A nem emberi identitások – API-kulcsok, tokenek, szolgáltatásfiókok, munkaterhelés-identitások – ma már az egyik legegyszerűbb utat jelentik a modern felhőalapú környezetekbe. Nem azért, mert a támadók hirtelen zsenivé váltak, hanem azért, mert a szervezetek egyre inkább gépek közötti bizalomra épülnek, és ez a bizalom gyakran túl széles körű, hosszú életű és rosszul felügyelt.
Egy új, jelentésben kiemelt elemzés egy ismerős, hatalmas léptékű mintára mutat rá: több ezer konténerkép és adattár véletlenül olyan titkokat fed fel, amelyek csendben hozzáférést biztosítanak az éles rendszerekhez. A probléma nem csak az, hogy a fejlesztők néha hibákat követnek el. A probléma az, hogy az alapértelmezett eszközök és ösztönzők megnehezítik...könnyentitkokat szállítani éskeményhogy bebizonyítsd, nem tetted.
Ez egy „láthatatlan behatolás” története. Sok kompromittálás nem egy kihasználással vagy egy hangos kártevőeseménnyel kezdődik. Egy olyan tokennel kezdődnek, amely tisztán hitelesít – így minden normálisnak tűnik –, amíg rá nem jössz, hogy a rossz azonosító használta.
Mik azok a „nem emberi identitások” (egyszerűen fogalmazva)
A nem emberi identitás (NHI) minden olyan hitelesítő adat, amely lehetővé teszi a szoftverek számára, hogy megbízható szereplőként hitelesítsék magukat:
- felhőhozzáférési kulcsok és munkamenet-tokenek
- szolgáltatásfiókok és munkaterhelés-identitások
- A build folyamatok által használt CI/CD hitelesítő adatok
- tokenek SaaS eszközökhöz (GitHub, GitLab, Slack, monitoring platformok)
- API-kulcsok harmadik féltől származó szolgáltatásokhoz (fizetési szolgáltatók, e-mail-szolgáltatók, AI-modell API-k)
Az emberi bejelentkezésektől való fontos különbség az, hogy az NHI-k jellemzően:
- folyamatosan fut
- kódba vagy konfigurációba vannak beágyazva
- és gyakran nem használnak MFA-t
Ez teszi őket vonzóvá.
Ha egy támadó működő tokenhez jut, nem kell „betörnie”. Hitelesíti magát.
Miért romlik ez most
Három trend miatt a nem egészségügyi intézmények a „fontos” kategóriából a „domináns kockázat” kategóriába kerülnek:
1) A szoftverellátási láncok nagyobbak, mint valaha
A modern alkalmazások a következőkből épülnek fel:
- konténerek
- nyílt forráskódú függőségek
- infrastruktúra-kódként
- több tucat SaaS integráció
Minden integráció egy újabb hitelesítő adatot ad hozzá.
2) Az automatizálás mindenhol jelen van
A szervezetek a következőket szeretnék:
- gyorsabb telepítések
- önkiszolgáló infrastruktúra
- múlandó környezetek
Az automatizálás jó dolog – de olyan identitások működtetik, amelyek jogosultságokkal rendelkeznek.
3) A hitelesítő adatok tovább érvényesek, mint azok, akik létrehozták őket
Az emberek szerepet cserélnek és távoznak.
De egy repóban vagy konténerben lévő token képes:
- hónapokig vagy évekig fennáll
- átmásolható új buildekbe
- és sokáig érvényesek maradnak, miután bárki is emlékszik a létezésére
Így a támadási felület csendben növekszik.
Hogyan szivárognak ki a titkok a való életben (nem mindig arról van szó, hogy „valaki ellopott egy kulcsot”)
A sztereotípia szerint egy fejlesztő elkötelezi magátAWS_TITKOS_HOZZÁFÉRÉSI_KULCSa GitHubhoz.
Ez még mindig előfordul. De sok szivárgás kevésbé nyilvánvaló:
- konténerrétegekbe sült tokenek
- konfigurációs fájlok másolva a képekbe a build során
- titkokat tartalmazó hibakeresési naplók
- „ideiglenes” kulcsok, amelyeket megosztottak a csevegésben, majd később beillesztettek a kódba
- Hibásan konfigurált csővezetékek által kinyomtatott CI-változók
A konténerképek különösen veszélyesek, mert:
- tükröződnek
- gyorsítótárba kerülnek
- csapatok között másolódnak
Még ha törli is a kulcsot a tárházból, a kulcs a régi képrétegekben maradhat.
Miért veszélyesebbek a kiszivárgott tokenek, mint sok más támadási lehetőség?
A biztonsági rések zajosak. Gyakran riasztásokat váltanak ki.
A kiszivárgott tokenek csendesek. Gyakran úgy néznek ki, mint a normál használat:
- sikeres hitelesítés
- helyes API-hívások
- legitim végpontok
Ez megváltoztatja a védő problémáját.
A „támadó” észlelése helyett a következőket kell észlelnie:
- egy váratlanfőérvényes hitelesítő adatok használatával
- szokatlan helyekről
- szokatlan időkben
- szokatlan cselekedetek végrehajtása
Ezért jelentenek a nemzeti egészségügyi intézmények (NHI) felderítési rést sok szervezet számára.
A privilégiumprobléma: a tokenek gyakran túl erősek
Sok titkot úgy hoznak létre, hogy „működtesse” őket:
- széles körű felhőalapú jogosultságok
- adminisztrátori szintű API-hozzáférés
- hosszú élettartamú kulcsok
És ha a rendszer egyszer működik, az emberek nem akarnak hozzányúlni.
Ez veszélyes aszimmetriát teremt:
- egy emberi fiókhoz tartozhat MFA és monitorozás
- a gépi identitás széles körű hozzáféréssel és kevés ellenőrzéssel rendelkezhet
Amikor a gép azonosítója kiszivárog, a robbanási sugár nagyobb lehet.
Hogyan néz ki egy jó NHI stratégia (konkrét gyakorlatok)
Ez megoldható, de csak akkor, ha az NHI-ket első osztályú biztonsági eszközökként kezeljük.
1) Előnyben részesítjük a rövid életű képesítéseket
Ahol lehetséges:
- ideiglenes munkamenet-hitelesítések használata
- gyakran cserélje a tokeneket
- kerüld a „soha nem jár le” kulcsokat
A rövid életű tokenek csökkentik a szivárgások hozamát.
2) Cserélje le a statikus kulcsokat a munkaterhelés-identitással, ahol lehetséges
A modern felhőalapú rendszerekben a munkaterheléseket gyakran a következőképpen hitelesítheti:
- példány identitása
- OIDC szövetség
- felügyelt identitás
Ez csökkenti a statikus kulcsok tárolásának szükségességét.
3) Szigorúan elkülönített környezetek
Gyakori hiba, hogy ugyanazt a tokent használják a következőkben:
- fejlesztő
- színpadra állítás
- termelés
A tokeneknek környezeti hatókörűeknek kell lenniük.
Ha egy fejlesztői kép kiszivárog, akkor nem szabadna feloldania a prod.
4) Készlet és tulajdonjog
Minden értelmes tokennek tartalmaznia kell:
- egy tulajdonos
- egy cél
- egy várható használati minta
Ha egy tokennek nincs tulajdonosa, akkor az egy technikai adósság, amely arra vár, hogy incidenssé váljon.
5) Figyelje az NHI viselkedését, ahogyan az emberi viselkedést is figyeli
A jó jelek közé tartoznak:
- lehetetlen utazás / szokatlan földrajzi területek
- szokatlan API-hívássorozatok
- megugrások az adathozzáférésben
- új engedélyek megadva
- új tokenek létrehozva
A cél nem a tökéletes felismerés, hanem a korai felismerés.
6) A CI/CD-t magas kockázatú identitásgyárként kell kezelni
A CI rendszerek gyakran tartalmaznak:
- telepítési kulcsok
- aláíró kulcsok
- felhőalapú hitelesítő adatok
Zárd be őket:
- legkisebb kiváltság
- szétválasztott futók
- titkos maszkolás és a naplószivárgások megelőzése
- szigorú jóváhagyások az éles telepítési lépésekhez
Ahol a csapatok általában kudarcot vallanak (és hogyan kerüljük el)
„Néha cserélgetjük a kulcsokat” – ez nem terv
Ha a forgatás manuális és fájdalmas, akkor nyomás alatt nem fog megtörténni.
A rotációt rutinszerűvé és automatizálttá kell tenni.
A betartatás nélküli biztonsági eszközök „megfigyelőszínházzá” válnak
A tárházak titkos információk után kutatva történő szkennelése hasznos, de nem elég.
Szükséged lesz még:
- gyors visszavonás
- használati figyelmeztetések
- és a csővezetékek építése során a megelőzés
A konténerréteg csapdája
Ha a titkok valaha is bekerültek egy konténerépítési környezetbe, feltételezzük, hogy létezhetnek a következő helyen:
- régi képek
- gyorsítótárazott rétegek
- CI-termékek
A megoldás nem csak a „repo kulcs törlése”. Hanem:
- forgasd el a titkot
- képek újraépítése és újraközzététele
- érvénytelenítsd a gyorsítótárakat, ahol lehetséges
Mit érdemes legközelebb nézni?
Ha nyomon szeretné követni, hogy a szervezetek javulnak-e az NHI-k terén, keresse a következőket:
- rövid életű identitás (OIDC/munkaterhelés-identitás) bevezetése
- széles körben elterjedt tokenrotációs programok
- erősebb CI/CD határellenőrzések
- olyan incidensjelentések, amelyek elsődleges okként az „érvényes hitelesítő adatok felhasználását” ismerik el
Figyeld meg az eszközparkot is: a legjobb eszközök a „nyilvánvaló karakterláncok észleléséről” a „létező statikus titkok számának csökkentésére” fognak áttérni.
A közgazdaságtan: miért szeretik a támadók a tokenvadászatot?
Zsetonos vadászmérlegek.
Egy támadó, aki ellop egy működő hitelesítő adatot, gyakran a következőket teheti:
- több rendszerhez való hozzáférés (felhő + verziókövetés + CI)
- ugyanazt a technikát használják újra számos szervezetben
- és hozzáférést értékesíthetnek piactereken, ha nem akarják maguk üzemeltetni
A védők számára ez azt jelenti, hogy a fenyegetés nem csupán „egy minket célba vevő hacker”. Ez egy „gépgazdaság, amely minden újrafelhasználható hitelesítő adatból profitál”.
Ezért fontosabb itt a megelőzés, mint a reagálás. Ha a kulcs soha nem létezett statikus formában, akkor később sem lehet megszerezni.
Betonészlelési ötletek (mire kell figyelni)
Ha NHI-k észlelését végzed, a viselkedésbeli változásokra koncentrálj a mágikus kulcsszavak helyett.
Nagy jelű példák:
- Egy szolgáltatásfiók, amelyet egyúj ország/ASNkorábban soha nem használta.
- Egy token, amely normális esetben csak egyetlen API-t hív meg, hirtelen erőforrásokat kezd felsorolni vagy nagy mennyiségeket tölt le.
- Egy CI-identitás, amely a normál kiadási ablakon kívül hajt végre műveleteket.
- Interaktív felhasználói végpontoktól használt titkos kódok, amikor azokat csak szerveroldali munkaterhelésekhez szánták.
Még az alapvető anomália-riasztások is képesek korán felismerni a „csendes hitelesítőadat-lopás” mintázatát.
Betonkeményítési ötletek (kis erőfeszítés, nagy erőkifejtés)
Ezek olyan gyakorlati változtatások, amelyeket a legtöbb csapat meg tud valósítani nagyszabású átalakítás nélkül:
- A token hatókörének csökkentése: egy széles hatókörű tokent több szűk hatókörű tokenre oszt fel.
- Ütemterv szerinti rotáció: akkor is forogni, ha semmi „rossz” nincs, így a forgás izommemóriává válik.
- Kapugyártás: explicit jóváhagyást igényelnek az éles telepítési identitásokhoz.
- Blokkolja a sima szöveges titkokat a buildekbenA CI-nek meg kell buildelnie, ha nyilvánvaló titkos minták jelennek meg.
Minden mozdulat csökkenti a robbanási sugarat, még akkor is, ha továbbra is szivárgás történik.
Egy egyszerű belső szabályzat, amely sok fájdalmat megelőz
Ha olyan szabályt szeretnél, amely jobb viselkedést kényszerít ki, az ez:
- Nincsenek éles környezetben használható titkos kódok a fejlesztői laptopokon vagy a konténerépítési környezetekben.
Ez a szabály olyan változásokat eredményez, mint:
- szolgáltatások munkaterhelés-identitása
- fejlesztési hitelesítő adatok
- és az éles telepítési lépések explicit jóváhagyását
Eleinte idegesítő, de elvágja a legkönnyebb szivárgási útvonalakat.
A lényeg
A nem emberi identitások a modern automatizálás gerincét alkotják – és egyben a biztonsági rés egyik fő mozgatórugóját is, mivel gyakran megkerülik az emberek számára létrehozott védelmet.
Ha egy gyakorlatias küszöbértéket keresel: amint meg tudod válaszolni a következő kérdéseket: „hol élnek a hosszú élettartamú tokenek, ki birtokolja őket, és milyen gyorsan tudjuk visszavonni/rotálni őket”, akkor a vágyálomtól egy valódi védelmi program felé haladsz.
A gyakorlati megoldás nem egyetlen varázslatos szkenner. Ez egy program: minimalizálja a statikus titkokat, csökkentse a jogosultságokat, hozzon létre rotációs rutint, és figyelje a gépazonosítókat, ahogyan a felhasználói fiókokat is figyeli.