非人身份风险管理：企业面临的新挑战

关键要点

• 非人身份（NHIs）在数字世界中已超越人类，面临安全风险。
• 无监控的API、机器人和服务账户为攻击者提供了方便的进入点。
• 企业需加强对NHIs的治理与管理，以降低风险。

随着非人身份数量超过人类身份的比率达到45：1，企业在无监控的API、机器人和服务账户面前面临不断增加的安全风险。虽然机器身份在数字化世界中逐渐占据主导地位，但这些安静的“门卫”却让企业处于危险之中。这些身份虽然在后台默默运行，却常常被忽视、管理不善且未受到保护，从而为攻击者打开了大门。

在企业普遍采用先进技术的同时，潜藏在非人身份中的安全隐患迅速成为现代企业最大的安全风险之一。

非人身份的增长

非人身份是现代企业运营中不可或缺的一部分。使得不同应用之间的沟通变得无缝，机器人过程自动化（RPA）则简化了重复任务，而物联网设备则推动物流和医疗等多个领域的运营。然而，随着这些技术的快速增长，伴随而来的风险也在增加。根据的说法：“随着管理数千个应用和超过10万个实体，复杂性不断增加。如果没有适当的整合与治理，风险倍增。”

许多组织往往忽视对NHIs的管理，导致多数身份处于休眠或未被监控的状态。存储在明文中的API密钥等不安全信息进一步加剧了这一问题。指出，因管理不善和缺乏对这些身份的可视化，导致了攻击者可以轻松利用的脆弱性。

潜在风险：休眠账户、提升权限与管理不善

休眠和孤立的NHIs——那些不再被积极使用但仍与关键系统相连的账户——是网络安全的盲点。这些账户在被遗忘的情况下仍可能长时间存在，为恶意行为者提供了便利的入侵途径。例如，遗留的机器账户通常具有特权访问权限，一旦被攻陷，攻击者可以在网络中横向移动。

此外，针对API密钥、证书和OAuth令牌等密钥缺乏治理的情况使得问题更加复杂。这些密钥常常被开发团队误处理，存储在不安全的配置中或未能定期更换。的密钥保持静态，增加了被利用的可能性。

正如，确保这些身份安全的第一步是建立明确的治理和资源分配：“这关乎于创建策略，将目标与商业目标整合，确保正确的资源得到配置以实施稳固的IAM架构。”

现实影响

与NHIs相关的风险并非虚幻。2023年最大的数据泄露事件之一MOVEit黑客攻击展示了第三方工具中存在的漏洞如何导致大规模的数据盗窃。同样，云环境中API密钥的滥用也让攻击者得以在不被发现的情况下访问敏感系统并。

Talis Group的B2B身份与访问管理专家MarcoVenuti指出：“根据我们的经验，第三方身份通常超过内部身份。这使得它们固有地风险更高，因为每增加一个外部连接，攻击面就会急剧扩大。”

保护非人身份的最佳实践

尽管面临这些挑战，但组织可以采取明确的措施来降低与NHIs相关