Liên hệ
Danh tính phi con người (NHI) vượt mặt con người, rủi ro bảo mật tăng vọt

Danh tính phi con người (NHI) vượt mặt con người, rủi ro bảo mật tăng vọt

  • 8:41 chiều

Trong thế giới an ninh mạng, có một cuộc đua ngầm đang diễn ra, không phải giữa người và người, mà là giữa những danh tính không phải con người (NHI) và danh tính con người. Và đáng buồn thay, NHI đang ngày càng chiếm ưu thế, kéo theo những rủi ro bảo mật khó lường.

Một nghiên cứu mới đây cho thấy, chỉ trong vòng một năm, tỷ lệ NHI so với con người đã tăng hơn 56%. Sự bùng nổ này một phần đến từ sự trỗi dậy của các tác nhân AI và xu hướng tự động hóa trong phát triển phần mềm. Điều này có nghĩa là gì? Rất nhiều tài khoản máy móc, ứng dụng, dịch vụ đang hoạt động mà không có sự giám sát chặt chẽ, tạo ra những lỗ hổng bảo mật lớn.

Các chuyên gia an ninh mạng không khỏi lo lắng khi số lượng lớn NHI không được quản lý đang gây ra những hậu quả nghiêm trọng. Hàng trăm nghìn “bí mật” (secrets), bao gồm cả những thông tin nhạy cảm của các tập đoàn lớn, đã bị phơi bày. Đáng báo động hơn, gần một nửa trong số đó được tìm thấy trong các công cụ cộng tác như ứng dụng nhắn tin và quy trình làm việc, nằm ngoài tầm kiểm soát của các biện pháp bảo mật truyền thống.

Một trong những “thủ phạm” chính là Slack, nền tảng cộng tác phổ biến. Các bot trên Slack thường được kết nối với hệ thống bảo mật và quy trình làm việc nội bộ, khiến chúng trở thành mục tiêu hấp dẫn cho kẻ tấn công. Việc tạo ra các token (mã thông báo) trên Slack rất dễ dàng, nhưng cũng đồng nghĩa với việc chúng dễ bị đánh cắp và lợi dụng.

Nếu kẻ tấn công xâm nhập vào một tài khoản người dùng, chúng có thể lợi dụng các token Slack để leo thang quyền truy cập, chiếm quyền điều khiển các NHI có đặc quyền cao. Điều này mở ra một con đường mới để tấn công, nơi kẻ xấu có thể gây ra những thiệt hại to lớn.

Một thống kê đáng lo ngại khác là 5% các NHI trên nền tảng đám mây AWS (Amazon Web Services) có toàn quyền quản trị. Điều này có nghĩa là, nếu những tài khoản này bị xâm nhập, kẻ tấn công có thể gây ra những thiệt hại không thể lường trước. Thêm vào đó, gần 10% các NHI không chỉ có quá nhiều quyền hạn mà còn không hoạt động trong một thời gian dài, trở thành những “xác sống” tiềm ẩn nguy cơ.

Một số NHI thậm chí còn tồn tại từ 5 đến 10 năm, lâu hơn cả “vòng đời” của người tạo ra chúng. Điều này cho thấy sự lỏng lẻo trong quy trình quản lý và giám sát các tài khoản máy móc.

Các chuyên gia nhấn mạnh rằng, vấn đề không chỉ là số lượng NHI ngày càng tăng, mà còn là quyền hạn mà chúng đang nắm giữ. Để bảo vệ hệ thống, cần tập trung vào việc cấp quyền tối thiểu cần thiết cho NHI và xây dựng các biện pháp kiểm soát vòng đời đầy đủ để quản lý và giám sát quyền hạn của chúng.

Việc một người nắm giữ vĩnh viễn “chìa khóa” của cả một hệ thống là điều không thể chấp nhận được. Nhưng đáng tiếc thay, NHI lại thường được “ưu ái” hơn trong vấn đề này.

Khác với nhân viên, NHI không trải qua các quy trình kiểm soát chặt chẽ khi được tạo, sửa đổi hoặc xóa. Sự tích tụ của các tài khoản bị lãng quên và có quá nhiều quyền hạn khiến chúng trở thành miếng mồi ngon cho kẻ tấn công.

Trong quá trình khắc phục sự cố hoặc vận hành hệ thống dưới áp lực thời gian, việc thiết lập một tài khoản với quyền hạn quá rộng là điều dễ xảy ra. Tuy nhiên, việc theo dõi và thu hẹp quyền hạn sau khi hoàn thành nhiệm vụ thường bị bỏ qua, tạo ra những lỗ hổng bảo mật tiềm ẩn.

Các chuyên gia an ninh mạng kêu gọi các tổ chức cần tăng cường giám sát tự động, thực thi nguyên tắc cấp quyền tối thiểu và thiết lập các chính sách rõ ràng cho NHI, đặc biệt là những NHI được điều khiển bởi AI. Những biện pháp này sẽ giúp các tổ chức tận dụng được lợi ích của tự động hóa AI mà không phải hy sinh an ninh.

Quản lý NHI cũng giống như việc quản lý mật khẩu được mã hóa cứng (hard-coded secrets). Việc kiểm kê, thay đổi và giám sát chúng là một ý tưởng tuyệt vời, nhưng lại khó thực hiện. Đó là lý do tại sao lĩnh vực này đang nhận được rất nhiều sự quan tâm nghiên cứu và đổi mới.

Giải thích thuật ngữ:

  • NHI (Non-Human Identities): Các định danh không thuộc về con người, ví dụ như tài khoản dịch vụ, ứng dụng, máy móc, hoặc các tác nhân AI.
  • AI agent (Tác nhân AI): Một chương trình máy tính có khả năng tự động thực hiện các tác vụ mà không cần sự can thiệp của con người.
  • Token (Mã thông báo): Một chuỗi ký tự được sử dụng để xác thực và cho phép truy cập vào một tài nguyên hoặc hệ thống.
  • AWS (Amazon Web Services): Một nền tảng dịch vụ đám mây của Amazon, cung cấp nhiều dịch vụ điện toán, lưu trữ, cơ sở dữ liệu và các dịch vụ khác.
  • Least privilege (Nguyên tắc cấp quyền tối thiểu): Chỉ cấp cho người dùng hoặc hệ thống quyền truy cập tối thiểu cần thiết để thực hiện công việc của họ.

Chia sẻ với

Share on facebook
Share on twitter
Share on linkedin
Share on pinterest

Bài viết liên quan

BSidesSF 2025: Lex Sleuther – Một phương pháp mới để phát hiện ngôn ngữ Script

Tại sự kiện BSidesSF 2025, Aaron James đã giới thiệu một phương pháp hoàn toàn mới để xác định ngôn …

Tin tặc từ Trung Quốc, Nga và Bắc Triều Tiên khai thác lỗ hổng bảo mật Windows

Những kẻ xấu từ Trung Quốc, Nga, Bắc Triều Tiên và Iran đang lợi dụng một lỗ hổng bảo mật …

CISA Thêm Hai Lỗi N-able N-central Vào Danh Mục Lỗ Hổng Bị Khai Thác

Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa qua đã thêm hai lỗ hổng …

Chiêu trò lừa đảo SMS kiểu mới: Tội phạm Trung Quốc dùng trạm phát sóng di động

Những băng nhóm tội phạm Trung Quốc đang tìm kiếm cộng sự trên mạng để lái xe chở các thiết …