首页 > 其他分享 >【安全运维】揭秘身份管理中凭证修复为何如此艰难?

【安全运维】揭秘身份管理中凭证修复为何如此艰难?

时间:2024-11-21 18:55:44浏览次数:1  
标签:凭证 修复 运维 安全 非人类 权限 揭秘 身份

https://mp.weixin.qq.com/s/92wRtqxJNv0IKmdyQ2Y0-g

根据GitGuardian和CyberArk的研究显示,79%的IT决策者报告经历过凭证泄露事件,较上年的75%有所上升。与此同时,泄露的凭证数量达到历史新高,仅在GitHub公共仓库中就发现超过1270万个硬编码凭证。更令人担忧的是,超过90%组织已经知晓泄露的有效凭证在5天后仍然有效。研究还表明,组织平均需要27天才能修复泄露的凭证。

凭证修复那么紧迫,为什么却那么难?

安全和合规的双重压力

凭证修复是网络安全的重要方面,主要关注识别和解决受损凭证以防止未经授权的访问和数据泄露。随着数十亿受损凭证在网上流传,各组织越来越重视制定有效的修复策略来降低凭证盗窃和账户接管的风险。

修复凭证扩散事件意味着,要在不破坏任何功能的情况下安全地替换凭证,同时避免授予过大的新权限,否则可能会给公司带来更多安全风险。组织必须优先采取主动措施来快速检测和解决受损凭证,因为延迟可能引发一系列安全事件,包括数据泄露、身份冒充、系统中断等,造成重大的财务、法律和声誉后果。

凭证一旦被盗或泄露,攻击者可以利用这些凭证进行身份冒充、数据窃取、横向移动等恶意活动。如果凭证修复不及时,攻击者可能继续使用这些凭证进行进一步的攻击,导致企业遭受更大的损失。据统计,仅2022年美国身份欺诈损失就高达约520亿美元。

未能及时修复受损凭证可能严重损害组织声誉,不遵守数据保护法的组织可能面临重大罚款和受影响方的法律诉讼,由此还可能导致品牌声誉和客户关系的长期损害。

凭证填充攻击的频率激增,使组织必须迅速响应任何凭证泄露的迹象。2023年,利用漏洞的成功攻击达到32%,突显了有效修复策略的紧迫性。

与此同时,合规要求驱动组织优化凭证管理,加速凭证修复。GDPR和CCPA等数据保护法规都要求组织建立健全的凭证管理实践,未能充分保护敏感用户信息的组织将面临重大处罚。

非人类身份凭证带来的新挑战

随着应用程序数量的增加和云服务的广泛使用,企业面临着管理大量凭证的挑战。每个应用程序、服务和用户都可能需要不同的访问权限,这使得权限管理变得更加复杂。如果没有清晰的策略和工具来管理这些凭证,很容易导致凭证扩散,即同一凭证被多个用户或服务使用,从而增加了被攻击的风险。

非人类身份凭证(如机器、应用程序或服务帐户的凭证)修复引入了新的复杂性。有统计显示,非人类身份(NHI)比人类身份至少多45倍。这让越来越多组织意识到,要遏制凭证扩散,必须找到应对非人类身份危机的方法。

非人类身份凭证通常涉及多个系统和服务,而每个系统可能有不同的安全要求和管理流程,同时可能还面临不同的合规性要求,管理这些凭证的生命周期变得更加复杂。不仅如此,随着云计算和微服务架构的普及,非人类身份凭证在动态环境中使用频繁,这使得识别和应对潜在漏洞变得更加困难。

而与此形成鲜明对比的是,许多组织对非人类身份凭证使用情况缺乏全面可见性。这种缺乏透明度可能导致未能及时发现被滥用或过期的凭证,从而增加安全风险。更为严重的是,许多NHI依赖于很少更新的静态凭证,如API密钥或密码,这增加了凭证被恶意利用的风险。

责任归属不清

根据GitGuardian最新的报告显示,65%的受访者将修复责任完全归于IT安全团队。同时,44%的IT领导者报告称开发人员没有遵循凭证管理的最佳实践。

在许多组织中,IT安全团队被视为网络安全的主要负责人,负责监控和修复潜在的安全漏洞。然而,这种单一的责任归属可能导致开发团队对安全问题缺乏足够的重视。

开发人员通常专注于功能开发和交付,而忽视了凭证管理和权限控制的重要性。这种现象在快速迭代的DevOps环境中尤为明显,开发人员可能在压力下忽略安全最佳实践,从而导致凭证泄露和过度授权的问题。

开发人员面临着快速构建和部署功能的巨大压力。然而,按照安全最佳实践谨慎管理权限是一项耗时的工作。每个项目或应用程序通常都有其独特的访问需求,这需要时间研究和正确设置,感觉像是其在正常工作之外的另一份全职工作。最佳实践往往在团队间执行不均衡,很少得到适当记录,或在开发人员使应用程序运行后被完全遗忘。

雪上加霜的是,在太多情况下,开发人员简单地为这些机器身份授予了过于宽泛的权限。一份报告发现,只有2%的授予权限实际被使用。仔细观察他们面临的情况,就很容易理解其中的原因。

例如, AWS的身份和访问管理(IAM)策略以其灵活性而闻名,但也复杂且难以驾驭。IAM支持多种策略类型(基于身份的、基于资源的和权限边界),所有这些都需要精确配置。AWS还为凭证提供多种访问路径,包括IAM角色和KMS授权,每种都有其独特的访问配置。掌握这个系统绝非易事。

安全团队不能承受之重

将监控和轮换凭证的责任分配给安全团队看似合理,毕竟这是一个安全问题。但现实是这些团队往往缺乏安全更改所需的细粒度项目级知识。例如,一个看似微小的权限更改可能会破坏CI/CD管道,扰乱生产环境,甚至在错误的服务消失时导致公司范围的级联故障。

每个应用程序都有其独特的需求和依赖关系,安全团队并不总是能够理解保持应用程序运行所必需的具体权限。

一个微小的权限更改可能会对其功能产生重大影响。例如,在CI/CD管道中,某个服务需要特定的权限来执行构建或部署任务。如果这些权限被错误地调整或撤销,可能会导致整个管道的中断,从而影响到生产环境的稳定性。

在复杂的系统架构中,一个服务的故障可能会引发级联效应。例如,如果一个关键服务失去访问另一个服务所需的权限,这不仅会导致该服务无法正常运行,还可能影响到依赖于它的其他服务。这样的级联故障不仅会影响用户体验,还可能导致财务损失和品牌声誉受损。因此,安全团队在进行权限管理时,很难充分考虑这些潜在风险。

凭证权限管理与修复的几点建议

考虑到非人类身份权限、凭证责任不清等问题,为了有效管理权限,安全牛建议组织在进行凭证权限管理与修复时,应该关注以下几点:

1、鼓励跨部门协作

要鼓励安全团队与开发团队之间进行跨部门协作,安全团队可以提供关于最佳实践和合规性的指导,而开发团队则可以提供关于应用程序需求的重要信息。这种合作能够确保在进行任何权限变更时,都能充分考虑到业务需求与安全风险之间的平衡。

在跨团队合作中,要重点关注几个问题:

  1. 谁创建了凭证?
  2. 它访问哪些资源?
  3. 它授予什么权限?
  4. 如何撤销或轮换它?
  5. 凭证是否活跃?

2、引入自动化工具

引入自动化工具,可以提高权限管理的效率与准确性。

通过使用基于角色的访问控制(RBAC)模型,可以为不同角色定义清晰的权限集,从而简化管理流程。

此外,自动化工具还可以帮助跟踪和记录所有权限变更,便于后续审计和合规检查。比如,开发人员通过适当的工具(如CyberArk的Conjur Secrets Manager或HashiCorp的Vault)更负责地持续管理其权限,同时更好地记录项目级别所需权限的范围。安全团队应该通过努力实现凭证轮换自动化、投资适当的可观察性工具以明确了解凭证状态,并与IT合作完全消除长期存在的凭证来帮助开发人员。

3、强化教育与培训

特别是要提高员工对非人类身份凭证管理重要性的认识,确保他们了解最佳实践并遵循安全政策,以减少人为错误导致的安全隐患。

4、做好修复后审查工作

采取修复行动后,评估所实施措施的有效性。这包括评估变更是否成功降低了风险,以及是否出现任何新的漏洞。利用从修复过程中获得的见解来改进未来的实践。根据过去事件中吸取的教训定期更新政策和程序。

原创 安全牛

标签:凭证,修复,运维,安全,非人类,权限,揭秘,身份
From: https://www.cnblogs.com/o-O-oO/p/18560591

相关文章

  • 解锁AI文本生成奥秘:Greedy、Beam、Top-k、Top-p与温度控制策略全揭秘
    InferenceStrategy(推理策略)推理策略(InferenceStrategy)是指在生成模型(如Transformer、GPT等)进行文本生成或预测时,决定每一步选择的输出(Token)的方法。不同的推理策略对生成的结果有着显著影响,主要体现在输出的质量、多样性、生成速度等方面。以下将深入探讨常见的推理策......
  • 揭秘顶尖游戏网站蓝旗手游体验
    随着游戏行业的蓬勃发展,玩家们对游戏资源获取的需求越来越高。而在众多游戏软件网站中,某知名平台脱颖而出,以其丰富的内容和卓越的用户体验成为广大游戏爱好者的首选。今天,我们将深入分析这家网站,探讨它为何能在激烈的竞争中占据一席之地。蓝旗手游内容丰富多样:满足全方位需求......
  • 开放式耳机品牌排行榜,揭秘热门开放式耳机品牌榜单
    一直以来,我热衷于探索各类科技数码产品的奥秘,时刻紧跟科技潮流的科技数码达人。对电子产品的新技术、新趋势了若指掌。目前开放式耳机市场才起步不久,拥有专业技术积累的品牌并不多,导致很多跨界大牌和网红品牌充斥市场,这些不专业的开放式耳机技术不成熟,直接采取传统的声学技术,用......
  • SqlServer运维——重建索引
    目录0.什么是重建索引1.什么时候需要重建索引2.如何重建索引:重建索引和删除原索引后再创建新索引3.如何重建索引4.创建重建索引的定时作业5.附录0.什么是重建索引如果表中记录频繁地被删除或插入,尽管表中的记录总量保持不变,索引空间的使用量会不断增加。虽然记录从索引......
  • #渗透测试#SRC漏洞挖掘#网络运维# 黑客脚本编写05之字符串运算符与逻辑运算
    免责声明本教程仅为合法的教学目的而准备,严禁用于任何形式的违法犯罪活动及其他商业行为,在使用本教程前,您应确保该行为符合当地的法律法规,继续阅读即表示您需自行承担所有操作的后果,如有异议,请立即停止本文章阅读。                            ......
  • 基于 LLM 的智能运维 Agent 系统设计与实现
    摘要本文详细介绍了一个基于大语言模型(LLM)的智能运维Agent系统的设计与实现。该系统采用多Agent协同的架构,通过事件驱动的方式实现了自动化运维流程。系统集成了先进的AI能力,能够实现故障自动诊断、预测性维护、知识沉淀等核心功能。一、运维Agent架构设计在设计智能......
  • MySQL 日常运维命令总结(一)
    一、连接数据库使用root用户和指定密码连接本地MySQL数据库root@localhost:(none)>`mysql-uroot-p'password'`指定主机和端口连接MySQL数据库root@localhost:(none)>`mysql-uroot-p'password'-h127.0.0.1-P3306`使用指定的套接字文件连接MySQL数据......
  • 12个微信号同时开聊?聚合技巧大揭秘!
    点击关注免费试用12个微信号同时开聊?聚合技巧大揭秘!你是不是也有这种烦恼?微信有好多号,聊天信息永远都在不同的界面来回切换,搞得自己一头雾水,沟通效率大打折扣?!别急,今天就来给大家分享一下让你瞬间变身沟通达人、消息管理大咖的微信聚合技巧!如果你有多个微信号,想同时聊......
  • 运维系列:Docker学习笔记(3)-- 如何使用Dockerfile构建镜像
    Docker学习笔记(3)--如何使用Dockerfile构建镜像Docker学习笔记(3)--如何使用Dockerfile构建镜像1.Dockerfile的书写规则及指令使用方法(1)FROM(指定基础image)该指令有两种格式:(2)MAINTAINER(用来指定镜像创建者信息)格式:(3)RUN(安装软件用)该指令有两种格式:......
  • 揭秘最为知名的黑客工具之一:Ghidra(强大的开源逆向工程工具)
    深入探索Ghidra:强大的开源逆向工程工具随着软件安全性需求的不断增加,逆向工程工具在分析、调试和破解软件方面变得尤为重要。Ghidra,作为由美国国家安全局(NSA)开发并开源的逆向工程套件,迅速成为安全研究人员和开发者的首选工具之一。本文将带您全面了解Ghidra,包括其工具介绍......