當前網絡安全行業的流行語“身份是新的邊界”、“黑客不入侵，他們登錄”等，凸顯了身份和訪問管理（IAM）在當今網絡安全中的重要性。

根據Verizon數據泄露調查報告，憑據泄露是導致數據泄露的主要攻擊向量，傳統網絡邊界理論已經失效。業界對IAM的普遍重視正推動整個網絡安全行業向零信任架構邁進。

但是IAM有一個致命的盲區：非人類身份（NHI）。當數字系統需要訪問和權限時，它們也需要憑據，就像人類一樣。這些非人類身份（NHI）允許復雜系統的許多組件協同工作，但同時也帶來了重大的安全問題。

IAM通常關注如何保護用戶名和密碼以及與人類用戶相關的身份。但相比人類身份，NHI（與應用程序、設備或其他自動化系統相關的數字和機器憑據）的訪問范圍要大得多。

非人類身份數量遠超人類身份

一些組織發現，每1000名人類用戶，通常有1萬個非人類連接或憑據。在某些情況下，NHI的數量可能是人類身份的50倍。

NHI包括服務賬戶、系統賬戶、IAM角色和其他用于企業身份驗證活動的機器身份，主要圍繞API密鑰、令牌、證書和機密信息展開。

在云原生時代，機密信息管理面臨的挑戰迅速增加。對公共GitHub存儲庫的掃描發現了數百萬個機密信息，三星等公司的數據泄露事件更是泄露了數以千計的機密信息。

NHI對機器間訪問和身份驗證至關重要

每種身份類型都有其獨特的方式來管理NHI的使用，以進行機器間的訪問和身份驗證。NHI不僅數量龐大，其治理更加復雜，因為它們存在于整個企業內的不同工具、服務和環境中，安全部門通常難以全面監控和控制其安全使用或整個生命周期。

安全團隊面臨巨大挑戰

安全團隊投入大量精力和資源來保護人類憑據和身份，如配置、最小權限訪問控制、范圍設定、停用和多因素認證（MFA）等強大安全措施。

然而，企業內部和外部的NHI由于其規模和不透明性（包括第三方服務提供商、合作伙伴和環境等），安全管理難度呈指數級增長。

開發人員、工程師和最終用戶經常創建NHI并授予其訪問權限，但他們可能并不深刻理解這些長期憑據的影響、訪問級別以及惡意行為者可能利用這些憑據的潛在風險，而這一過程中通常沒有安全團隊的治理或參與。

OAuth推動NHI訪問

NHI是企業環境中活動、工作流和任務的核心推動力，廣泛使用的OAuth等在線授權標準在其中發揮了重要作用。OAuth可以用于為各種客戶端類型（如基于瀏覽器的應用程序、移動應用程序、連接設備等）提供委托訪問。

OAuth使用訪問令牌，這些數據用于代表企業或其他用戶訪問資源。OAuth利用核心組件來促進這一活動，包括資源服務器、資源所有者、授權服務器和客戶端。

軟件供應鏈攻擊日益猖獗

OAuth的使用存在潛在問題，特別是在處理外部服務（如SaaS）時，最終用戶無法控制這些OAuth令牌的存儲方式。這些都由外部服務提供商或應用程序處理。

這本身并非問題，但我們知道軟件供應鏈攻擊正在增加。攻擊者已經意識到，針對廣泛使用的軟件供應商比單獨攻擊一個個人或客戶組織更為有效。

這些攻擊不僅集中在廣泛使用的開源軟件組件上，如Log4j和XZ Utils，還針對世界上最大的軟件公司，如Okta、GitHub和微軟。微軟攻擊事件涉及國家級黑客濫用Microsoft Office 365及其OAuth使用。

NHI正在成為熱門攻擊目標

供應鏈攻擊日益猖獗不僅強調了保護NHI的必要性，也強調了組織制定強有力的SaaS治理計劃的必要性。大多數組織可能僅使用兩到三個IaaS提供商，但卻使用了數百個SaaS提供商，通常不在內部安全團隊的監控范圍內，缺乏對訪問級別、數據類型或外部SaaS提供商在遭受軟件供應鏈攻擊時的可見性。

NHI在重大的網絡安全事件中經常扮演重要角色，甚至進入了美國證券交易委員會的8-K文件，例如Dropbox最近提交的一份文件中指出：“攻擊者入侵了DropboxSign后端的一個服務賬戶，這是一種用于執行應用程序和運行自動服務的非人類賬戶。”

這表明NHI在現代企業中廣泛存在，并越來越多地成為黑客攻擊的目標。NHI是現代數字生態系統的基礎，廣泛用于內部的云、開發和自動化以及SaaS生態系統的集成。

如果沒有全面的NHI安全方法，CISO和安全團隊很難發現NHI相關漏洞，以及身份安全戰略的致命缺陷。