Как защитить нечеловеческие идентичности (NHI)

Нечеловеческие идентичности — одна из самых недооценённых уязвимостей в компаниях, и именно ею активно пользуются злоумышленники. Нечеловеческие идентичности (NHI) — это сущности, которые взаимодействуют с системами и сервисами, но не связаны с конкретным пользователем. По мере роста компаний в гибридных и мультиоблачных средах тысячи машинных идентичностей выполняют важные задачи, но многие из них остаются без контроля и представляют риск для безопасности.

Защитить NHI помогают современные инструменты управления секретами, минимальные привилегии, регулярная ротация учётных данных и контроль доступа к конфиденциальным системам.

Риски неуправляемых NHI

В среднем в компаниях используются тысячи нечеловеческих идентичностей. Многие из них работают с постоянным доступом, расширенными правами и практически без контроля. Без чётких правил управления NHI становятся для киберпреступников простой и привлекательной целью.

Большинство уязвимостей возникает из-за нескольких повторяющихся проблем:

• секреты, жёстко запрограммированные в коде или файлах конфигурации;
• общие сервисные учётные записи без владельца и прозрачного контроля;
• учётные данные, которые не обновляются и не имеют срока действия;
• чрезмерно широкие права доступа, выданные по умолчанию и и не отозванные.

Проблемы защиты NHI

Нечеловеческие идентичности принципиально отличаются от пользователей, но большинство компаний всё ещё пытаются защищать их с помощью IAM-решений, изначально созданных для людей. В итоге появляется слепая зона и разрозненные механизмы контроля, из-за которых машинные учётные данные остаются открытыми для атак.

Традиционные системы IAM изначально создавались для управления доступом сотрудников и не рассчитаны на приложения, контейнеры, сервисные аккаунты и временную облачную инфраструктуру. Хотя такие системы эффективно управляют доступом сотрудников, они часто не принимают во внимание, как действуют нечеловеческие идентичности и какие риски они создают.

Вот основные сложности при защите NHI:

• Ограниченная видимость: нечеловеческие идентичности часто остаются вне поля зрения. Их не регистрируют, не удаляют и не отслеживают так же последовательно, как учётные записи пользователей. Из-за этого сложно понять, сколько идентичностей существует, где они используются и к чему имеют доступ.
• Размытая ответственность: за машинные идентичности отвечают разные команды — DevOps, IT, безопасность и разработка. Из-за этого правила и меры защиты применяются непоследовательно.
• Разрозненное управление учётными данными: секреты хранятся и используются по-разному в разных средах. Одни команды хранят учётные данные прямо в конфигурационных файлах, другие — в конвейерах CI/CD, а облачные сервисы используют встроенные механизмы идентификации, которые часто остаются без должного контроля.
• Чрезмерный и постоянный доступ: нечеловеческим идентичностям часто предоставляют слишком широкие права и позволяют работать без ограничений по времени, нередко с теми же учётными данными, которые были созданы изначально. Это нарушает принципы наименьших привилегий (PoLP) и отсутствия постоянных привилегий.
• Пробелы в политиках: политики IAM, разработанные для людей, плохо применимы к машинным идентичностям. Настроить контроль доступа, многофакторную аутентификацию (MFA) и аудит действий для контейнеров и скриптов, которые работают без пользовательского интерфейса, можно только с помощью специальных инструментов и автоматизации.

Эти пробелы играют на руку киберпреступникам и мешают ИТ-отделам вовремя заметить проблему и принять меры.

5 способов защитить нечеловеческие идентичности

Вот пять способов снизить риски и навести порядок в доступе машин в вашей инфраструктуре.

1. Централизованная система управления секретами

Секреты нельзя хранить в открытом виде, прописывать прямо в исходном коде или переносить между системами вручную. Централизованная платформа управления секретами хранит учётные данные в зашифрованном виде и контролирует доступ на протяжении всего срока их использования.

С помощью Keeper Secrets Manager® учётные данные можно безопасно хранить, извлекать и регулярно обновлять через API. Это помогает организациям сдерживать бесконтрольный рост секретов, автоматизировать рабочие процессы и последовательно применять единые политики в облачных и локальных средах.

2. Автоматическая ротация учётных данных

Постоянные учётные данные со временем становятся уязвимостью системы. Автоматическая ротация снижает этот риск. Пароли, API-токены, SSH-ключи и другие секреты регулярно обновляются и не остаются действительными дольше, чем нужно. Платформа KeeperPAM® включает Keeper Secrets Manager и позволяет автоматически обновлять учётные данные по графику, после каждого использования, а также при обновлении или повторном развёртывании систем.

Это важный шаг, который позволяет отказаться от повторного использования учётных данных и перейти к модели без постоянных привилегий во всей среде.

3. Применяйте принцип наименьших привилегий к NHI

Каждой машинной идентичности должен быть предоставлен только тот доступ, который необходим для выполнения её задач, и ничего лишнего. Начните с определения политик наименьших привилегий для каждого приложения или рабочей нагрузки в зависимости от конкретной роли. Уберите все права доступа, выданные по умолчанию или унаследованные и не нужные для работы, и используйте ролевую модель управления доступом (RBAC), чтобы обеспечить единый и детальный контроль доступа во всех средах.

4. Ограниченный по времени и контролируемый доступ

Нечеловеческие идентичности часто работают без остановки, но это не означает, что им нужен постоянный доступ. Принцип доступа «точно в срок» (JIT) означает, что учётные данные выдаются только тогда, когда они действительно нужны, и отзываются сразу после использования, что снижает риск злоупотреблений.

KeeperPAM поддерживает этот подход, предоставляя доступ только на нужное время и только для конкретных задач или сеансов. Все действия фиксируются в реальном времени, а при необходимости дополняются записью сессий. Это даёт полную прозрачность и упрощает аудит.

5. Непрерывный контроль NHI

Чтобы эффективно управлять нечеловеческими идентичностями, важно постоянно находить сервисные аккаунты, облачные идентичности и учётные данные рабочих нагрузок и отслеживать их использование. Это включает поиск устаревших и зависших учётных данных, проверку прав доступа и фактических сценариев использования, а также автоматическое выявление и удаление идентичностей, которые больше не используются.

Предотвратить бесконтрольный рост NHI невозможно разовым решением. Для этого важно постоянно отслеживать идентичности и контролировать их жизненный цикл во всех средах.

Не оставляйте NHI вне поля зрения

Число NHI растёт, а их архитектура усложняется. Без должного управления нечеловеческие идентичности становятся серьёзной угрозой. Организации, которые не обеспечивают защиту NHI, подвергают себя риску кражи данных, утечек и бокового перемещения внутри инфраструктуры.

KeeperPAM даёт организациям полную видимость и контроль над человеческим и машинным привилегированным доступом. Платформа KeeperPAM разработана для гибридной инфраструктуры и объединяет управление секретами, ротацию паролей, запись сессий и JIT-доступ в одном облачном решении.