未管理的非人类身份导致大多数云安全漏洞

执行摘要

根据最近行业网络研讨会引用的数据，2024年68%的云安全泄露的主要初始攻击向量是被泄露和遗忘的非人类身份，例如服务账户、API密钥和OAuth授权。这一统计数据，归因于2024年的分析，突显了一个系统性的安全失败，即自动化凭证在没有治理的情况下扩散，通常在项目结束后或人员离职后仍然存在。现在，对于每个人类员工，组织需要管理大约40到50个这些非人类身份，创造了一个庞大的、影子攻击面，传统安全控制经常忽略这一点，因为它们专注于人类用户。

技术分析

核心的技术挑战在于机器凭证的生命周期管理。与通常在离职时取消配置的人类账户不同，非人类身份是为特定任务以编程方式创建的——集成应用程序、自动化部署或启用AI代理功能。这些身份被赋予权限，通常是过度的，然后被遗忘。网络研讨会的来源表明，这些“孤儿”身份缺乏监控、轮换或退役流程。正如引用的2024年泄露数据中所指出的，攻击者越来越多地针对这些静态、长期存在的令牌，因为它们提供了直接访问云资源和数据的途径，而无需首先泄露人类用户。攻击路径很直接：发现一个暴露的或保护不力的API密钥，通常留在公共代码仓库或配置文件中，并利用其权限，这些权限可能不会被记录或以与人类登录相同的方式发出警报。

入侵指标

目前没有识别出任何入侵指标。

战术、技术与程序

从泄露数据中推断出的威胁行为者主要采用的技术是凭证收集和滥用有效账户（T1589.001, T1078）。攻击者扫描GitHub等公共来源中暴露的API密钥和服务账户令牌，或探测内部系统以寻找保护不力的秘密。一旦获得，他们使用这些凭证直接认证到云服务（T1550.002），通常绕过仅适用于人类交互的多因素认证控制。附加到这些身份的权限允许横向移动（TA0008）、数据泄露（TA0010）和资源操纵。由于缺乏非人类身份的行为基线，使用传统安全工具检测异常活动——例如，服务账户在不寻常的时间访问资源或从新的地理位置访问——异常困难。

威胁行为者背景

网络研讨会材料没有将这一趋势归因于特定的威胁行为者群体或活动。相反，它描述了一个被广泛利用的机会，从以财务为动机的网络犯罪分子到国家支持的高级持续性威胁（APTs）。这种技术成本低廉，回报高，不需要复杂的漏洞开发。云基础设施和DevOps实践的广泛采用，严重依赖自动化，因此非人类身份，创造了一个所有敌手都在积极利用的目标丰富的环境。

缓解措施与建议

组织必须实施一个专门的非人类身份管理计划。从网络研讨会中得出的关键建议包括：

• 库存和发现： 持续扫描所有云环境、代码仓库和CI/CD管道，以发现所有服务账户、API密钥、OAuth授权和其他机器身份。为每个身份分配所有权。
• 执行最小权限原则： 严格对所有非人类身份应用最小权限原则，定期审查和收紧权限。避免使用长期存在、权限过高的服务账户。
• 自动化生命周期管理： 将凭证生命周期管理集成到项目和员工离职流程中。自动化API密钥和令牌的轮换和过期。尽可能实施即时（JIT）访问配置。
• 监控和警报： 为非人类身份活动建立单独的行为基线和监控。部署能够检测服务账户异常行为的安全工具，例如访问新资源或不寻常的API调用量。
• 秘密管理： 强制使用安全的、集中的秘密管理解决方案（例如，HashiCorp Vault, AWS Secrets Manager）以防止在应用程序代码或配置文件中硬编码凭证。