Moderne Enterprise-Netzwerke sind hochkomplexe Umgebungen, die auf Hunderte von Apps und Infrastrukturdiensten angewiesen sind. Diese Systeme müssen sicher und effizient interagieren, ohne ständige menschliche Aufsicht, was der Punkt ist, an dem nicht-menschliche Identitäten (Non-Human Identities, NHIs) ins Spiel kommen. NHIs – einschließlich Anwendungsschlüsseln, API-Keys, Accounts und OAuth-Token – haben in den letzten Jahren explosionsartig zugenommen, dank einer ständig wachsenden Anzahl von Apps und Diensten, die zusammenarbeiten und sich auf Knopfdruck identifizieren müssen. In einigen Enterprises übersteigt die Anzahl der NHIs die der menschlichen Identitäten um das Verhältnis von 50 zu 1.
Jedoch bringen NHIs einzigartige Risiken und Managementherausforderungen mit sich, die Sicherheitsverantwortliche in hohe Alarmbereitschaft versetzen. 46 % der Unternehmen haben im vergangenen Jahr Kompromittierungen von NHI-Accounts oder -Anmeldedaten erlebt, und weitere 26 % vermuten dies, wie aus einem aktuellen Bericht der Enterprise Strategy Gruppe hervorgeht.
Es ist kein Wunder, dass NHIs – und die Schwierigkeiten, die sie in Bezug auf Aufsicht, Risikominderung und Governance mit sich bringen – ein wiederkehrendes Thema auf dem CISO-Forum von Okta sind. Hier werden wir ihren Aufstieg, ihre Risiken und die Art und Weise untersuchen, wie CISOs und Sicherheitsverantwortliche sie heute handhaben.
Der spektakuläre Aufstieg von NHIs
Der Anstieg von nicht-menschlichen Identitäten (NHIs) lässt sich auf die zunehmende Nutzung von Cloud-Services, KI und Automatisierung sowie digitalen Workflows zurückführen. Es ist ein Trend, der sich wahrscheinlich fortsetzen wird, da immer mehr Aufgaben automatisiert werden und Menschen eine immer geringere Rolle spielen.
NHIs ermöglichen es Apps, sich gegenseitig zu authentifizieren, sowohl innerhalb einer bestimmten Domain als auch mit Drittanbieteranwendungen wie Cloud-Services. Diese Geheimnisse, Schlüssel und Token sind genauso sensibel wie die Anmeldedaten, die von Menschen verwendet werden, und in einigen Fällen sogar noch sensibler, da sie Angreifern einen mächtigen Zugriff auf bestimmte Anwendungen und Dienste gewähren können, wenn sie durchsickern.
CISOs nehmen es zur Kenntnis. Tatsächlich erwarten über 80 % der Unternehmen, dass sie ihre Ausgaben für nicht-menschliche Identity-Security erhöhen werden.
Laut Mark Sutton, CISO bei Bain Capital, "Nicht-menschliche Identity sind für Teams in den Fokus gerückt, basierend auf dem Reifegrad ihrer Identity and Access Management (IAM)-Programme." Es entwickelt sich schnell zum nächsten großen Trend, weil die Leute die Benutzer-Identitys einigermaßen gelöst haben. Der natürliche nächste Schritt besteht dann darin, sich Accounts und Machine-to-Machine Non-Human Identities, einschließlich APIs, anzusehen."
Einfach ausgedrückt: Sobald Unternehmen starke Protokolle zur Sicherung menschlicher Identitäten eingerichtet haben, ist der logische nächste Schritt die Sicherung von nicht-menschlichen Identitäten (NHIs). „Das und nicht-menschliche Identitäten sind Teil der Bedrohungslandschaft, und dorthin gehen Angreifer als Nächstes.“
Geheime Datenlecks und andere Risiken von NHIs
Wie alle anderen Anmeldedaten sind auch NHIs sensibel und müssen geschützt werden. Während Menschen jedoch robuste Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) oder Biometrie einsetzen können, um sensible Anmeldedaten zu schützen, verlassen sich NHIs oft auf weniger sichere Maßnahmen zur Authentifizierung. Das kann sie zu leichten Zielen für Angreifer machen.
Das Durchsickern von NHI-Geheimnissen kann ebenfalls ein ernstes Anliegen sein. Dies kann auf verschiedene Arten geschehen, sei es durch das Hardcodieren in den Quellcode einer Anwendung oder durch versehentliches Kopieren und Einfügen in ein öffentliches Dokument. Das Durchsickern von Geheimnissen ist ein erhebliches Problem, und Geheimnisse tauchen häufig in öffentlichen GitHub-Repositories auf. Tatsächlich hat das Sicherheitsunternehmen GitGuardian im vergangenen Jahr mehr als 27 Millionen neue Geheimnisse in öffentlichen Repositories gefunden. Dies stellt ein noch größeres Problem dar, wenn Sie bedenken, dass NHI-Geheimnisse in den meisten Umgebungen nicht sehr oft rotiert werden, sodass die Nutzungsdauer eines durchgesickerten Geheimnisses recht lang sein könnte.
Und da sie oft umfassende und dauerhafte Berechtigungen zur Ausführung von Aufgaben benötigen, können nicht-menschliche Identitäten übermäßige Berechtigungen ansammeln, was die Angriffsfläche weiter vergrößert. All dies macht NHIs zu einem Hauptziel für Angreifer und zu einer großen Herausforderung für CISOs und ihre Security-Teams.
Drei Herausforderungen, vor denen CISOs bei der Sicherung von NHIs stehen
Während NHIs mittlerweile auf dem Radar von CISOs sind, ist ihre Absicherung eine andere Herausforderung. Hier sind drei Herausforderungen, die wir von CISOs hören, und wie sie diese bewältigen:
Sichtbarkeit erlangen. Die größte Hürde beim Versuch, nicht-menschliche Identitäten (NHIs) zu sichern und zu verwalten, besteht tatsächlich darin, sie zu finden. Die Sichtbarkeit, wo sich NHIs in einer Umgebung befinden, kann eingeschränkt sein, und das Auffinden aller oder auch nur der meisten von ihnen ist eine schwierige Aufgabe. Viele Unternehmen haben Tausende von NHIs, von denen sie nicht einmal wussten, dass sie existieren. Das alte Sprichwort „Man kann nicht sichern, was man nicht kennt“ trifft hier zu. Das bedeutet, dass das Entdecken und Inventarisieren von nicht-menschlichen Identitäten von entscheidender Bedeutung ist. Die Implementierung einer Identity Security Posture Management -Lösung kann Administratoren und Sicherheitsexperten dabei helfen, nicht-menschliche Identitäten (NHIs) in ihrem gesamten Unternehmen zu identifizieren.
Risikopriorisierung und -reduzierung. Die nächste Herausforderung besteht darin, die mit den NHIs in der Umgebung Associate Risiken zu priorisieren. Nicht alle NHIs sind gleich geschaffen. Das Auffinden der leistungsstärksten nicht-menschlichen Identitäten (NHIs) und das Identifizieren von überprivilegierten NHIs ist ein entscheidender Schritt bei der Sicherung dieser Identitäten. Viele Service-Accounts und andere NHIs verfügen über weit mehr Berechtigungen, als sie tatsächlich benötigen, was Risiken für die Unternehmen darstellen kann. Das Identifizieren von hochwertigen NHIs und das Anpassen von Berechtigungen und Zugriffsrechten kann helfen, dieses Risiko zu verringern. „Es geht darum, den Explosionsradius zu verstehen, der mit jeder nicht-menschlichen Identity verbunden ist, und zu fragen: ‚Was ist das Risiko?‘“ „Nicht alle NHIs stellen die gleiche Bedrohung dar“, betonte Sutton
Governance etablieren. Da heute so viele NHIs erstellt werden, ist die Governance zu einem echten Problem für CISOs geworden. Wenn sie jedoch nicht ordnungsgemäß verwaltet werden, können schlimme Dinge passieren – nehmen Sie zum Beispiel die Reihe von Sicherheitsverletzungen im Internet Archive im Zusammenhang mit nicht rotierten Token im Oktober 2024. Oft werden NHIs von Developer erstellt, um kurzfristige Bedürfnisse zu erfüllen, aber sie werden selten nachverfolgt oder ordnungsgemäß stillgelegt. Zu verstehen, wer NHIs erstellt, wie sie erstellt werden und zu welchem Zweck, ist ein guter erster Schritt. Dann müssen die Security-Teams einen klaren Prozess für die Verwaltung festlegen, damit nicht-menschliche Identitys nicht willkürlich erstellt werden können. „Wir müssen darüber nachdenken, was unsere Authentifizierungs- und Passwortrichtlinien sind“, sagt Sutton. „Zum Beispiel gibt es wahrscheinlich viele Service-Accounts mit schwachen, statischen Passwörtern, die seit Jahren nicht mehr geändert wurden.“ Wie stellen wir sicher, dass wir diese verwalten?
Abschließende Gedanken
Nicht-menschliche Identitäten sind heutzutage für Unternehmen unverzichtbar, da sie Prozesse automatisieren, Integrationen ermöglichen und einen reibungslosen Betrieb sicherstellen. Die Herausforderung: Sie sind schwer zu sichern und ein verlockendes Ziel für Angreifer, da sie oft nicht Federated sind, keine MFA verwenden, Static Credentials nutzen und übermäßige Zugriffsrechte haben.
Am Ende des Tages haben nicht-menschliche und menschliche Identitäten möglicherweise unterschiedliche Eigenschaften und Bedürfnisse, aber beide erfordern einen End-to-End-Ansatz, der sie vor, während und nach der Authentifizierung schützt. NHIs sind zwar keine Menschen, aber sie sind zunehmend mächtige Akteure in Ihrer Umgebung. Das macht die Sicherung nicht optional, sondern dringend.
