- Neden NHI Top 10’a ihtiyacımız var
- OWASP Top 10 Sıralama Kriterlerini Anlama
- OWASP NHI ilk 10 riskini yıkmak
- NHI10: 2025 – NHI’nın İnsan Kullanımı
- NHI9: 2025 – NHI yeniden kullanımı
- NHI8: 2025 – Çevre izolasyonu
- NHI7: 2025 – uzun ömürlü sırlar
- NHI6: 2025 – Güvensiz bulut dağıtım yapılandırmaları
- NHI5: 2025 – Üstün ayrı NHI
- NHI4: 2025 – Güvensiz kimlik doğrulama yöntemleri
- NHI3: 2025 – Savunmasız Üçüncü Taraf NHI
- NHI2: 2025 – gizli sızıntı
- NHI1: 2025 – Yanlış Offlu Banka
Açık Web Uygulama Güvenlik Projesi Son zamanlarda yeni bir Top 10 projesi – İnsan Olmayan Kimlik (NHI) Top 10’u tanıttı. Yıllarca, OWASP güvenlik uzmanlarına ve geliştiricilere temel rehberlik ve eyleme geçirilebilir çerçeveler sağladı. Yaygın olarak kullanılan API ve Web Uygulama Güvenlik Listeleri.
İnsan dışı kimlik güvenliği, siber güvenlik endüstrisine, API anahtarlarıyla ilişkili riskleri ve gözetim eksikliğini kapsayan ortaya çıkan bir ilgiyi temsil eder, Hizmet HesaplarıOAuth uygulamaları, SSH anahtarları, IAM rolleri, sırlar ve diğer makine kimlik bilgileri ve iş yükü kimlikleri.
Amiral gemisi OWASP Top 10 Projesi, geliştiricilerin odaklanması gereken çok çeşitli güvenlik risklerini kapsadığı düşünüldüğünde, biri sorulabilir – gerçekten NHI Top 10’a ihtiyacımız var mı? Kısa cevap – evet. Nedenini görelim ve en iyi 10 NHI riskini keşfedelim.
Neden NHI Top 10’a ihtiyacımız var
Diğer OWASP projeleri sırlar yanlış yapılandırma gibi ilgili güvenlik açıklarına değinebilirken, NHI’lar ve bunların ilişkili riskleri bunun çok ötesine geçer. Güvenlik olaylar NHI’lerden yararlanmak sadece maruz kalan sırların etrafında dönmez; Aşırı izinlere, OAuth kimlik avı saldırılarına, IAM rollerine kadar uzanırlar. yanal hareketve daha fazlası.
Önemli olsa da, mevcut OWASP Top 10 listesi mevcut NHI’lerin benzersiz zorluklarını düzgün bir şekilde ele almıyor. Sistemler, hizmetler, veriler ve AI temsilcileri arasındaki kritik bağlantı sağlayıcılar olan NHI’lar, geliştirme ve çalışma zamanı ortamlarında son derece yaygındır ve geliştiriciler geliştirme boru hattının her aşamasında onlarla etkileşime girer.
İle NHIS’i hedefleyen saldırıların artan sıklığıgeliştiricileri karşılaştıkları riskler için özel bir rehberle donatmak zorunlu hale geldi.
OWASP Top 10 Sıralama Kriterlerini Anlama
Gerçek risklere dalmadan önce, ilk 10 projenin arkasındaki sıralamayı anlamak önemlidir. OWASP Top 10 Projesi, risk şiddetini belirlemek için standart bir parametre setini takip eder:
- Sömürülebilirlik: Kuruluş yeterli korumadan yoksunsa, bir saldırganın belirli bir güvenlik açığından ne kadar kolay yararlanabileceğini değerlendirin.
- Darbe: Riskin iş operasyonlarına ve sistemlerine verebileceği potansiyel hasarı göz önünde bulundurur.
- Yaygınlık: Güvenlik sorununun farklı ortamlarda ne kadar yaygın olduğunu değerlendirerek mevcut koruyucu önlemleri göz ardı eder.
- Tespit edilebilirlik: Standart izleme ve algılama araçlarını kullanarak zayıflığı tespit etmenin zorluğunu ölçer.
OWASP NHI ilk 10 riskini yıkmak
Şimdi ete. Bir nokta kazanan en iyi riskleri keşfedelim NHI Top 10 Liste ve neden önemlidirler:
NHI10: 2025 – NHI’nın İnsan Kullanımı
NHI’lar, insan müdahalesi olmadan otomatik süreçleri, hizmetleri ve uygulamaları kolaylaştırmak için tasarlanmıştır. Bununla birlikte, geliştirme ve bakım aşamaları sırasında, geliştiriciler veya yöneticiler, uygun ayrıcalıklara sahip kişisel insan kimlik bilgileri kullanılarak ideal olarak yürütülmesi gereken manuel işlemler için NHI’leri yeniden kullanabilirler. Bu, ayrıcalık kötüye kullanılmasına neden olabilir ve bu istismar anahtarı bir istismarın bir parçasıysa, kimin sorumlu olduğunu bilmek zordur.
NHI9: 2025 – NHI yeniden kullanımı
NHI yeniden kullanımı, takımlar aynı şeyi yeniden kullandığında gerçekleşir hizmet hesabıörneğin, birden çok uygulamada. Uygun olsa da, bu en az ayrıcalık ilkesini ihlal eder ve tehlikeye atılan bir NHI durumunda birden fazla hizmet ortaya çıkarabilir – patlama yarıçapını arttırır.
NHI8: 2025 – Çevre izolasyonu
Eksiklik katı ortam izolasyonu NHIS’in üretime kanamasını test etmeye yol açabilir. Gerçek dünya örnek Gece yarısı kar fırtınası Test için kullanılan bir OAuth uygulamasının üretimde yüksek ayrıcalıklara sahip olduğu ve hassas verileri ortaya çıkardığı Microsoft’a saldırı.
NHI7: 2025 – uzun ömürlü sırlar
Uzun süreler için geçerli kalan sırlar önemli bir risk oluşturmaktadır. Dikkate değer bir olay, Microsoft AI’sını, iki yıldan fazla bir süredir aktif kalan ve 38 terabayt dahili veriye erişim sağlayan bir kamu Github deposunda bir erişim belirtecini ortaya çıkarmayı içeriyordu.
NHI6: 2025 – Güvensiz bulut dağıtım yapılandırmaları
CI/CD boru hatları doğal olarak kapsamlı izinler gerektirir, bu da onları saldırganlar için birincil hedefler haline getirir. Sabit kodlanmış kimlik bilgileri veya aşırı izin veren OIDC konfigürasyonları gibi yanlış yapılandırmalar, kritik kaynaklara yetkisiz erişime yol açabilir ve bunları ihlallere maruz bırakabilir.
NHI5: 2025 – Üstün ayrı NHI
Birçok NHI, zayıf sunum uygulamaları nedeniyle aşırı ayrıcalıklar verilmektedir. A’ya göre Son CSA raporuNHI ile ilgili güvenlik olaylarının% 37’si, uygun erişim kontrolleri ve en az müstehcen uygulamalar için acil ihtiyacı vurgulayarak aşırı ayrıcalıklı kimliklerden kaynaklanmıştır.
NHI4: 2025 – Güvensiz kimlik doğrulama yöntemleri
Microsoft 365 ve Google Workspace gibi birçok platform, MFA’yı atlayan ve saldırılara duyarlı olan örtük OAuth akışları ve uygulama şifreleri gibi güvensiz kimlik doğrulama yöntemlerini hala desteklemektedir. Geliştiriciler genellikle bu eski mekanizmaların güvenlik risklerinden habersizdir, bu da yaygın kullanımlarına ve potansiyel sömürüsüne yol açar.
NHI3: 2025 – Savunmasız Üçüncü Taraf NHI
Birçok geliştirme boru hattı, gelişimi hızlandırmak, yetenekleri geliştirmek, uygulamaları izlemek ve daha fazlasını hızlandırmak için üçüncü taraf araçlara ve hizmetlere dayanmaktadır. Bu araçlar ve hizmetler, API anahtarları, OAuth uygulamaları ve hizmet hesapları gibi NHIS kullanarak doğrudan IDES ve kod depolarıyla entegre olur. Circleci, Okta ve GitHub gibi satıcıları içeren ihlaller, müşterileri kimlik bilgilerini döndürmeye zorlayarak, bu harici NHI’ları sıkıca izlemenin ve eşlemenin önemini vurgulamaya zorladı.
NHI2: 2025 – gizli sızıntı
Gizli sızıntı, genellikle saldırganlar için ilk erişim vektörü olarak hizmet eden en büyük endişe olmaya devam ediyor. Araştırma gösterir Kuruluşların% 37’sinin uygulamaları içinde sabit kodlu sırlara sahip olması ve onları birincil hedefleri yapması.
NHI1: 2025 – Yanlış Offlu Banka
En iyi NHI riski olarak sıralanan uygunsuz, bir çalışan ayrıldıktan sonra kaldırılmayan veya hizmet dışı bırakılmayan, bir hizmet kaldırıldı veya üçüncü bir tarafın sonlandırıldıktan sonra, devam eden NHI’ların yaygın gözetimini ifade eder. Aslında, kuruluşların% 50’sinden fazlasının NHI’lardan resmi bir süreçleri yoktur. Artık ihtiyaç duymayan ancak aktif olarak kalan NHI’lar, özellikle içeriden gelen tehditler için çok çeşitli saldırı fırsatı yaratır.
NHI güvenliği için standartlaştırılmış bir çerçeve
OWASP NHI Top 10, NHIS’in ortaya koyduğu benzersiz güvenlik zorluklarına ışık tutarak kritik bir boşluğu dolduruyor. Güvenlik ve geliştirme ekipleri açık bir şekilde yok, Standart Görünüm bu kimliklerin ortaya koyduğu risklerin ve bunların güvenlik programlarına nasıl dahil edileceği. Bunun için Astrix Security, OWASP NHI Top 10’u uyumluluk panosunda bir çerçeve olarak uyguladı.
 |
| Astrix Owasp NHI Top 10 Uygunluk Gösterge Tablosu |
Bu yetenek, güvenlik profesyonellerinin mevcut duruşu görselleştirmesine, boşlukları tanımlamasına ve sonraki adımları önceliklendirmesine yardımcı olmak için kuruluşun güvenlik bulgularını NHI Top 10 Risk ile ilişkilendirir.
En iyi 10 çerçevenin yanında kontrol panelini kullanmak, hangi alanların zaman içinde en çok dikkat ve pist iyileşmesine ihtiyaç duyduğunu hızlı bir şekilde görmenizi sağlar.
