W dzisiejszym artykule opisujemy pewien problem istniejący w firmach i organizacjach, związany z tożsamościami nieludzkimi (non-human identities), czyli inaczej – tożsamościami niezwiązanymi z pracownikami.
Materiał został dostarczony przez specjalistów z Prolimes. Gorąco zachęcamy do kontaktu z tą firmą w celu zgłębienia problemu i ograniczenia jego ryzyka w organizacji.
Czym są tożsamości non-human (NHI)?
W firmie możemy rozróżnić dwa główne rodzaje tożsamości:
- Tożsamości ludzkie (human identities):
tożsamości przypisane do rzeczywistych osób, takich jak pracownicy, kontrahenci, partnerzy czy klienci. Każda z tych tożsamości jest zarządzana w kontekście dostępu do zasobów firmy, np. kont użytkowników, uprawnień do systemów, aplikacji czy danych. Zabezpieczenia związane z tożsamościami ludzkimi często obejmują mechanizmy takie jak hasła, uwierzytelnianie wieloskładnikowe (MFA), systemy zarządzania dostępem (IAM) i monitorowanie aktywności. - Tożsamości nieludzkie (non-human identities, NHI):
tożsamości przypisane do elementów, które nie są osobami fizycznymi, ale występują w infrastrukturze IT organizacji. Tożsamości te obejmują:- Boty i skrypty automatyzujące: programy i skrypty, które wykonują zadania automatyzacyjne, takie jak monitorowanie systemów, przetwarzanie danych czy testowanie aplikacji.
- Klucze API: klucze używane do uwierzytelniania i autoryzacji komunikacji między różnymi aplikacjami lub usługami. Są wykorzystywane w integracjach, gdzie aplikacje potrzebują dostępu do zasobów zewnętrznych lub wewnętrznych.
- Konta usługowe: konta używane przez usługi i aplikacje do wykonywania określonych zadań na serwerach i w sieci, takich jak uruchamianie aplikacji, wykonywanie backupów czy dostęp do baz danych.
- Tokeny OAuth i sekrety: tokeny i klucze używane do bezpiecznego uwierzytelniania i autoryzacji dostępu do zasobów w systemach chmurowych i aplikacjach zewnętrznych.
- Certyfikaty cyfrowe: klucze kryptograficzne używane do zabezpieczania transmisji danych oraz autoryzacji w ramach komunikacji między serwerami lub aplikacjami.
Tożsamości nieludzkie (non-human identities, NHI) to konta, klucze, tokeny lub inne formy tożsamości cyfrowych, które są przypisane do maszyn, aplikacji, procesów, serwisów, botów lub innych komponentów automatyzujących działania w infrastrukturze IT. NHI są nieodłącznym elementem nowoczesnych środowisk IT, wspierając automatyzację, skalowalność i integrację systemów. Jednakże ich liczba w organizacjach rośnie i grają coraz ważniejszą rolę, co zwiększa złożoność zarządzania ich bezpieczeństw, ponieważ każda tożsamość nieludzka może być potencjalnym punktem wejścia dla cyberprzestępców.
Zabezpieczanie NHI jest kluczowe, ponieważ mają one często szeroki dostęp do krytycznych systemów i danych, a ich niewłaściwe zarządzanie może prowadzić do poważnych naruszeń bezpieczeństwa.
W czym tkwi problem z NHI?
Z przeprowadzonych przez specjalistów Prolimes audytów oraz wdrożeń systemów zarzadzania tożsamością i dostępem wynika, że organizacje napotykają trudności związane z aktualnymi strategiami zabezpieczania NHI.
Duża liczba tożsamości nieludzkich znacznie zwiększa wyzwania związane z bezpieczeństwem, z którymi borykają się organizacje. Każda NHI może potencjalnie uzyskać dostęp do wrażliwych danych i kluczowych systemów, co powoduje gwałtowny wzrost powierzchni ataku. Brak odpowiedniej widoczności i kontroli nad NHI prowadzi do zwiększonego ryzyka incydentów bezpieczeństwa. Niski poziom zaufania organizacji do istniejących zabezpieczeń sugeruje, że ich obecne podejście do ochrony NHI pozostaje w tyle za metodami ochrony tożsamości ludzkich.
Najczęstsze problemy obejmują zarządzanie kontami usług oraz identyfikację NHI. Chociaż organizacje zdają sobie sprawę z konieczności zabezpieczania NHI i często korzystają z różnych narzędzi, takich jak systemy zarządzania dostępem do tożsamości (IAM), narzędzia te nie są odpowiednio przystosowane do specyficznych wyzwań związanych z NHI. Niedopasowanie to zostało uwidocznione chociażby w niedawnych atakach na firmy takie jak AWS, Okta, Cloudflare i Microsoft, gdzie mimo istniejących zabezpieczeń hakerom udało się uzyskać nieautoryzowany dostęp. Wspólne badanie dodatkowo uwypukla ten problem, pokazując, że NHI wymagają innego podejścia niż tożsamości ludzkie.
Dlaczego atakujący celują w NHI?
Wspomnieliśmy o aspekcie cyberbezpieczeństwa i znaczeniu NHI w utrzymaniu integralnej części infrastruktury cyfrowej w każdej organizacji. Z racji swojej natury NHI często pozostają poza bezpośrednią kontrolą człowieka, co czyni je szczególnie podatnymi na ataki. Poniżej przedstawiamy kluczowe powody, dla których cyberprzestępcy kierują swoje działania na te tożsamości.
1. Brak MFA (uwierzytelniania wieloskładnikowego)
Tożsamości nieludzkie (konta serwisowe, boty, API) często nie mają skonfigurowanego uwierzytelniania wieloskładnikowego (MFA), co sprawia, że są łatwiejsze do skompromitowania. Brak tego zabezpieczenia umożliwia atakującym uzyskanie dostępu do systemów z użyciem skradzionych lub słabych poświadczeń, które nie wymagają dodatkowego potwierdzenia tożsamości, na przykład za pomocą kodu SMS czy aplikacji mobilnej. Tożsamości te są nierzadko wykorzystywane do wykonywania kluczowych operacji, co zwiększa ryzyko poważnych szkód po ich przejęciu.
2. Ukryte tylne drzwi
Tożsamości nieludzkie mogą być używane do tworzenia ukrytych „tylnych drzwi” (backdoor), które umożliwiają ciągły, nieautoryzowany dostęp do systemów organizacji. Atakujący mogą używać przejętych tożsamości do umieszczenia złośliwego oprogramowania, co pozwala im na niezauważalne przebywanie w sieci ofiary przez długi czas. Dzięki temu mogą zbierać informacje, śledzić działania lub przygotowywać się do przyszłych ataków, jak np. ransomware.
3. Długie okresy aktywności
Tożsamości nieludzkie zazwyczaj mają długi czas życia. Często pozostają aktywne przez wiele miesięcy, a nawet lat, zanim zostaną poddane audytowi lub rotacji. Długie okresy aktywności oznaczają, że atakujący mają większe możliwości, by wykryć i wykorzystać potencjalne luki bezpieczeństwa związane z tymi tożsamościami. Im dłużej tożsamość pozostaje aktywna, tym więcej czasu na atak i większa szansa na niezauważenie przez organizację.
4. Szeroki zasięg wpływu
Kompromitacja jednej tożsamości nieludzkiej może mieć znaczące konsekwencje dla całej organizacji. NHI są często powiązane z licznymi systemami i procesami, a ich przejęcie może doprowadzić do zakłóceń w wielu obszarach działalności. Na przykład jeśli atakujący przejmie kluczowy API używany do integracji z systemami zewnętrznymi, może spowodować szeroką falę zakłóceń i naruszeń danych, które wpłyną na klientów, partnerów i całą infrastrukturę cyfrową organizacji.
5. Trudne do wykrycia nieautoryzowane działania
Malware i inne złośliwe działania mogą łatwo wtopić się w legalne operacje wykonywane przez tożsamości nieludzkie, co utrudnia ich wykrycie. NHI często wykonują powtarzające się zadania, takie jak przesyłanie danych, synchronizacja systemów czy monitorowanie sieci. Atakujący mogą wykorzystać te zadania jako przykrywkę dla swoich działań, co sprawia, że tradycyjne metody detekcji, jak analiza logów czy monitorowanie ruchu sieciowego, stają się mniej skuteczne.
6. Ataki na łańcuch dostaw
Tożsamości nieludzkie są często kluczowymi elementami łańcuchów dostaw, zarządzającymi dostępem i operacjami między różnymi organizacjami i ich dostawcami. Są atrakcyjnym celem dla cyberprzestępców, ponieważ ich kompromitacja może umożliwić ataki na całą sieć powiązanych podmiotów. Przykładem może być przejęcie dostępu do systemów IT dostawcy, co pozwala na wtargnięcie do systemów docelowej organizacji z wykorzystaniem uprawnień i dostępów przydzielonych w ramach partnerstwa lub outsourcingu.
Jak można poradzić sobie z problemem NHI?
Zabezpieczenie tożsamości nieludzkich wymaga wdrożenia dedykowanych strategii, które uwzględniają specyficzne wyzwania związane z ich zarządzaniem i ochroną. Oto kilka kluczowych metod:
1. Zastosowanie zarządzania tożsamością i dostępem (IAM) dostosowanego do NHI
- Automatyzacja procesu tworzenia i zarządzania tożsamościami
- Centralizacja zarządzania
2. Uwierzytelnianie wieloskładnikowe (MFA) i rotacja kluczy
- Uwierzytelnianie wieloskładnikowe
- Rotacja i zarządzanie kluczami oraz tokenami
3. Segmentacja sieci i zasobów
- Segmentacja i minimalizacja dostępu
- Izolacja krytycznych zasobów
4. Monitorowanie i analiza aktywności
- Monitorowanie w czasie rzeczywistym
- Analiza behawioralna
5. Regularne audyty i oceny ryzyka
- Przeprowadzanie regularnych audytów
- Ocena ryzyka
6. Stosowanie polityk bezpieczeństwa specyficznych dla NHI
- Tworzenie polityk bezpieczeństwa dostosowanych do NHI
- Edukacja i świadomość
7. Bezpieczne zarządzanie sekretami
- Użycie dedykowanych narzędzi do zarządzania sekretami
8. Zapewnienie przejrzystości i widoczności
- Śledzenie i identyfikacja wszystkich NHI.
Zabezpieczenie tożsamości nieludzkich wymaga wieloaspektowego podejścia, które obejmuje nie tylko tradycyjne narzędzia i procedury zarządzania tożsamościami, ale także dedykowane technologie i praktyki dostosowane do unikalnych wyzwań, jakie stawiają NHI.
Odpowiednia ochrona NHI jest kluczowa dla zapewnienia bezpieczeństwa całej organizacji.
Podsumowanie
Tożsamości nieludzkie odgrywają kluczową rolę w nowoczesnej infrastrukturze IT, ale ich niewłaściwe zabezpieczenie poważnie naraża organizacje. Świadomość zagrożeń i wdrożenie odpowiednich środków ochrony, takich jak MFA, regularny audyt czy monitorowanie aktywności, są kluczowe dla zmniejszenia ryzyka ataków i ochrony kluczowych zasobów organizacyjnych.
Zachęcamy do kontaktu z firmą Prolimes w celu zgłębienia tematu i ograniczenia ryzyka związanego z zarządzaniem tego typu tożsamościami w firmie.