Tożsamości niebędące tożsamościami ludzkimi (NHI), takie jak boty, klucze API, konta usług, tokeny OAuth i sekrety, stają się coraz ważniejsze w dzisiejszym cyfrowym krajobrazie. Podczas gdy automatyzują krytyczne zadania i napędzają innowacje, stanowią również poważne ryzyko bezpieczeństwa.
Raport z badania opracowany przez Cloud Security Alliance (CSA) i sponsorowany przez Astrix Security ujawnia kluczowe spostrzeżenia na temat tego, w jaki sposób organizacje obecnie zarządzają NHI i lukami w swoich środkach bezpieczeństwa.
Kluczowe ustalenia z raportu:
Wysoki poziom niepokoju, niskie zaufanie
Tylko 15% organizacji czuje się bardzo pewnie w zapobieganiu atakom NHI, podczas gdy 69% wyraża umiarkowane do dużego zaniepokojenie. Złożoność i ogromna liczba NHI stanowią wyzwanie, często przewyższając liczbę tożsamości ludzkich w stosunku 20 do 1.
Problemy z podstawami bezpieczeństwa NHI
Wiele organizacji ma problemy z zarządzaniem kontami usług (32%), audytem i monitorowaniem (25%) oraz dostępem i uprawnieniami (25%). Te podstawowe obszary są niezbędne do utrzymania bezpiecznego środowiska.
Wyzwania związane z zarządzaniem kluczami API
Tylko 20% organizacji ma formalne procesy wyłączania i odwoływania kluczy API, a jeszcze mniej (16%) obraca lub wycofuje klucze API. Ręczne przetwarzanie kluczy API prowadzi do opóźnień i nieefektywności, tworząc luki w zabezpieczeniach.
Fragmentowane podejścia prowadzą do incydentów bezpieczeństwa
Wiele organizacji polega na narzędziach bezpieczeństwa, które nie zostały zaprojektowane specjalnie dla NHI, co prowadzi do fragmentarycznych i nieskutecznych strategii. W rezultacie 45% incydentów bezpieczeństwa NH wynika z braku rotacji uprawnień, a 37% z niewystarczającego monitorowania.
Inwestycje w bezpieczeństwo NHI rosną
Co zachęcające, 24% organizacji planuje zainwestować w możliwości bezpieczeństwa NHI w ciągu najbliższych sześciu miesięcy, a 36% w ciągu najbliższego roku.
The State of Non-Human Identity Security
Non-Human Identities (NHI) such as bots, API keys, service accounts, OAuth tokens, and secrets are becoming increasingly important in today's digital landscape. While they automate critical tasks and drive innovation, they also pose significant security risks.
A survey report developed by the Cloud Security Alliance (CSA) and sponsored by Astrix Security reveals key insights into how organizations are currently managing NHIs and the gaps in their security measures.
Key Findings from the Report:
High Anxiety, Low Confidence
Only 15% of organizations feel highly confident in preventing NHI attacks, while 69% express moderate to high concern. The complexity and sheer number of NHIs are a challenge, often outnumbering human identities by 20 to 1.
Struggles with the Basics of NHI Security
Many organizations face issues managing service accounts (32%), auditing and monitoring (25%), and access and privileges (25%). These fundamental areas are essential for maintaining a secure environment.
Challenges with Managing API Keys
Only 20% of organizations have formal processes for offboarding and revoking API keys, and even fewer (16%) rotate or roll back API keys. Manual handling of API keys leads to delays and inefficiencies, creating security vulnerabilities.
Fragmented Approaches Lead to Security Incidents
Many organizations rely on security tools not specifically designed for NHIs, leading to fragmented and ineffective strategies. As a result, 45% of NH securityincidents stem from a lack of credentialrotation, and 37% from inadequate monitoring.
Investment in NHI Security on the Rise
Encouragingly, 24% of organizations plan to invest in NHI security capabilities within the next six months, and 36% within the next year.
Autor: Sebastian Burgemejster
Σχόλια