OWASP เผยรายชื่อ “Top 10 ความเสี่ยงด้านความปลอดภัย Non-Human Identities (NHI)” ครั้งแรก
OWASP เผยรายชื่อ “Non-Human Identities (NHI) Top 10” ครั้งแรก ซึ่งใช้ในการอนุญาตให้ซอฟต์แวร์ เช่น แอปพลิเคชัน, API, บอท, และระบบอัตโนมัติ เข้าถึงทรัพยากรที่มีการป้องกัน
ด้วยการที่องค์กรต่างๆ พึ่งพาระบบอัตโนมัติ แอปพลิเคชัน และโครงสร้างพื้นฐานบนคลาวด์มากขึ้น การเพิ่มขึ้นอย่างรวดเร็วของอัตลักษณ์ดิจิทัลที่ไม่ใช่มนุษย์ เช่น บัญชีบริการ, API keys และข้อมูลรับรองเครื่องจักร ทำให้เกิดพื้นผิวการโจมตีที่กว้างขวางและมักไม่ได้รับการจัดการอย่างเพียงพอ
ปัจจุบันองค์กรมักมี NHI มากถึง 10 ถึง 50 เท่าของบัญชีผู้ใช้มนุษย์ ซึ่งทำให้ความปลอดภัยเป็นปัญหาที่สำคัญ
การเพิ่มขึ้นของข้อมูลรับรองเหล่านี้ได้เพิ่มความเสี่ยงในการเกิดการละเมิดความปลอดภัย เนื่องจากข้อมูลรับรองยังคงเป็นช่องทางหลักในการโจมตีตามรายงาน Data Breach Investigations Report ของ Verizon
ตัวอย่างของ NHI ได้แก่
- API keys ที่ใช้โดย microservices เพื่อเข้าถึงฐานข้อมูล
- บัญชีบริการในระบบแบ็คเอนด์ที่เชื่อมต่อหลายระบบย่อย
- บทบาทที่เกี่ยวข้องกับบริการอัตโนมัติเพื่อเข้าถึงทรัพยากรในคลาวด์
- โทเค็นที่ใช้โดยบอทเพื่อเข้าถึงทรัพยากรแอปพลิเคชันที่ป้องกัน
- ทำไมรายชื่อ OWASP NHI Top 10 จึงสำคัญ: องค์กรต่างๆ ควรให้ความสำคัญกับรายชื่อใหม่ของ OWASP ที่มุ่งเพิ่มความตระหนักเกี่ยวกับความเสี่ยงด้านความปลอดภัยของ NHI, ให้คำแนะนำที่สามารถดำเนินการได้ และเสนอแนวทางในการลดช่องโหว่
- เหตุการณ์การละเมิดข้อมูลที่มีชื่อเสียง เช่น การโจมตี Midnight Blizzard ของ Microsoft (2024), การแฮ็ก Zendesk Support Platform ของ Internet Archive (2024), และการละเมิดระบบสนับสนุนของ Okta (2023) ได้เน้นย้ำความสำคัญของการรักษาความปลอดภัยของ NHI
- การริเริ่มนี้เน้นย้ำการรับรู้ที่เพิ่มขึ้นว่า มาตรการความปลอดภัยแบบดั้งเดิมที่เกี่ยวกับการจัดการอัตลักษณ์ไม่เพียงพอสำหรับสภาพแวดล้อมในปัจจุบันที่มีบทบาทของสิ่งที่ไม่ใช่มนุษย์เป็นส่วนสำคัญ
OWASP NHI Top 10 Highlights
- การลบบัญชีไม่ถูกต้อง
- องค์กรมักลืมที่จะปิดการใช้งานข้อมูลรับรองของ NHI หลังจากที่แอปพลิเคชัน, บริการ หรือกระบวนการอัตโนมัติถูกยกเลิก
- การรั่วไหลของข้อมูลลับ
- ข้อมูลรับรองที่สำคัญ เช่น API keys และโทเค็น มักถูกเปิดเผยผ่านที่เก็บโค้ด หรือไฟล์การตั้งค่าทำให้เสี่ยงต่อการโจมตี
- NHI ของบุคคลที่สามที่มีความเสี่ยง
- การผสานรวมกับบุคคลที่สาม เช่น ปลั๊กอินหรือแอปพลิเคชัน SaaS อาจทำให้เกิดช่องโหว่ด้านความปลอดภัย
- การพิสูจน์ตัวตนที่ไม่ปลอดภัย
- วิธีการพิสูจน์ตัวตนที่ล้าสมัยหรือไม่ปลอดภัยยังคงเป็นความเสี่ยงสำคัญ
- NHI ที่มีสิทธิ์เกินความจำเป็น
- NHI หลายตัวได้รับสิทธิ์ที่มากเกินไป ซึ่งทำให้ความเสียหายจากการถูกแฮ็กเพิ่มขึ้น
- การกำหนดค่าการใช้งานคลาวด์ที่ไม่ปลอดภัย
- ความผิดพลาดในการกำหนดค่าของระบบ CI/CD และโครงสร้างพื้นฐานบนคลาวด์เป็นสาเหตุหลักของเหตุการณ์ความปลอดภัย
- ความลับที่มีอายุยาว
- ข้อมูลรับรองที่มีอายุการใช้งานยาวเกินไปทำให้โจมตีได้ง่าย
- การแยกสภาพแวดล้อมไม่ดี
- การแยกระหว่างสภาพแวดล้อมการพัฒนา การทดสอบ และการผลิตไม่ดีทำให้เกิดความเสี่ยง
- การใช้ข้อมูลรับรอง NHI ซ้ำ
- การใช้ข้อมูลรับรองเดียวกันในหลายแอปพลิเคชันหรือสภาพแวดล้อม
- การใช้ NHI โดยมนุษย์
- การที่นักพัฒนาหรือผู้ดูแลใช้ NHI สำหรับกระบวนการอัตโนมัติ
ทำไมการจัดการความเสี่ยง NHI จึงเป็นความสำคัญสูงสุด: รายงานนี้เน้นย้ำว่า หลายวิธีการด้านความปลอดภัยของ NHI ไม่ได้ซับซ้อนในตัวเอง แต่ขนาดที่มากของมันในองค์กรสมัยใหม่ทำให้มันเป็นเรื่องท้าทาย
การใช้เทคโนโลยีอัตโนมัติและแพลตฟอร์มการจัดการข้อมูลรับรองขั้นสูงเป็นแนวทางที่ OWASP เสนอเพื่อเผชิญกับความท้าทายนี้
Frequently Asked Questions (F&Q)
- Non-Human Identities (NHI) คืออะไร?
- NHI คือ ตัวตนดิจิทัลที่ไม่ได้ใช้โดยมนุษย์ เช่น API keys, service accounts, และเครื่องมืออัตโนมัติที่ใช้เข้าถึงทรัพยากรที่มีการรักษาความปลอดภัยในระบบต่าง ๆ
- ทำไม NHI ถึงมีความสำคัญในด้านความปลอดภัยไซเบอร์?
- เนื่องจากองค์กรต่าง ๆ ใช้งาน NHIs มากขึ้นในระบบอัตโนมัติ การใช้ NHI ที่ไม่ได้รับการจัดการอย่างเหมาะสมอาจเป็นช่องโหว่ที่ทำให้เกิดการละเมิดข้อมูลหรือการโจมตีทางไซเบอร์
- ทำไม NHI ถึงเป็นสาเหตุสำคัญในการละเมิดข้อมูล?
- NHI มักถูกใช้โดยแอปพลิเคชันและระบบอัตโนมัติต่าง ๆ ที่มีความสำคัญสูง และการเข้าถึงเหล่านี้หากไม่ได้รับการปกป้องอาจทำให้ผู้โจมตีเข้าถึงข้อมูลสำคัญได้
แหล่งที่มา : https://cybersecuritynews.com/owasp-nhi-top-10/
เริ่มต้นเสริมความปลอดภัยให้องค์กรของคุณด้วยวันนี้!
ติดต่อเราเพื่อรับคำปรึกษาและบริการที่ดีที่สุดในด้านความปลอดภัยไซเบอร์
สนใจสินค้า 
สอบถามเพิ่มเติม
: 02-026-6665
: 