โปรแกรมรักษาความปลอดภัยส่วนใหญ่มุ่งเน้นไปที่ผู้ใช้ที่เป็นมนุษย์โดยเฉพาะ รวมถึงพนักงาน ผู้รับเหมา และบุคคลภายนอก แต่มีจักรวาลคู่ขนานที่ขยายขนาดและความเสี่ยงเพิ่มขึ้นซึ่งยังคงมองไม่เห็นเป็นส่วนใหญ่ นั่นก็คือข้อมูลประจำตัวที่ไม่ใช่ของมนุษย์ (NHI) ซึ่งได้แก่ บัญชีบริการ เอกลักษณ์เครื่องสคริปต์ แอปพลิเคชัน ความลับ โทเค็น และเครื่องมืออัตโนมัติที่ช่วยให้ระบบของเราทำงานต่อไปได้ และเครื่องมือเหล่านี้ยังขยายตัวอย่างรวดเร็วอีกด้วย
ศัตรูไม่ได้แค่แฮ็กคนเท่านั้น NHI เป็นที่รู้กันดีว่าไม่ได้รับการเฝ้าสังเกต ไม่ได้รับการปกป้อง และได้รับสิทธิพิเศษมากเกินไป และจำนวนของพวกเขาก็เพิ่มขึ้นอย่างทวีคูณ เมื่อนำปัจจัยทั้งสี่นี้มารวมกัน ก็จะเห็นได้ชัดว่าเหตุใด NHI จึงเป็นเป้าหมายหลักของผู้โจมตีที่พยายามหาทางหลบเลี่ยงช่องโหว่และเคลื่อนตัวผ่านสภาพแวดล้อมต่างๆ โดยไม่ถูกจับได้
งานวิจัยใหม่ของเรา ความไม่ปลอดภัยในเงามืด: ข้อมูลใหม่เกี่ยวกับความเสี่ยงที่ซ่อนเร้นของตัวตนที่ไม่ใช่มนุษย์รายละเอียดความท้าทายที่ผู้คนเผชิญในการค้นหา รักษาความปลอดภัย และปกป้อง NHI การวิเคราะห์เชิงลึกในการตรวจสอบสิทธิ์หลายพันล้านรายการในองค์กรหลายร้อยแห่งที่มีข้อมูลประจำตัวหลายล้านรายการแสดงให้เราเห็นว่าปัจจุบัน NHI มีผู้ใช้มากกว่ามนุษย์ เพื่อ 50 1 ในองค์กรขนาดใหญ่ ซึ่ง 80% มีปัญหาด้านท่าทีที่สำคัญซึ่งมักพบจากเทคนิคการโจมตีทั่วไป NHIs เป็นสิ่งที่ค้นหาได้ยากและยากต่อการปกป้อง ทำให้ NHIs ตกเป็นเป้าหมายของผู้โจมตีจำนวนมาก และเป็นหนึ่งในองค์ประกอบที่ไม่ได้รับการปกป้องมากที่สุดขององค์กร การโจมตีตัวตน พื้นผิว
ไฮไลท์
- จำนวน NHIs มากกว่าจำนวนประชากรถึง 50:1 ซึ่งหมายความว่าสำหรับผู้ใช้ทุกรายที่องค์กรจัดการนั้น จะมี NHIs จำนวนมากที่ไม่ทำงานอยู่เบื้องหลัง
- 40% ของ NHIs บนระบบคลาวด์ไม่มีเจ้าของ บัญชีเหล่านี้มักจะถูกยกเว้นจากการจัดการวงจรชีวิตที่เหมาะสม ส่งผลให้ไม่มีใครตรวจสอบ ไม่ได้รับการปกป้อง และเปิดโอกาสให้ถูกละเมิด
- มีเพียง 5.7% ขององค์กรเท่านั้นที่ระบุว่าสามารถทำรายการสินค้าคงคลังได้อย่างแม่นยำ ทั้งหมด NHIs ในสภาพแวดล้อมของตน การมองเห็นยังคงเป็นอุปสรรคแรกและอาจเป็นอุปสรรคที่ใหญ่ที่สุดต่อการรักษาความปลอดภัยของ NHI
- 56% ขององค์กรทำการซิงค์โดยไม่รู้ตัว บัญชีบริการของพวกเขาไปยังไดเร็กทอรี SaaS ของพวกเขา สิ่งนี้ทำให้ผู้โจมตีที่เข้าถึงสภาพแวดล้อมภายในองค์กรขององค์กรสามารถบุกรุกสภาพแวดล้อม SaaS ของตนได้ค่อนข้างง่ายด้วยเช่นกัน
- บัญชีบริการ 46% ยังคงใช้โปรโตคอล NTLM ที่ไม่ใช้แล้วเพื่อยืนยันตัวตนโปรโตคอลที่ไม่สนับสนุนถือเป็นโปรโตคอลที่ไม่ปลอดภัย ทำให้ตกเป็นเป้าหมายได้ง่าย
ความท้าทายสำคัญในการรักษาข้อมูลประจำตัวที่ไม่ใช่ของมนุษย์
แม้ว่า NHI จะมีอยู่ทั่วไป มีอำนาจและมีประโยชน์ แต่ระบบดังกล่าวก็อาจเป็นเสี้ยนหนามให้กับทีมงานด้านการระบุตัวตนและความปลอดภัยได้ Silverfortงานวิจัยของ Stuart เน้นถึงปัญหาสำคัญสี่ประการที่ช่วยอธิบายว่าเหตุใด NHI จึงเป็นจุดบอดที่สำคัญ:
- พวกเขาไม่ได้รับการสังเกต: หน่วยงานด้านสุขภาพแห่งชาติดำเนินงานเบื้องหลัง โดยมักไม่มีการมองเห็นหรือการตรวจสอบ ในความเป็นจริง องค์กร 94.3% ทำไม่ได้ มองเห็นบัญชีบริการของตนเองได้ครบถ้วน ไม่ต้องพูดถึงว่ากำลังทำอะไรและเข้าถึงอะไรอยู่
- พวกเขาไม่ได้รับการคุ้มครองเพียงพอ: NHI แทบจะไม่เคยได้รับประโยชน์จากการควบคุมความปลอดภัยแบบเดียวกับที่ใช้กับผู้ใช้งานมนุษย์เลย MFA ได้ทุกที่ ไม่สามารถบังคับใช้ได้ และหากไม่สามารถสังเกตได้ครบถ้วน ก็ไม่สามารถกำหนดค่าพื้นฐานของพฤติกรรมได้ ที่น่าเป็นห่วงยิ่งกว่าคือ บัญชีบริการจำนวนมากยังคงใช้โปรโตคอลที่ไม่ปลอดภัย โดยบัญชีบริการ 46% ยังคงใช้การตรวจสอบสิทธิ์ NTLM แม้ว่าจะถูกยกเลิกไปแล้วในช่วงกลางปี 2024
- พวกเขาได้รับสิทธิพิเศษมากเกินไป: NHI จำนวนมากได้รับสิทธิ์การเข้าถึงมากกว่าที่จำเป็น โดยมักจะได้รับสิทธิ์ในระดับโดเมนหรือระดับการดูแลระบบที่คงอยู่อย่างไม่มีกำหนดเวลา 35% ของทั้งหมด บัญชีผู้ใช้ เป็นบัญชีบริการที่มีสิทธิ์การเข้าถึงสูงและการมองเห็นต่ำ และ 56% ขององค์กรซิงค์บัญชีบริการมากกว่าครึ่งหนึ่งไปยังไดเร็กทอรี SaaS โดยไม่รู้ตัว
- พวกมันอยู่ทุกที่: NHIs ครอบคลุมทุกสภาพแวดล้อม ไม่ว่าจะเป็นแบบภายในองค์กร แบบไฮบริด มัลติคลาวด์ และครอบคลุมระบบสำคัญเกือบทุกระบบ ตั้งแต่ปี 2020 เป็นต้นมา อัตราส่วนของ NHI ต่อคนเพิ่มขึ้นจาก 10 ต่อ 1 เป็น 50 ต่อ 1 ซึ่งถือว่าสูงมาก การมีอยู่ทั่วไปทำให้ NHI มีความจำเป็นและควบคุมได้ยาก
สปอตไลท์ส่องไปที่ NHI ที่เก่าแก่ที่สุด มีความเสี่ยงที่สุด และมีผลงานมากที่สุดแห่งหนึ่ง: บัญชีบริการ
ภายในกลุ่มประเภท NHI ขนาดใหญ่ บัญชีบริการซึ่งใช้สำหรับการสื่อสารแบบเครื่องต่อเครื่องภายใน Microsoft Active Directoryสภาพแวดล้อม (AD) ถูกมองข้ามโดยผู้ป้องกันแต่กลับถูกโจมตี สภาพแวดล้อมแบบดั้งเดิม ความปลอดภัยของข้อมูลประจำตัว การควบคุมเกือบทั้งหมดเน้นที่มนุษย์ ดังนั้นบัญชีบริการจึงไม่สามารถได้รับการปกป้องด้วยวิธีดั้งเดิมได้ ข้อมูลของเราแสดงให้เห็นว่าบัญชีบริการ 46% มักจะตรวจสอบสิทธิ์ด้วย NTLM ซึ่งเป็นระบบที่ไม่รองรับอีกต่อไป การรับรอง โปรโตคอลที่มีช่องโหว่มากมาย เฉพาะปีนี้ นักวิจัยหลายคนได้เปิดเผย ช่องโหว่เกี่ยวกับ NTLM แฮกเกอร์รู้เรื่องนี้และใช้มันเพื่อประโยชน์ของตนเอง คุณสามารถอ่านเพิ่มเติมเกี่ยวกับ การโจมตีนับไม่ถ้วนที่ใช้ NTLM ที่นี่
นอกจากนี้ เรายังพบว่าบัญชีบริการ 37% เป็นสิ่งที่เราเรียกว่า "บัญชีแบบโต้ตอบ" ซึ่งเป็นบัญชีบริการที่ดูเหมือนว่า "มีการโต้ตอบ" กับพนักงานหรือผู้โจมตี เพื่อหลบเลี่ยงการควบคุมการเข้าถึงที่มีสิทธิพิเศษ
เริ่มต้นด้วยผู้ดูแลระบบที่สร้างบัญชีบริการในระบบ แอป แพลตฟอร์ม และบริการต่างๆ โดยไม่มีมุมมองแบบรวมศูนย์ว่าตนเองมีหน้าที่รับผิดชอบอะไร ใครเป็นผู้สร้างและเป็นเจ้าของบัญชี และต้องการเข้าถึงข้อมูลใด สำหรับองค์กรส่วนใหญ่ ไม่เคยมีแหล่งข้อมูลที่เชื่อถือได้เพียงแหล่งเดียวสำหรับ NHI และไม่มีกระบวนการออนบอร์ด ออฟบอร์ด หรือความเป็นเจ้าของมาตรฐานใดๆ ทำให้รายการคงคลังของพวกเขาไม่สมบูรณ์
การรักษาความปลอดภัย NHI ของคุณเป็นสิ่งที่จำเป็น ไม่ใช่สิ่งที่มีอยู่แล้ว
ผู้ก่ออาชญากรรมไซเบอร์ได้ตระหนักถึงสิ่งที่องค์กรหลายแห่งยังไม่ทราบ: ตัวตนที่ไม่ใช่มนุษย์ มักจะเป็นจุดอ่อนที่สุดในโครงสร้างตัวตนขององค์กร
1. การขโมยรหัส API หรือโทเค็น
การละเมิด Internet Archive (ตุลาคม 2024): ผู้โจมตีได้ใช้ประโยชน์จากคีย์ API ที่ไม่ได้หมุนซึ่งรั่วไหลจากที่เก็บ GitLab ของ Internet Archive ทำให้สามารถเข้าถึงตั๋วการสนับสนุนกว่า 800,000 ใบซึ่งมีข้อมูลผู้ใช้ที่ละเอียดอ่อน
2. บัญชีบริการที่มีสิทธิพิเศษเกิน
การละเมิดป้าย Dropbox (พฤษภาคม 2024): ผู้โจมตีได้บุกรุกระบบแบ็คเอนด์ บัญชีบริการ ด้วยสิทธิ์พิเศษที่มากเกินไปในการเข้าถึงฐานข้อมูลลูกค้าและเปิดเผยข้อมูลผู้ใช้ที่ละเอียดอ่อน รวมถึงที่อยู่อีเมล ชื่อผู้ใช้ รหัสผ่านแบบแฮช คีย์ API และโทเค็น OAuth
3. การละเมิดแอปพลิเคชัน OAuth
Microsoft และ Okta การโจมตี: พบว่าผู้มีบทบาทในชาตินิยมใช้แอปพลิเคชัน OAuth ในทางที่ผิดเพื่อย้ายข้อมูลข้ามสภาพแวดล้อมคลาวด์ บริษัทซอฟต์แวร์รายใหญ่ เช่น Microsoft และ Okta ตกเป็นเหยื่อของการโจมตีโดยใช้ข้อมูลประจำตัวของเครื่องจักรที่ถูกบุกรุก ซึ่งเน้นย้ำถึงความจำเป็นอย่างยิ่งในการเชื่อมโยงข้อมูลประจำตัวที่ไม่ใช่ของมนุษย์กับข้อมูลประจำตัวของมนุษย์เพื่อให้มองเห็นและป้องกันได้อย่างสมบูรณ์
เหตุการณ์เหล่านี้ไม่ใช่เหตุการณ์ที่เกิดขึ้นโดยลำพัง แต่สะท้อนถึงแนวโน้มเชิงระบบ ปัจจุบัน NHI ถือเป็นส่วนสำคัญของช่องทางการโจมตีที่ถูกใช้ประโยชน์มากที่สุดช่องทางหนึ่ง: เอกลักษณ์. ต่างจากอัตลักษณ์ของมนุษย์ NHIs ไม่สามารถได้รับการปกป้องด้วยมาตรการป้องกันทั่วไป เช่น MFA ซึ่งสร้างขอบเขตที่กว้างใหญ่ มองไม่เห็น และเปราะบาง พื้นผิวการโจมตี ที่กองหลังหลายคนไม่มีอุปกรณ์ป้องกันที่ดีพอ
เห็นได้ชัดว่าแนวโน้มดังกล่าวเกิดขึ้นที่นี่ แม้ว่าองค์กรต่างๆ จะลงทุนอย่างหนักเพื่อรักษาความปลอดภัยให้กับผู้ใช้บริการ แต่ระบบประกันสุขภาพแห่งชาติยังคงถูกมองข้าม แต่ก็ยังคงมีบางอย่างที่ทำได้
แนวทางใหม่: Silverfortขยายการรักษาความปลอดภัย NHI
เมื่อตระหนักถึงความเสี่ยงที่เพิ่มขึ้นและความซับซ้อนในการปฏิบัติงานเกี่ยวกับ NHI เราจึงได้ขยายขีดความสามารถด้านความปลอดภัยของข้อมูลประจำตัวที่ไม่ใช่ของมนุษย์เพื่อให้การป้องกันและการมองเห็นอย่างต่อเนื่อง ทั้งหมด NHIs รวมถึง NHI แบบภายในสถานที่และบนคลาวด์ ซึ่งรวมถึง:
- ความคุ้มครองแบบรวมสำหรับ NHI ทั้งแบบภายในสถานที่และบนคลาวด์
- การค้นพบและการจัดทำแผนที่ความเป็นเจ้าของที่สมบูรณ์
- การป้องกันบัญชีบริการแบบเรียลไทม์ที่ปรับขนาดได้พร้อมการรักษาความปลอดภัยแบบเสมือน
- การบูรณาการแบบไร้รอยต่อข้ามแพลตฟอร์ม
เรียนรู้เพิ่มเติมเกี่ยวกับเรา ขยายข้อเสนอการรักษาความปลอดภัย NHI และสามารถช่วยคุณค้นหาและทำแผนที่ NHI ที่คุณไม่รู้จัก บังคับใช้การควบคุมความปลอดภัย และแก้ไขการกำหนดค่าผิดพลาดและจุดอ่อนของข้อมูลประจำตัวด้วยคำแนะนำที่ดำเนินการได้
ความคิดสุดท้าย
ตัวตนที่ไม่ใช่มนุษย์ไม่ใช่ปัญหาเฉพาะด้านไอทีอีกต่อไปแล้ว แต่เป็นเสาหลักสำคัญของโครงสร้างพื้นฐานขององค์กรและเป็นพื้นผิวการโจมตีที่ขยายตัวอย่างรวดเร็ว หลักฐานชัดเจน: NHI มีอยู่ทุกที่ เข้าถึงได้มากขึ้น และแทบมองไม่เห็นจากการควบคุมความปลอดภัยแบบเดิม เมื่อผู้โจมตีใช้ประโยชน์จากจุดบอดนี้มากขึ้น องค์กรต่างๆ ต้องดำเนินการอย่างรวดเร็วเพื่อรักษาภูมิทัศน์ตัวตนที่ไม่ใช่มนุษย์
เส้นทางข้างหน้าเริ่มต้นด้วยการมองเห็น ได้รับการเสริมความแข็งแกร่งผ่านการบังคับใช้ตามนโยบาย และสิ้นสุดลงด้วยการปกป้องที่ปรับเปลี่ยนได้อย่างต่อเนื่อง เพื่อให้รู้จักและปลอดภัยในทุกมิติของอัตลักษณ์
