Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • ¿Realmente necesitamos el top 10 Owasp NHI?
  • Tecnología

¿Realmente necesitamos el top 10 Owasp NHI?

teknomers 27 de Ocak de 2025 (Last updated: 27 de Ocak de 2025) 7 minutes read
¿Realmente necesitamos el top 10 Owasp NHI?


El Proyecto de Seguridad de Aplicaciones Web Open ha introducido recientemente un nuevo proyecto Top 10: el Top 10 de identidad no humana (NHI). Listas de seguridad API y aplicaciones web ampliamente utilizadas.

La seguridad de identidad no humana representa un interés emergente en la industria de la ciberseguridad, que abarca los riesgos y la falta de supervisión asociada con las claves API, cuentas de servicioAplicaciones OAuth, claves SSH, roles IAM, secretos y otras credenciales de máquinas e identidades de carga de trabajo.

Teniendo en cuenta que los 10 proyectos emblemáticos de OWASP ya cubren una amplia gama de riesgos de seguridad en los que los desarrolladores deben centrarse, uno podría preguntar: ¿realmente necesitamos el NHI Top 10? La respuesta corta es – sí. Veamos por qué y exploremos los 10 principales riesgos de NHI.

Por qué necesitamos el NHI Top 10

Mientras que otros proyectos OWASP podrían tocar las vulnerabilidades relacionadas, como la configuración errónea de los secretos, las NHIS y sus riesgos asociados van mucho más allá de eso. Seguridad incidentes Aprovechar NHIS no solo gira en torno a los secretos expuestos; se extienden a permisos excesivos, ataques de phishing oauth, roles de IAM utilizados para movimiento lateraly más.

Si bien es crucial, las listas de OWASP Top 10 existentes no abordan adecuadamente los desafíos únicos no presentes. Siendo los facilitadores de conectividad críticos entre sistemas, servicios, datos y agentes de IA, NHIS son extremadamente frecuentes en los entornos de desarrollo y tiempo de ejecución, y los desarrolladores interactúan con ellos en cada etapa de la tubería de desarrollo.

Con el Creciente frecuencia de ataques dirigidos a NHISse hizo imperativo equipar a los desarrolladores con una guía dedicada sobre los riesgos que enfrentan.

OWASP NHI TOP 10

Comprender los criterios de clasificación Top 10 Owasp Top 10

Antes de sumergirnos en los riesgos reales, es importante comprender la clasificación detrás de los 10 mejores proyectos. OWASP Top 10 proyectos siguen un conjunto estándar de parámetros para determinar la gravedad del riesgo:

  • Explotabilidad: Evalúe con qué facilidad un atacante puede explotar una vulnerabilidad dada si la organización carece de protección suficiente.
  • Impacto: Considera el daño potencial que el riesgo podría infligir en las operaciones y sistemas comerciales.
  • Predominio: Evalúa cuán común es el problema de seguridad en diferentes entornos, sin tener en cuenta las medidas de protección existentes.
  • Detectabilidad: Mide la dificultad de detectar la debilidad utilizando herramientas de monitoreo y detección estándar.

Desglosando los 10 riesgos OWASP NHI Top 10

Ahora a la carne. Exploremos los principales riesgos que obtuvieron un lugar en el NHI Top 10 lista y por qué importan:

NHI10: 2025 – Uso humano de NHI

NHIS está diseñado para facilitar procesos, servicios y aplicaciones automatizadas sin intervención humana. Sin embargo, durante las fases de desarrollo y mantenimiento, los desarrolladores o administradores pueden reutilizar NHIS por operaciones manuales que idealmente deberían realizarse utilizando credenciales humanos personales con privilegios apropiados. Esto puede causar un mal uso de privilegios y, si esta clave abusada es parte de una exploit, es difícil saber quién es responsable por ello.

NHI9: 2025 – Reutilización de NHI

La reutilización de NHI ocurre cuando los equipos reutilizan lo mismo cuenta de serviciopor ejemplo, en múltiples aplicaciones. Si bien es conveniente, esto viola el principio de menor privilegio y puede exponer múltiples servicios en el caso de un NHI comprometido, aumentando el radio de explosión.

NHI8: 2025 – Aislamiento del medio ambiente

Una falta de Aislamiento del entorno estricto puede conducir a probar el sangrado de NHIS a la producción. Un ejemplo del mundo real es el Tormenta de medianoche Ataque a Microsoft, donde se encontró que una aplicación OAuth utilizada para las pruebas tenía altos privilegios en la producción, exponiendo datos confidenciales.

NHI7: 2025 – Secretos de larga vida

Los secretos que siguen siendo válidos por períodos prolongados representan un riesgo significativo. Un incidente notable involucró a Microsoft AI exponiendo inadvertidamente un token de acceso en un repositorio público de GitHub, que permaneció activo durante más de dos años y proporcionó acceso a 38 terabytes de datos internos.

NHI6: 2025 – Configuraciones de implementación de la nube insegura

Las tuberías de CI/CD requieren inherentemente permisos extensos, lo que los convierte en objetivos principales para los atacantes. Las configuraciones erróneas, como las credenciales codificadas o las configuraciones OIDC demasiado permisivas, pueden conducir a un acceso no autorizado a recursos críticos, exponiéndolos a infracciones.

NHI5: 2025 – NHI demasiado privilegiado

A muchos NHI se les otorgan privilegios excesivos debido a las malas prácticas de aprovisionamiento. Según un Informe reciente de CSAEl 37% de los incidentes de seguridad relacionados con NHI fueron causados ​​por identidades sobrevivilizadas, destacando la necesidad urgente de controles de acceso adecuados y prácticas de menos privilegios.

NHI4: 2025 – Métodos de autenticación inseguros

Muchas plataformas como Microsoft 365 y Google Workspace todavía admiten métodos de autenticación inseguros como flujos de OAuth implícitos y contraseñas de aplicaciones, que evitan el MFA y son susceptibles a los ataques. Los desarrolladores a menudo desconocen los riesgos de seguridad de estos mecanismos obsoletos, lo que lleva a su uso generalizado y una posible explotación.

NHI3: 2025 – NHI de terceros vulnerable

Muchas tuberías de desarrollo dependen de herramientas y servicios de terceros para acelerar el desarrollo, mejorar las capacidades, monitorear aplicaciones y más. Estas herramientas y servicios se integran directamente con IDES y reposteres de código utilizando NHIS como claves API, aplicaciones OAuth y cuentas de servicio. Las violaciones que involucran a proveedores como Circleci, Okta y Github han obligado a los clientes a luchar para rotar las credenciales, destacando la importancia de monitorear y mapear estrechamente estos NHIS de propiedad externamente.

NHI2: 2025 – Fuencia secreta

La fuga secreta sigue siendo una preocupación principal, a menudo sirviendo como el vector de acceso inicial para los atacantes. La investigación indica que el 37% de las organizaciones tienen secretos codificados dentro de sus aplicaciones, lo que los convierte en objetivos principales.

NHI1: 2025 – Inforso incorrecto

Clasificado como el principal riesgo de NHI, el fuera de borda inadecuado se refiere a la supervisión prevalente de NHIS persistente que no fueron eliminados o desmantelados después de que un empleado se fue, se eliminó un servicio o se terminó un tercero. De hecho, más del 50% de las organizaciones no tienen procesos formales para el NHIS fuera de borda. NHIS que ya no se necesitan pero permanecen activos crean una amplia gama de oportunidades de ataque, especialmente para las amenazas internas.

Un marco estandarizado para la seguridad NHI

El OWASP NHI Top 10 llena un vacío crítico al arrojar luz sobre los desafíos de seguridad únicos planteados por NHIS. Los equipos de seguridad y desarrollo carecen de un claro, vista estandarizada De los riesgos que representan estas identidades y cómo hacerlas en los programas de seguridad. A medida que su uso continúa expandiéndose a través de aplicaciones modernas, proyectos como el Top 10 Owasp NHI se vuelven más cruciales que nunca.

¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Trump Sparks Race for Trades Comercios para contrarrestar las tarifas de los Estados Unidos
Next: El padre que afirmó que estaba “jugando a pelear” con su hija de 14 años cuando la apuñaló hasta matarla en la cocina es CULPABLE de asesinato

Related Stories

Con los Acton IV y Stanmore IV: Marshall lleva sus
  • Tecnología

Con los Acton IV y Stanmore IV: Marshall lleva sus altavoces al futuro del audio

teknomers 10 de Temmuz de 2026
Gracias a las rebajas, esta RTX 5070 con 12 Go
  • Tecnología

Gracias a las rebajas, esta RTX 5070 con 12 Go GDDR7 baja de los 600€

teknomers 10 de Temmuz de 2026
OpenAI recluta en París para integrar la publicidad en ChatGPT
  • Tecnología

OpenAI recluta en París para integrar la publicidad en ChatGPT

teknomers 10 de Temmuz de 2026

You May Have Missed

  • General

¿Irán intenta asesinar a Donald Trump? Israel ha compartido sus sospechas con Estados Unidos

teknomers 10 de Temmuz de 2026
  • General

Trump despide a tres miembros de la Comisión de Asistencia Electoral antes de las elecciones de medio término

teknomers 10 de Temmuz de 2026
Francia-Marruecos (2-0): 1 tiro a puerta, ninguna ocasión clara… Las
  • Deporte

Francia-Marruecos (2-0): 1 tiro a puerta, ninguna ocasión clara… Las cifras paupérrimas de los Leones del Atlas ante los Bleus

teknomers 10 de Temmuz de 2026
Con los Acton IV y Stanmore IV: Marshall lleva sus
  • Tecnología

Con los Acton IV y Stanmore IV: Marshall lleva sus altavoces al futuro del audio

teknomers 10 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.