Die meisten Sicherheitsprogramme konzentrieren sich ausschließlich auf menschliche Benutzer, darunter Mitarbeiter, Auftragnehmer und Dritte. Doch es gibt ein Paralleluniversum, das immer größer und riskanter wird und weitgehend unsichtbar bleibt: nicht-menschliche Identitäten (NHIs). Dies sind die Dienstkonten, Maschinenidentitäten, Skripte, Anwendungen, Geheimnisse, Token und Automatisierungstools, die unsere Systeme am Laufen halten. Und sie vermehren sich schnell.
Angreifer hacken nicht nur Menschen. NHIs sind bekanntermaßen unterbeobachtet, unzureichend geschützt und überprivilegiert – und ihre Zahl wächst exponentiell. Kombiniert man diese vier Faktoren, wird schnell klar, warum NHIs ein bevorzugtes Ziel für Angreifer sind, die versuchen, unerkannt durch die Maschen zu schlüpfen und sich in Umgebungen zu bewegen.
Unsere neue Forschung, Unsicherheit im Verborgenen: Neue Daten zu den verborgenen Risiken nicht-menschlicher Identitäten, beschreibt die Herausforderungen, denen sich Menschen bei der Suche, Sicherung und dem Schutz von NHIs gegenübersehen. Eine eingehende Analyse von Milliarden von Authentifizierungen in Hunderten von Organisationen mit Millionen von Identitäten zeigte, dass die Zahl der NHIs mittlerweile die der menschlichen Nutzer um 50 bis 1 in großen Organisationen – von denen 80 % kritische Haltungsprobleme aufweisen, die häufigen Angriffstechniken ausgesetzt sind. NHIs sind schwer zu finden und noch schwieriger zu schützen, was sie zu einem häufigen Ziel von Angreifern und zu einem der am wenigsten geschützten Elemente der Identitätsangriff Oberfläche.
Die Höhepunkte
- Die Zahl der NHIs übersteigt die der menschlichen Identitäten um das 50:1. Dies bedeutet, dass für jeden Benutzer, den eine Organisation verwaltet, Dutzende stiller NHIs im Hintergrund aktiv sind.
- 40 % der Cloud-NHIs haben keinen Eigentümer. Diese Konten werden häufig von der ordnungsgemäßen Lebenszyklusverwaltung ausgeschlossen, sodass sie unbeobachtet, ungeschützt und anfällig für Missbrauch sind.
- Nur 5.7 % der Unternehmen gaben an, dass sie eine genaue Bestandsaufnahme durchführen könnten alle NHIs in ihrer Umgebung. Die Sichtbarkeit bleibt das erste – und möglicherweise größte – Hindernis bei der Sicherung von NHIs.
- 56 % der Organisationen synchronisieren unwissentlich ihre Dienstkonten zu ihrem SaaS-Verzeichnis. Dadurch können Angreifer, die auf die lokale Umgebung einer Organisation zugegriffen haben, auch – relativ einfach – deren SaaS-Umgebung kompromittieren.
- 46 % der Dienstkonten verwenden immer noch das mittlerweile veraltete NTLM-Protokoll zur Authentifizierung. Veraltete Protokolle sind unsichere Protokolle und daher leichte Ziele.
Die größten Herausforderungen bei der Sicherung nicht-menschlicher Identitäten
Trotz ihrer Verbreitung, Leistungsfähigkeit und Nützlichkeit können NHIs für Identitäts- und Sicherheitsteams ein Dorn im Auge sein. SilverfortDie Forschung von hebt vier Hauptprobleme hervor, die helfen zu erklären, warum NHIs einen so großen blinden Fleck darstellen:
- Sie werden unterbeobachtet: NHIs agieren hinter den Kulissen, oft ohne Sichtbarkeit oder Kontrolle. Tatsächlich sind 94.3 % der Organisationen nicht Sie haben volle Transparenz über ihre Servicekonten und wissen auch, was sie tun und worauf sie zugreifen.
- Sie sind unterbeschützt: NHIs profitieren selten – wenn überhaupt – von den gleichen Sicherheitskontrollen, die für menschliche Benutzer gelten. MFA können nicht durchgesetzt werden, und ohne vollständige Beobachtung können keine Verhaltensgrundlinien festgelegt werden. Noch beunruhigender ist, dass viele von ihnen unsichere Protokolle verwenden müssen: 46 % der Dienstkonten verwenden immer noch die NTLM-Authentifizierung, obwohl diese Mitte 2024 veraltet ist.
- Sie sind überprivilegiert: Viele NHIs erhalten weitaus mehr Zugriff als nötig, oft mit Domänen- oder Administratorrechten, die auf unbestimmte Zeit bestehen bleiben. 35 % aller Benutzerkonten sind Dienstkonten mit hohen Zugriffsrechten und geringer Sichtbarkeit, und 56 % der Organisationen synchronisieren unwissentlich mehr als die Hälfte ihrer Dienstkonten mit ihrem SaaS-Verzeichnis.
- Sie sind überall: NHIs erstrecken sich über alle Umgebungen – vor Ort, hybrid, Multi-Cloud – und berühren nahezu jedes kritische System. Seit 2020 ist das Verhältnis von NHIs zu Menschen von 10:1 auf unglaubliche 50:1 gestiegen. Ihre Allgegenwärtigkeit macht sie unverzichtbar, aber auch schwer einzudämmen.
Spotlight auf eines der ältesten, riskantesten und produktivsten NHIs: Servicekonten
Innerhalb des großen Pools an NHI-Typen sind Dienstkonten – die für die Maschine-zu-Maschine-Kommunikation innerhalb von Microsofts Active Directory(AD)-Umgebungen – wurden von Verteidigern übersehen, waren aber das Ziel von Angreifern. Traditionelle Identity-Security-Lücken Die Kontrollen sind fast ausschließlich auf den Menschen ausgerichtet, sodass Dienstkonten auf herkömmliche Weise einfach nicht geschützt werden konnten. Unsere Daten zeigen, dass 46 % der Dienstkonten regelmäßig mit NTLM authentifiziert werden, einem veralteten AD-Authentifizierung Protokoll mit zahlreichen Schwachstellen. Allein in diesem Jahr enthüllten mehrere Forscher Schwachstellen bezüglich NTLM. Hacker wissen das und nutzen es zu ihrem Vorteil. Mehr dazu finden Sie hier. unzählige Angriffe, bei denen NTLM verwendet wird hier.
Wir haben außerdem festgestellt, dass 37 % der Dienstkonten sogenannte „interaktive“ Konten sind. Dabei handelt es sich um Dienstkonten, mit denen Mitarbeiter – oder Angreifer – scheinbar „interagieren“, um privilegierte Zugriffskontrollen zu umgehen.
Es begann damit, dass menschliche Administratoren Servicekonten für verschiedene Systeme, Apps, Plattformen und Dienste anlegten, ohne einen zentralen Überblick darüber zu haben, wofür sie verantwortlich sind, wer sie erstellt hat und besitzt und worauf sie Zugriff benötigen. In den meisten Organisationen gab es weder eine zentrale Informationsquelle für NHIs noch standardisierte Onboarding-, Offboarding- oder Eigentümerprozesse, sodass ihre Bestände bestenfalls unvollständig blieben.
Die Sicherung Ihrer NHIs ist ein Muss, kein nettes Extra
Bedrohungsakteure haben bereits erkannt, was viele Organisationen nicht erkannt haben: nichtmenschliche Identitäten sind oft das schwächste Glied in der Identitätsstruktur eines Unternehmens.
1. Diebstahl von API-Schlüsseln oder Token
Internetarchiv-Verstoß (Oktober 2024): Angreifer nutzten nicht rotierte API-Schlüssel aus, die aus dem GitLab-Repository des Internetarchivs durchgesickert waren, und verschafften sich so Zugriff auf über 800,000 Support-Tickets mit vertraulichen Benutzerinformationen.
2. Überprivilegierte Dienstkonten
Dropbox-Schilder-Verstoß (Mai 2024): Angreifer haben ein Backend kompromittiert Dienstkonto mit übermäßigen Berechtigungen, greift auf die Kundendatenbank zu und legt vertrauliche Benutzerdaten offen, darunter E-Mail-Adressen, Benutzernamen, gehashte Passwörter, API-Schlüssel und OAuth-Token.
3. Missbrauch von OAuth-Anwendungen
Microsoft und Okta Anschläge: Es wurde beobachtet, dass staatliche Akteure OAuth-Anwendungen missbrauchen, um sich lateral in Cloud-Umgebungen zu bewegen. Große Softwareunternehmen wie Microsoft und Okta sind Opfer von Angriffen geworden, bei denen kompromittierte Maschinenidentitäten ausgenutzt wurden. Dies unterstreicht die dringende Notwendigkeit, nicht-menschliche Identitäten mit ihren menschlichen Gegenstücken zu verknüpfen, um vollständige Transparenz und Schutz zu gewährleisten.
Dies sind keine Einzelfälle, sondern spiegeln einen systemischen Trend wider. NHIs sind mittlerweile ein wesentlicher Bestandteil eines der am häufigsten ausgenutzten Angriffsvektoren: IdentitätIm Gegensatz zu menschlichen Identitäten können NHIs nicht durch die gängigsten Sicherheitsvorkehrungen wie MFA geschützt werden, wodurch ein riesiges, unsichtbares und verletzliches Angriffsfläche für deren Sicherung viele Verteidiger nicht über die nötige Ausrüstung verfügen.
Der Trend ist hier leicht zu erkennen. Obwohl Unternehmen massiv in die Sicherheit menschlicher Nutzer investiert haben, bleiben NHIs immer noch unbemerkt. Doch es ist nicht alles verloren – sie können etwas dagegen tun.
Ein neuer Ansatz: Silverfort's erweiterte NHI-Sicherheit
Angesichts der zunehmenden Risiken und der operativen Komplexität im Zusammenhang mit NHIs haben wir unsere Funktionen zur Sicherheit nicht-menschlicher Identitäten erweitert, um kontinuierlichen Schutz und Transparenz zu gewährleisten für alle NHIs – einschließlich NHIs vor Ort und in der Cloud. Dazu gehören:
- Einheitliche Abdeckung für NHIs vor Ort und in der Cloud.
- Vollständige Entdeckungs- und Eigentumszuordnung.
- Skalierbarer Echtzeitschutz von Dienstkonten mit virtueller Umzäunung.
- Nahtlose Integration über Plattformen hinweg.
Erfahren Sie mehr über erweitertes NHI-Sicherheitsangebot, und wie es Ihnen dabei helfen kann, Ihre unbekannten NHIs zu finden und zuzuordnen, Sicherheitskontrollen durchzusetzen und Fehlkonfigurationen und Identitätsschwächen mit umsetzbaren Empfehlungen zu beheben.
Abschließende Gedanken
Nicht-menschliche Identitäten sind kein Nischenthema mehr in der IT – sie sind eine zentrale Säule der Unternehmensinfrastruktur und stellen gleichzeitig eine schnell wachsende Angriffsfläche dar. Die Faktenlage ist eindeutig: NHIs sind allgegenwärtig, haben erweiterte Zugriffsrechte und sind für herkömmliche Sicherheitskontrollen weitgehend unsichtbar. Da Angreifer diesen blinden Fleck zunehmend ausnutzen, müssen Unternehmen schnell handeln, um ihre nicht-menschliche Identitätslandschaft zu sichern.
Der Weg nach vorn beginnt mit Transparenz, wird durch die Durchsetzung von Richtlinien gestärkt und gipfelt in kontinuierlichem, adaptivem Schutz, sodass jede Dimension der Identität bekannt und gesichert ist.
