Каждый день мы взаимодействуем с десятками машинных сущностей разной сложности: начиная с инструментов на основе искусственного интеллекта, которые намерены изменить правила игры, и заканчивая уже привычными сервисами, вроде умных термостатов, навигаторов и т.д.
Согласно исследованию CyberArk, программные аккаунты преобладают в численности над человеческими в 45 раз. Программные учетные записи, такие как боты для роботизированной автоматизации процессов (RPA) и микросервисы, работающие в облаке, растут экспоненциальными темпами, поскольку все больше компаний трансформируются в цифровом формате. Они автоматизируют многие ранее рутинные задачи и повышают операционную эффективность многих функций. Эти программные учетные записи получают доступ к критически важным ресурсам для выполнения своей работы, используя секретные учетные данные (включая пароли, SSH-ключи и API-ключи). И эти данные нужно защищать так же, как и привилегированные учетные данные людей.
Вероятно, в вашей организации есть несколько областей, где хранятся машинные аккаунты и данные, требующие защиты. Ниже мы рассмотрим семь типов наиболее распространенных машинных аккаунтов, которые вы можете найти в вашей организации, а также некоторые проблемы безопасности для каждого типа, когда речь идет об управлении секретами. Понимание этих вызовов и осознание того, насколько разными они могут быть для каждого типа аккаунтов, является первым шагом к построению целостного плана их преодоления.

1. Облачные среды и приложения

Многие организации используют несколько поставщиков облачных услуг, чтобы поддерживать контроль за ценами, обеспечить гибкость и избежать зависимости от провайдера. Каждый CSP имеет свой собственный способ хранения, доступа и управления секретами. Кроме того, облачные приложения, созданные на этих платформах, постоянно обновляются с помощью процессов CI/CD и часто используют секреты для связи с другими микросервисами в облачной среде для запуска. Основная проблема, которую нужно решить, когда речь идет об облаке, — обеспечение такой же гибкости и динамичности системы безопасности, как и среда, в которой работают ваши разработчики.
Вызовы безопасности:● Разработчики должны иметь возможность работать динамически и в масштабе.● Разработчики могут выбирать короткие пути (например, жесткую кодировку секретов) или пренебрегать требованиями безопасности.● Несоблюдение корпоративной безопасности может создать препятствия для соблюдения нормативных требований.● Базовые инструменты DevOps и контейнерные платформы могут быть недостаточно защищены.● Хранилища кода могут случайно раскрыть секреты и ключи доступа к облаку

2. Инструменты DevOps, конвейеры CI/CD и цепочка поставки программного обеспечения

Инструменты DevOps обычно требуют высокого уровня привилегированного доступа для выполнения своих задач. Таким образом, конвейеры CI/CD и другие инструменты DevOps известны как активы нулевого уровня, и это означает, что если злоумышленник получает доступ к этим активам, он может получить доступ и к более привилегированным учетным данным. Жизненный цикл разработки программного обеспечения движется быстро, и используемые в нем инструменты могут стать большой уязвимостью, если ваши команды DevOps не полностью осознают необходимые меры безопасности.
Вызовы безопасности:● Безопасность должна сместиться влево, чтобы быть задействованой на более ранних стадиях цикла разработки.● Администраторы и разработчики DevOps могут использовать встроенные функции управления секретами, что приводит к разрастанию секретов или хранилищ.● Может потребоваться принудительная система сдерживаний и противовесов.● Злоумышленник может иметь возможность расширить доступ после того, как инструмент будет скомпрометирован

3. Инструменты автоматизации и скрипты

Инструменты автоматизации и скрипты могут быть мощными и выполнять сложные IT-задания. Но они также могут быть очень простыми, например, нечасто используемый базовый сценарий PowerShell. Хотя эти простые скрипты могут не казаться большой уязвимостью, эти инструменты автоматизации и скрипты часто требуют высокого уровня привилегированного доступа и были причиной некоторых громких нарушений в прошлом.
Вызовы безопасности:● Слишком часто скрипты используют встроенные жестко закодированные учетные данные и могут быть размещены в репозиториях● Из-за своей простоты скрипты могут быть проигнорированы как уязвимость безопасности● Легкость репликации и нечастое использование затрудняют отслеживание скриптов● Некоторые инструменты автоматизации обладают встроенными возможностями управления секретами, которые могут привести к разрастанию секретов и хранилища.● Злоумышленники могут использовать ценные учетные данные, даже если инструмент является базовым (см. взлом Uber 2022).

4. Коммерческие и ISV-программы

Коммерческие готовые программы (COTS) и независимые поставщики программного обеспечения (ISV) требуют высокого уровня привилегированного доступа для выполнения своей работы. Поскольку эти приложения не принадлежат вашей компании, у них есть некоторые уникальные требования к безопасности, которые следует учитывать, например, обеспечить их интеграцию с вашими инструментами защиты.
Вызовы безопасности:● Нуждаются в интеграции, разработанной поставщиком.● Они чувствительны к слабым местам в цепочке поставки программного обеспечения и процессах CI/CD поставщика.● Высокий уровень доступа означает высокий уровень уязвимости, если их скомпрометирует злоумышленник.● Персональная информация, хранящаяся в бизнес-приложениях, может стать уязвимой при утечке данных.● Наименьшие привилегии и своевременный доступ обязательны для уменьшения риска

5. Роботизированная автоматизация процессов (RPA)

Боты RPA помогают командам разработчиков и IT-Ops автоматизировать множество рутинных задач, ускоряя рабочие процессы. Но ручная ротация учетных данных для этих ботов не масштабируется, особенно когда организация использует множество автоматизированных ботов без человека-руководителя. Наибольшим вызовом для команд безопасности является необходимость обеспечить скорость RPA, а также централизованно управлять политиками для соблюдения нормативных требований и защиты от атак.

Вызовы безопасности:● Ручная ротация и процессы управления не масштабируются.● Безопасность может рассматриваться как препятствие для развертывания или требования к операционной эффективности.● Служба безопасности требует простых в использовании интеграций, чтобы минимизировать проблемы с безопасностью и ускорить развертывание.

6. N-уровень/статические приложения собственного производства

Хотя многие из вышеперечисленных приложений используют новейшие цифровые инновации, такие как облачные технологии и автоматизация, большинство организаций все еще полагаются на различные приложения, разработанные собственными силами. Эти приложения включают различные традиционные среды (например, Java) и операционные системы, включая Unix/Linux. Поскольку они размещены на локальном уровне, они могут создавать разные вызовы для других типов аккаунтов.
Вызовы безопасности:● Учетные данные жестко закодированы или хранятся локально, что создает риск компрометации.● Автоматическая ротация учетных данных, используемых этими приложениями, иногда невозможна.● Права доступа должны быть лучше адаптированы, поскольку эти приложения могут иметь чрезмерные полномочия.● Должны легко подключаться к другим системам и приложениям.

7. Программы для мейнфреймов

Как и приложения N-уровня, приложения, размещенные на мейнфреймах (например, zOS), все еще широко используются предприятиями в определенных случаях. Это наиболее критически важные приложения на предприятии, и жизненно необходимо, чтобы они не подвергались сбоям или не прерывали свои процессы из-за процедур безопасности.

Проблемы безопасности:● Ротация учетных данных потенциально может прервать большие объемы транзакций● Учетные данные жестко кодируются или хранятся локально, что создает риск компрометации.● Требуется высокий уровень надежности.

Как за этим уследить?

Управление секретами может оказаться значительно сложнее при работе с таким количеством программных доступов. Каждая группа имеет свои нюансы и требования, которые необходимо учитывать при создании политики безопасности. Осознание всех различных типов и учетных записей в вашей организации и понимание всех потребностей в безопасности, которые необходимо учитывать, являются первыми шагами к построению целостной программы для управления и защиты этих сущностей и их чувствительных данных.
Именно здесь может помочь централизованное управление секретами. Электронная книга “Key Considerations for Securing Different Types of Non-human Identities” ознакомит вас с лучшими практиками защиты секретов в каждой из этих категорий и предоставит поэтапный подход к созданию более эффективной программы управления секретами.