管理非人类身份的隐形风险

news2024/11/16 10:23:03

在网络安全的动态世界中,身份和访问管理 (IAM) 是关键的基础。确保只有授权的个人和系统才能访问公司资源至关重要。

不幸的是,虽然许多组织擅长管理人类身份,但他们通常需要更多地关注不断增长且可能更具危险的数字参与者类别,即非人类身份 (NHI)。

这些看不见的实体(包括服务帐户、API、机器人等)正在迅速增加,导致广泛的攻击面被忽视,因此保护不足。

非人类身份的兴起和风险

NHI 是一种数字身份,代表数字环境中的机器、应用程序或服务。这些身份是机器对机器通信不可或缺的一部分,为从 IT 自动化到云服务的一切提供支持。

与人类身份不同,NHI 基于预定义的算法和脚本运行,通常无需直接人工监督。这种自主性使它们能够以远远超出人类能力的速度和规模执行任务,但也放大了与它们被入侵相关的风险。

云计算、DevOps 方法和物联网 (IoT) 等技术进步是 NHI 数量不断增长的原因。

企业环境中添加的每项新服务、设备或应用程序通常都会带来一组新的 NHI。这种快速扩张使得组织几乎不可能跟踪所有非人类实体,从而导致 NHI 通常在暗中运作——看不见也想不到。

网络安全影响

NHI 面临的挑战与人类身份识别截然不同。其中一个重大挑战是,NHI 通常可以更深入、更广泛地访问关键系统,这使它们成为攻击者的高价值目标。

此外,许多 NHI 都依赖于很少更新的静态凭证(例如 API 密钥或密码),这增加了风险。这增加了恶意行为者利用这些凭证的可能性。

NHI 的运作速度也增加了造成损害的可能性。一旦受到攻击,NHI 就可以在网络中横向移动,以人类响应者难以应对的速度执行任务和访问数据。

NHI 运作的自动化和连续性意味着攻击者的机会窗口比人类身份大得多,而人类身份通常只在规定的工作时间内活跃。

此外,NHI 通常存在于不受密切监控的环境中。这种缺乏可见性带来了重大风险因素,因为检测受损的 NHI 可能具有挑战性。

因此,组织面临日益严重的“影子 IT”问题,他们通常不知道 NHI 的全部足迹,更不用说如何有效地保护它了。

合规和声誉风险

除了网络安全风险外,NHI 还面临严重的合规挑战。GDPR、HIPAA 和萨班斯-奥克斯利法案等监管框架要求严格的身份和访问管理控制。

然而,这些法规主要是针对人类身份而设计的。因此,未能将这些控制扩展到 NHI 的组织可能会不合规,这可能导致巨额罚款和声誉受损。

涉及 NHI 的重大违规行为已经证明了其潜在后果。

例如,2023 年 Cloudflare 违规行为暴露了与 NHI 管理不善相关的漏洞。

攻击者通过入侵服务帐户(一种 NHI)获取敏感数据,这凸显了对这些身份进行更严格控制和监控的迫切需求。

管理 NHI 的最佳实践

鉴于 NHI 所面临的独特风险和挑战,组织必须采取积极主动的方式来管理这些身份。以下最佳实践可以帮助降低风险:

1.全面的清单和可视性:管理 NHI 的第一步是全面了解其在企业中的存在和活动。这涉及定期审核目录服务并维护所有 NHI 的最新清单。专用工具可以帮助发现和编目这些身份,使跟踪和管理它们更加容易。

2.生命周期管理和自动化:NHI 的生命周期通常与人类身份不同,有些 NHI 仅暂时存在。组织应实施自动化流程来创建、管理和取消配置 NHI。这可降低孤立身份的风险,并确保在不再需要时撤销权限。生命周期管理必须包括定义每个 NHI 所有权的策略,以便了解 NHI 存在的原因并确定谁控制 NHI 的责任。

3.特权访问管理 (PAM):NHI 通常需要提升权限才能执行任务,但这些权限应受到严格控制。PAM 解决方案可以强制执行最小特权原则,确保 NHI 仅在需要时才能访问所需的内容。PAM 还可以自动执行凭证轮换并实施即时 (JIT) 访问,从而进一步降低凭证滥用的风险。

4.零信任架构:对 NHI 实施零信任方法需要根据时间、位置和行为等情境因素不断验证其访问权限。这可确保 NHI 不会被授予永久访问权限,并且其活动会受到密切监控,以防出现任何泄露迹象。

5.政策和治理框架:为确保 NHI 管理的一致性,组织应将 NHI 特定政策整合到其更广泛的身份治理框架中。这包括明确分配 NHI 所有权、定义审批工作流程和建立便于识别和控制的命名约定。

随着数字环境的不断发展,非人类身份的扩散只会加速。如果组织未能认识到并解决这些隐形行为者带来的独特风险,那么他们就会陷入危险。

通过采用全面的 NHI 管理方法(包括可见性、问责制、PAM、零信任和强有力的治理),企业可以降低风险并加强其整体网络安全态势。

现在是采取行动的时候了……否则 NHI 的隐形危险将成为下一个引人注目的漏洞。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2105630.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LIN总线CAPL函数—— LIN报文响应空间长度测试

🍅 我是蚂蚁小兵,专注于车载诊断领域,尤其擅长于对CANoe工具的使用🍅 寻找组织 ,答疑解惑,摸鱼聊天,博客源码,点击加入👉【相亲相爱一家人】🍅 玩转CANoe&…

社交媒体必备,2024年免费视频编辑软件助力内容创作

平常生活放松的时候你是不是通过一些短视频来放松情绪。我身边很多人都是看着看着也想分享自己的生活。这次我们来聊一聊抖音剪辑可以用到哪些工具。 1.福昕视频剪辑 连接直达>>https://www.pdf365.cn/foxit-clip/ 这款视频剪辑软件凭借其低门槛的设计理念&#xff0c…

div3 970

Problem - D - Codeforces 关键在于如果是环的话&#xff0c;环中的每一个的值都是一样的 #include<bits/stdc.h> #define int long long using namespace std; signed main(){int nn;cin>>nn;while(nn--){int n;cin>>n;int a[n1],i0;while(i<n)cin>…

电路分析 ---- 电平移位电路

1 电平移位电路 如图所示的电平移位电路&#xff0c;用于ADC的前级驱动&#xff0c;它将一个变化范围为-10V ~ 10V的输入信号&#xff0c;线性变化成0.048V ~ 4.048V的信号&#xff0c;以满足ADC的输入范围要求。 2 电路说明 V R E F V_{REF} VREF​为电压基准源&#xff0c…

假期学习----iOS多线程

iOS多线程 https://juejin.cn/post/6844903566398717960 什么是GCD Grand Central Dispatch&#xff08;GCD&#xff09; 是 Apple 开发的一个多核编程的较新的解决方法。它主要用于优化应用程序以支持多核处理器以及其他对称多处理系统。 GCD的用处&#xff1a; GCD 可用…

mac安装spark

参考&#xff1a;在Mac上安装Spark apache-spark-3.5.1_mac安装spark-CSDN博客 几个需要用到的路径&#xff1a; hadoop的bin目录&#xff1a;/opt/homebrew/Cellar/hadoop/3.4.0/bin spark的conf目录/opt/homebrew/Cellar/apache-spark/3.5.2/libexec/conf spark的bin目录&am…

一般位置下的3D齐次旋转矩阵

下面的矩阵虽然复杂&#xff0c;但它的逆矩阵求起来非常简单&#xff0c;只需要在 sin ⁡ θ \sin\theta sinθ 前面加个负号就是原来矩阵的逆矩阵。 如果编程序是可以直接拿来用的&#xff0c;相比其它获取一般旋转轴不经过原点的三维旋转矩阵的途径或算法&#xff0c;应该能…

ArmSoM CM5 RK3576核心板推出,强势替代树莓派CM4

ArmSoM团队隆重推出全新的CM5 RK3576核心板&#xff0c;这款模块专为嵌入式开发者设计&#xff0c;凭借其强大的性能与丰富的扩展性&#xff0c;完美替代树莓派CM4&#xff0c;成为开发者们的理想选择。 CM5核心板采用了先进的RK3576 SoC&#xff0c;凭借卓越的计算能力和出色…

Java使用Selenium进行Web项目的UI自动化测试

目录 配置Selenium 1.使用Maven管理依赖 将三个依赖放到java的pom文件中 2.这里使用Edge进行简单的UI操作 3.提醒 FireFox和Chrome启动失败 Firefoxdriver启动失败 Chromedriver启动失败 java如何使用Selenium进行web的UI自动化测试 对一个项目进行测试目录详情…

Python作为客户端连接websocket

缘起 因为需要将MQTT中的数据推送给前端,但是前端不会直接连接MQTT,所以服务端做了一个中间层,通过websocket推送,但是在开发的过程中前端总是认为推送的数据不及时,所以这里又实用Python单独做了一个客户端做时间记录验证。开始吧 安装三方包 Python的生态很方便,这里…

oracle数据块内部结构详解

文章目录 Oracle数据块详解概述Oracle块具有以下特点&#xff1a;① 最小的I/O单元&#xff1b;② 包含一个或多个OS块&#xff1b;③ 大小由参数DB_BLOCK_SIZE决定&#xff1b;④ 数据库创建时设置&#xff0c;数据库创建后不能更改 Oracle数据块详解 概述 操作系统块是…

2024 第七届“巅峰极客”网络安全技能挑战赛初赛 Web方向 题解WirteUp

EncirclingGame 题目描述&#xff1a;A simple game, enjoy it and get the flag when you complete it. 开题&#xff0c;前端小游戏&#xff0c;红点出不去就行 直接玩通关了 看看如何不玩也能拿到flag&#xff0c;flag存储在后端php文件内&#xff0c;前端找不到。 看一下…

前端工程化之【模块化规范】

目录 模块化概述&#xff1a;什么是模块化为什么需要模块化 有哪些模块化规范导入与导出的概念CommonJS 规范ES6 官方模块化规范导出数据导入数据Node 中运行 ES6 模块 模块化概述&#xff1a; 什么是模块化 ● 将程序文件依据一定规则拆分成多个文件&#xff0c;这种编码方式…

区块链的含义是什么

目录 区块链的基本定义 区块链的构成与特性 区块链的类型 区块链的应用 区块链的基本定义 区块链是一种分布式数据存储、点对点传输、共识机制和加密算法等计算机技术的新型应用模式。它通过将数据区块按照时间顺序相连形成链式结构&#xff0c;确保数据的真实性和不可篡改…

代码随想录训练营 Day50打卡 图论part01 理论基础 98. 所有可达路径

代码随想录训练营 Day50打卡 图论part01 一、理论基础 DFS&#xff08;深度优先搜索&#xff09;和 BFS&#xff08;广度优先搜索&#xff09;在图搜索中的核心区别主要体现在搜索策略上&#xff1a; 1、搜索方向&#xff1a; DFS&#xff1a;深度优先&#xff0c;一条路走到…

突破教材,简单聊聊《文件系统》

文章目录 前言&#xff1a;文件系统的引入&#xff1a;认识物理磁盘&#xff1a; 对磁盘的存储进行逻辑抽象&#xff1a;LBA逻辑区块地址&#xff1a; &#x1f680;文件系统的理解&#xff1a;理解各个区段&#xff1a;&#x1f6f9;深入理解 inode&#xff1a;inode和文件名&…

9.4日常记录

一、索英笔试 1.实现strcpy 1.char src[] "Hello, World!";&#xff1a; 这里定义了一个字符数组。这个字符串 "Hello, World!" 的内容被直接存储在这个数组中&#xff0c;数组的大小由字符串的长度加上一个额外的位置用于存储字符串结束符\0自动确定。 …

CSS英文换行

在CSS中&#xff0c;如果你想让英文单词换行&#xff0c;可以使用word-break: break-all;属性。这个属性会强制浏览器在任何字符之间进行换行&#xff0c;即使没有空格或其他分隔符。 没有加样式前的运行结果 CSS样式 p {word-break: break-all; } 运行结果 这将确保段落内的…

【弱监督时间动作定位】Probabilistic Vision-Language Representation for WSTAL 论文阅读

Probabilistic Vision-Language Representation for Weakly Supervised Temporal Action Localization 论文阅读 Abstract1 Introduction2 RELATEDWORK2.1 Weakly Supervised Temporal Action Localization2.2 Vision Language Pre-training2.3 Probabilistic Representation 3…

VS2022卸载记录

Releases microsoft/VisualStudioUninstaller (github.com) 在上面的网址中下载压缩包 下载之后解压&#xff0c;之后选择红框文件&#xff0c;右键选择以管理员身份运行 输入Y&#xff0c;回车 &#xff0c;之后等待程序执行结束 该操作之后&#xff0c;我发现我的安装目录中…