OWASP所述，為NHI合理設(shè)置權(quán)限既困難又耗時。因此，組織不太可能持續(xù)監(jiān)控這些權(quán)限，尤其是在沒有足夠工具和能力協(xié)助的情況下。

問問自己：如果我們將多個風險結(jié)合起來，比如長期存在的、權(quán)限設(shè)置過于寬松的NHI的不當撤銷，這些NHI極易被惡意行為者利用，那么這對組織來說會有什么后果?

后果不容樂觀。

這會導(dǎo)致一種情況，即這些NHI一旦被攻破，可能會對攻擊范圍、橫向移動、敏感數(shù)據(jù)訪問等產(chǎn)生巨大影響。

OWASP提供了示例攻擊場景，包括權(quán)限過高的Web服務(wù)器用戶、虛擬機、OAuth應(yīng)用程序和具有過多權(quán)限的服務(wù)賬戶。

緩解措施

OWASP建議的緩解措施包括實施最小權(quán)限原則、定期審計和審查權(quán)限、建立預(yù)防性護欄以及利用即時(JIT)訪問。

這一問題的欺騙性在于，表面上看實施最小權(quán)限原則似乎很簡單，但任何從業(yè)者都知道，在擁有多個身份提供者、數(shù)千個身份和憑證的大型復(fù)雜環(huán)境中，做到這一點絕非易事，這也正是自網(wǎng)絡(luò)安全誕生以來就一直影響其的問題所在。

NHI風險第6項：不安全的云部署配置

對于在云環(huán)境或周邊工作的人來說，不安全的配置構(gòu)成重大風險，并且這一風險已經(jīng)存在相當一段時間了，這早已不是新聞。包括Gartner在內(nèi)的組織都表示，99%的云安全事件是由于客戶配置錯誤造成的。

當我們查看云中的重大事件時，這通常由于存儲、存儲桶、加密、公開暴露的資產(chǎn)等問題而得到證實。

OWASP對這一問題的處理方法很有趣，因為它被稱為不安全的云部署配置，但重點卻放在了CI/CD(持續(xù)集成/持續(xù)交付)管道上。盡管如此，它討論了與代碼庫、日志或配置文件相關(guān)聯(lián)的憑證如何通過CI/CD環(huán)境存儲/傳輸，并可能被攻破和濫用，以繞過多因素認證(MFA)、進行橫向移動等。OWASP強調(diào)了更安全的選項，如OIDC(開放身份連接)，以允許CI/CD管道獲取短期動態(tài)生成的令牌進行身份驗證，而不是使用靜態(tài)的長期憑證。

緩解措施

建議的緩解措施包括使用OIDC進行安全身份驗證、從靜態(tài)憑證轉(zhuǎn)向通過OIDC動態(tài)生成的令牌、為CI/CD管道實施最小權(quán)限、限制IAM(身份和訪問管理)角色中的信任關(guān)系、避免硬編碼憑證，而是使用AWS Secrets Manager和Azure Key Vault等工具，以及最后定期掃描存儲庫以查找暴露的憑證。

NHI風險第7項：長期存在的秘密

NHI通常涉及秘密數(shù)據(jù)，如API密鑰、令牌、加密密鑰和證書。長期存在的秘密是指沒有過期日期或過期日期過長的秘密。OWASP提到，這些秘密有助于組織內(nèi)部服務(wù)和資源的應(yīng)用程序身份驗證和集成。

任何形式的長期憑證都是有問題的，因為它們可能成為攻擊者的誘人目標，秘密也不例外。它們可能導(dǎo)致通過過時和被盜的訪問令牌進行權(quán)限提升，以及通過被盜的長期Cookie進行會話劫持，并且它們還構(gòu)成了另一個等待被攻破和濫用的目標。

緩解措施

OWASP建議啟用自動化密鑰輪換、實施短期憑證、采用零信任原則，以及實施最小權(quán)限原則。這種緩解措施的組合使秘密更加短暫和動態(tài)，并增強了架構(gòu)，以在秘密被攻破時限制攻擊范圍。

NHI風險第8項：缺乏環(huán)境隔離

除了實施零信任原則外，環(huán)境隔離還可以減輕涉及NHI的事件(如果發(fā)生)的影響。

環(huán)境隔離是安全軟件開發(fā)和網(wǎng)絡(luò)安全中常見的實踐，NIST(美國國家標準與技術(shù)研究院)安全軟件開發(fā)框架(SSDF)等其他來源也提到了這一點。

雖然不同組織和開發(fā)團隊的環(huán)境可能有所不同(例如，開發(fā)環(huán)境、測試環(huán)境、生產(chǎn)環(huán)境等)，但環(huán)境隔離的基本原理是普遍適用的。

OWASP建議為每個環(huán)境使用單獨的NHI，應(yīng)用最小權(quán)限原則，實施環(huán)境特定的訪問控制，并定期審計和監(jiān)控NHI的未經(jīng)授權(quán)訪問嘗試。遵循這些原則可以限制一個環(huán)境中的攻破或事件對其他環(huán)境的影響。

緩解措施

除了上述緩解措施外，OWASP還建議采取特定的緩解措施，包括嚴格隔離NHI的環(huán)境、應(yīng)用最小權(quán)限原則、實施環(huán)境特定的訪問控制，以及為敏感資源隔離基礎(chǔ)設(shè)施。同樣，這里的主題是通過這些緩解控制和措施減輕系統(tǒng)性影響，并將其限制在特定環(huán)境中。

NHI風險第9項：重用NHI

憑證重用一直是從業(yè)者所警告的問題，但盡管如此，它還是進入了各種合規(guī)框架、最佳實踐指南等。因此，在這里看到它被列為NHI的風險因素也就不足為奇了。

如上文表格所述，為每個NHI定制細粒度權(quán)限可能很復(fù)雜，因此組織可能會默認重用權(quán)限廣泛的NHI。這使得它們成為具有廣泛影響攻擊后果的誘人目標。

OWASP討論了NHI(如服務(wù)賬戶、API密鑰和機器憑證)對于現(xiàn)代應(yīng)用程序、服務(wù)、身份驗證和授權(quán)的重要性。

假設(shè)組織在多個應(yīng)用程序和服務(wù)中重用NHI，那么其潛在影響是顯著的——如果重用的其中一個NHI被攻破，尤其是如果它權(quán)限過高(NHI5)，并且缺乏環(huán)境隔離(NHI8)，這可能導(dǎo)致漏洞/攻擊鏈，并對組織產(chǎn)生廣泛影響。

OWASP提供了示例，如重用Kubernetes服務(wù)賬戶、在應(yīng)用程序之間共享API密鑰，以及在不同服務(wù)和資源中重用云憑證(如AWS IAM角色)。

緩解措施

為了緩解這些風險，OWASP建議為每個應(yīng)用程序或服務(wù)及其環(huán)境分配唯一的NHI，實施最小權(quán)限原則，并審計和審查NHI的使用。

NHI風險第10項：人類使用NHI

NHI(如服務(wù)賬戶、API令牌、工作負載身份和秘密)使程序能夠訪問應(yīng)用程序和服務(wù)。然而，正如OWASP所討論的，開發(fā)人員或用戶濫用NHI進行手動任務(wù)，而非其原本意圖的自動化活動和工作流，這種情況并不少見。

這帶來了多種風險，因為人類活動可能被視為程序化活動，從而限制了審計和監(jiān)控，掩蓋了良性內(nèi)部人員的活動，甚至可能掩蓋內(nèi)部威脅，以及最值得注意的是，潛在攻擊者。

OWASP列舉了示例場景，如管理員使用服務(wù)賬戶憑證、開發(fā)人員使用NHI執(zhí)行命令、團隊成員之間共享API令牌，甚至攻擊者利用NHI進行持久化攻擊。

緩解措施

OWASP NHI十大風險中最后一項風險的緩解措施包括使用專用身份、審計和監(jiān)控NHI活動(我們已多次看到這一點)、使用上下文感知訪問控制，以及教育開發(fā)人員和管理員了解人類使用NHI的風險。這些措施提供了技術(shù)和文化控制，以限制人類使用NHI及其相關(guān)風險。