Tożsamości inne niż ludzkie (#NHI), takie jak boty, klucze #API, konta usług, tokeny OAuth i sekrety, stają się coraz ważniejsze w dzisiejszym cyfrowym krajobrazie. Chociaż automatyzują one krytyczne zadania i napędzają innowacje, stanowią również poważne zagrożenie dla bezpieczeństwa.
Raport z badania opracowany przez Cloud Security Alliance (#CSA) i sponsorowany przez Astrix Security ujawnia kluczowe informacje na temat tego, w jaki sposób organizacje obecnie zarządzają NHI i jakie są luki w ich środkach bezpieczeństwa.
Kluczowe wnioski z raportu:
Wysoki niepokój, niska pewność siebie
Tylko 15% organizacji czuje się bardzo pewnie w zapobieganiu atakom NHI, podczas gdy 69% wyraża umiarkowane lub wysokie obawy. Złożoność i sama liczba NHI stanowią wyzwanie, często przewyższając liczbę ludzkich tożsamości o 20 do 1.
Problemy z podstawami bezpieczeństwa NHI
Wiele organizacji boryka się z problemami związanymi z zarządzaniem kontami usług (32%), audytem i monitorowaniem (25%) oraz dostępem i uprawnieniami (25%). Te podstawowe obszary są niezbędne do utrzymania bezpiecznego środowiska.
Wyzwania związane z zarządzaniem kluczami API
Tylko 20% organizacji posiada formalne procesy offboardingu i unieważniania kluczy API, a jeszcze mniej (16%) rotuje lub wycofuje klucze API. Ręczna obsługa kluczy API prowadzi do opóźnień i nieefektywności, tworząc luki w zabezpieczeniach.
Fragmentaryczne podejścia prowadzą do incydentów związanych z bezpieczeństwem
Wiele organizacji polega na narzędziach bezpieczeństwa, które nie zostały zaprojektowane specjalnie dla NHI, co prowadzi do fragmentarycznych i nieskutecznych strategii. W rezultacie 45% incydentów związanych z bezpieczeństwem NHI wynika z braku rotacji poświadczeń a 37% z nieodpowiedniego monitorowania.
Wzrost inwestycji w bezpieczeństwo NHI
Co zachęcające, 24% organizacji planuje zainwestować w możliwości bezpieczeństwa NHI w ciągu najbliższych sześciu miesięcy, a 36% w ciągu najbliższego roku.
The State of Non-Human Identity Security
Non-Human Identities (#NHI) such as bots, #API keys, service accounts, OAuth tokens, and secrets are becoming increasingly important in today's digital landscape. While they automate critical tasks and drive innovation, they also pose significant security risks.
A survey report developed by the Cloud Security Alliance (#CSA) and sponsored by Astrix Security reveals key insights into how organizations are currently managing NHIs and the gaps in their security measures.
Key Findings from the Report:
High Anxiety, Low Confidence
Only 15% of organizations feel highly confident in preventing NHI attacks, while 69% express moderate to high concern. The complexity and sheer number of NHIs are a challenge, often outnumbering human identities by 20 to 1.
Struggles with the Basics of NHI Security
Many organizations face issues managing service accounts (32%), auditing and monitoring (25%), and access and privileges (25%). These fundamental areas are essential for maintaining a secure environment.
Challenges with Managing API Keys
Only 20% of organizations have formal processes for offboarding and revoking API keys, and even fewer (16%) rotate or roll back API keys. Manual handling of API keys leads to delays and inefficiencies, creating security vulnerabilities.
Fragmented Approaches Lead to Security Incidents
Many organizations rely on security tools not specifically designed for NHIs, leading to fragmented and ineffective strategies. As a result, 45% of NHI #securityincidents stem from a lack of #credentialrotation, and 37% from inadequate monitoring.
Investment in NHI Security on the Rise
Encouragingly, 24% of organizations plan to invest in NHI security capabilities within the next six months, and 36% within the next year.
Autor: Sebastian Burgemejster
Comments