身份攻击中的非人类身份：巨大的盲点

如今，在几乎所有数字化程度较低的公司里，成千上万的 能够打开大门、传输数据和执行流程的非人类身份 几乎没人关注它们。虽然安全团队仍在监控用户、密码和多因素身份验证 (MFA)，但真正将应用程序和服务连接起来的“大军”是由服务帐户、API 密钥、令牌、机器人和人工智能代理组成的。

问题在于，这些技术身份的增长速度惊人。 它们的库存管理不善，缺乏有效管理，并且往往会积累特权。 没人会检查这些账户。一旦其中一个账户被攻破，攻击者不仅能获得访问权限，还能利用一个没有多因素身份验证、监控有限且几乎无法确定责任人的漏洞。这些因素使得它们成为现代身份攻击的关键组成部分。

什么是非人类身份？为什么它们如此重要？

在信息安全领域，非人类身份（NHI）被认为是 机器、应用程序或自动化流程使用的任何数字凭证 无需人工直接干预即可进行身份验证和访问资源。这包括服务帐户、API 密钥、应用程序密钥、云管理身份、OAuth 令牌、证书，以及越来越多的机器人和人工智能代理。

这些身份本质上与传统用户帐户的功能相同： 向系统证明某人是“某种身份”并获得特定权限区别在于，这里无需人工输入用户名和密码，而是通过程序自动使用密钥、令牌或证书进行身份验证。例如，备份软件在凌晨两点连接数据库时，使用的是服务帐户；CRM 系统与工单系统通信时，使用的是 API 密钥。

实际上，在许多组织中，机器身份已经存在。 它们的数量是人类的十倍到四十五倍甚至更多。根据多项行业研究，每个云资源、每个 CI/CD 流水线、每个微服务或 SaaS 集成都会产生新的技术凭证。尽管技术凭证呈爆炸式增长，但大多数安全框架和内部流程的设计仍然以人为本。

这种差异造成了一个明显的盲点： 经典身份与访问管理策略和控制（密码、多因素身份验证、单点登录、访问审查） 他们很难适应这样的环境：身份验证是自动的，凭据嵌入在代码中或作为密钥存储，生命周期不是由人力资源部门决定，而是由开发人员和运维团队决定。

人类与非人类身份之间的关键区别

了解这两个世界之间的交集有助于理解为什么身份攻击越来越多地针对国家健康保险 (NHI)。两者之间存在四个根本区别： 所有权、身份验证、生命周期和行为.

首先是所有权：一个人的身份通常有非常明确的所有者（一个特定的人，有经理、合同和角色）。相比之下， 非人类身份往往会变得“孤立”或所有权分散。这可能部分是开发团队、运维团队、供应商或“多年前负责设置的人”的责任。但到了需要审查权限或禁用某些功能的时候，却没有人主动承担责任。

其次是身份验证机制。人类使用 密码通常受多因素身份验证 (MFA) 保护，并且越来越多地受单点登录 (SSO) 保护。基于网络的身份验证 (NBI) 依赖于持有者令牌、API 密钥、证书、SSH 密钥或云提供商提供的托管身份。几乎在所有情况下，都没有第二重验证：如果攻击者窃取了凭据，他们就可以在这些权限范围内为所欲为。

就生命周期而言，人类身份是通过以下方式形成的： 相对成熟的高、角色变化和低过程这些都与人力资源和入职/离职系统相关联。非人类身份的创建、更改和销毁（或者更糟糕的是，不销毁）都由开发人员、管理员或自动化工具的决策决定。它们很少经过正式的审批、文档记录和定期审查流程。

最后，行为：人类的参与是 互动式、不规则式和情境式非人为访问是程序化的、重复性的：脚本总是运行相同的查询，服务总是发出相同的 API 调用，CI/CD 流水线总是以相同的方式部署。这使得定义行为基线变得容易，但也极大地增加了大规模人工审查的难度，因为事件数量会激增。

验证非人类身份的常用方法

NIH用户并非以传统意义上的方式“登录”，而是 它们使用不同类型的凭证自动进行身份验证。大多数环境下常见的四种主要方法如下。

第一种是基于令牌的身份验证： API密钥、JWT令牌和持有者令牌 这些令牌用于服务集成、API 访问和 OAuth 流程。它们通常包含在 HTTP 标头中，如果泄露，攻击者就可以冒充应用程序或服务。

其次，基于密钥的身份验证，尤其关注…… SSH 密钥和与服务帐户关联的密钥这些密钥通常用于服务器连接、系统管理自动化或部署。如果这些密钥没有轮换或在多台机器上重复使用，风险会显著增加。

第三种方法涉及证书，通常是 X.509 证书； 相互TLS（mTLS）用于识别机器并确保通信安全在这里，身份与受信任机构颁发的证书相关联，从而可以验证机器或服务是否与其声称的身份相符。

最后，我们发现了公有云中的工作负载身份联合： AWS IAM 角色、Azure 托管标识或 GCP 服务帐户在这种模型中，运行在云端的应用程序可以动态地承担具有已定义权限的角色，而无需存储固定的凭证，这降低了一些风险……但并不能消除治理和良好权限设计的必要性。

所有这些方法的共同点是： 它们通常都不受多因素身份验证 (MFA) 或交互式登录控制的保护。一旦凭证泄露，攻击者就能完全掌控该技术身份。

公司中非人类身份的主要类型

要认真对待这个问题，首先要做的是 对典型环境中存在的不同类型的非医疗卫生机构进行分类每个类别都有其自身的细微差别和安全挑战，但它们都具有共同的风险模式。

第一家庭是 服务帐户和应用程序标识在部署了 Active Directory 的本地环境中，服务帐户允许备份、监控或 Web 服务等应用程序访问数据库、文件系统或网络资源。这些帐户通常通过 ServicePrincipalName (SPN) 属性进行标识。主要问题在于，这些帐户的密码很少（甚至从未）更改，导致这些帐户随着时间的推移不断积累权限。

在现代 Windows 系统中，一个好的做法是将这些帐户迁移到 集团托管服务帐户 (gMSA)这些系统能够从 Active Directory 自动安全地管理密码，无需管理员直接操作。在云端，其概念上的对应物是由提供商分配应用程序身份，用于访问 API、数据库和托管服务。

另一个关键类别是 API密钥和其他应用程序密钥这些密钥允许一个系统在无需用户干预的情况下向另一个系统进行身份验证。它们嵌入在内部集成、与SaaS工具的连接、第三方服务、向制造商报告耗材消耗的打印机、发送遥测数据的工业设备等等之中。这里存在双重风险：它们通常是静态凭证，没有过期时间，而且往往最终散落在代码库、环境变量、配置文件甚至聊天记录中。

此外，还有存储在保险库或文件中的秘密（连接字符串， 数据库密码、加密密钥等尽管这些凭证通常被认为“不太重要”，但实际上它们可以直接访问敏感数据和核心系统。一旦泄露，攻击者就能轻易地在不同服务之间切换；如果第三方集成受到影响，其影响范围还会扩展到整个数字供应链，而这正是NIS2和DORA等框架关注的重点。

我们还必须考虑 由云提供商管理的身份例如 Azure 中的托管标识。这种模型无需存储密钥或密码，因为云服务本身会提供与资源关联的安全访问令牌。这无疑是一项改进，但它仅解决了该提供商边界内的问题；混合凭据和本地帐户仍然需要可见性和控制。

MGI OAuth令牌 它们是整个系统中另一块重要的拼图。它们是许多第三方集成的基础：例如，与身份提供商进行人力资源数据同步、从SaaS CRM中提取信息的报告工具、连接到企业邮箱的营销平台等等。这些更新令牌的有效期可能远超预期，在较旧的集成中可能被遗忘，并且其访问权限的保留时间远远超出任何人的记忆范围。

在云原生环境中，也出现了大量 容器、无服务器角色和虚拟机的工作负载标识Kubernetes、Lambda 函数、Azure 函数或托管集群中的 Pod 会生成身份，这些身份需要相应的权限才能读写存储、使用 API 或发布消息到消息队列。这些身份是短暂的，会不断地被创建和销毁，其数量远远超出了人工跟踪的能力。

我们绝不能忘记 物理或虚拟机器和设备的身份服务器、虚拟机、路由器、物联网设备、传感器、摄像头、网络组件等。它们通常使用特定的证书或凭证进行身份验证，并为非人类身份图谱增加了一层，这在工业物联网和边缘计算发展过程中尤为重要。

最后，还有一个正在迅速扩张的类别是…… 机器人和人工智能代理从需要读取电子邮件和内部文档的 Microsoft Copilot 等助手，到自动化传统应用程序中流程的 RPA 机器人，再到协调跨多个系统操作的 AI 代理，所有这些都以非人类身份运行，并且通常拥有非常广泛的访问权限。此外，它们还会与代码库和开发环境交互，这可能导致日志、提示或工具输出中出现无意的凭据泄露。

为什么国民健康保险 (NHI) 数量激增并加剧了身份攻击

非人类身份的爆炸式增长并非偶然：它是对……的回应 微服务、容器、大规模自动化和第三方SaaS采用的结合每个与其他微服务通信的微服务都需要凭证；每个 Kubernetes 集群都会创建服务帐户；每个云集成流程都会生成令牌和 API 密钥。

此外，各公司正在推动关键流程实现自动化： 备份、更新、部署编排、数据同步、用户身份验证……如今，所有这些操作几乎都由非人类身份在后台完成，正是为了避免干扰用户。这种操作上的便利带来了巨大的管理复杂性。

首席信息安全官和安全经理们开始清楚地认识到这一点。 网络安全领导者调查 这些研究结果表明，非历史事件（NHI）已被视为身份安全领域的主要痛点之一。大多数人担心这些“隐形行为者”拥有特殊权限，代表管理员和开发人员行事，却仍然游离于成熟的审查和控制流程之外。

此外，由美国国家标准与技术研究院 (NIST) 等机构推广的零信任架构的兴起也加剧了这种局面。零信任的创始文件明确指出： 你不能构建一个忽略机器身份的严肃模型。尤其是当他们被授予强大的权限，并且默认情况下被认为是“受信任的”时。

问题的严重性从数据中显而易见：在许多公司中， 机器身份的数量已经增长了十倍，现在远远超过了人类身份的数量。在某些行业，这种比例甚至高达 144:1。与此同时，相当高比例的组织承认没有对这些凭证进行清点或保护，而是将密钥存储在多个分散的位置，并授予开发人员超出必要的权限。

美国国立卫生研究院如何助长现代身份攻击

攻击者很快意识到，国民健康保险是一个极具吸引力的目标。 基于身份的攻击已经占据了大部分攻击领域。滥用服务帐户、令牌和 API 密钥正在成为趋势报告中反复出现的新兴问题。

最常见的错误之一是 代码和部署工件中密钥的泛滥在快速交付的压力下，许多团队会将 API 密钥、密码或令牌直接嵌入到代码仓库、配置文件或容器镜像中。这样一来，这些信息很容易传播到公共代码仓库、共享文档或网络上的索引数据集。

最近的研究发现 数千个活跃凭证隐藏在大型网络数据存储库中 这些数据随后被用于训练人工智能模型。这意味着这些机密信息不仅被泄露，而且还成为训练系统的一部分，而这些系统反过来又可能帮助发现或利用类似的漏洞。这是一个危险的恶性循环：人工智能利用包含凭证泄露的数据，最终可能会加剧问题。

另一个重点是 生命周期管理问题为临时项目创建的服务帐户在项目结束后很少会被停用。它们仍然保留着，拥有有效的权限，却无人监管。过时的应用程序会留下一些“幽灵身份”，这些身份仍然能够访问敏感数据和系统。

云计算和容器的动态特性进一步加剧了这种情况： 临时实例、自动扩缩容、会显示和消失的功能这一切都依赖于动态创建的身份。如果没有强大的发现和治理层，就无法知道有多少此类凭证处于活动状态、它们可以执行哪些操作以及是谁创建的。

此外，我们还必须考虑生成式人工智能和自主代理的影响。 这些系统能够自行创建、修改和使用凭证。将工具串联起来，跨越可信域，并执行具有广泛权限的操作以实现业务目标，这会带来配置错误、密钥过度泄露或授权不可预见行为的重大风险。

无声的变化：为什么几乎没有人能正确衡量它？

人类身份认同虽然存在各种问题，但它有一个优点： 自然摩擦和可追溯性他们通过一系列流程注册，申请权限，组织对其应用策略，他们的凭证过期，最终他们离开组织。这其中存在着可识别的周期和控制点。

另一方面，非人类身份具有三个使其格外危险的特征： 它们会持续存在，凭借惯性不断扩大许可证范围，并且没有明确的所有者。如果没人找它们，它们就留在那里；如果出了什么问题，它们会被“稍微多一点许可”，以免东西被损坏；如果你问它们属于谁，答案通常是含糊不清的。

当永久性、特权不断增加以及缺乏问责制结合在一起时， 就安全和运营而言，这无异于一颗定时炸弹。任何事件都难以调查，因为甚至不知道存在哪些身份，他们接触了哪些数据，他们可以修改哪些系统，或者哪些系统依赖于他们。

在许多公司，传统的身份和访问管理 (IAM) 模型已被扩展以满足这些需求，但是 问题不仅在于技术控制，还在于治理。正确的问题不是“他们是否有 MFA？”，因为他们几乎永远不会有；关键问题是“谁拥有这个技术身份，以及创建它的意图是什么？”

事实上，几乎所有这些身份都源于…… 为推动业务发展而做出的合理决策将客户关系管理系统与支持部门集成，授予供应商临时访问权限，实现数据在不同系统间的自动复制，编写脚本以避免团队被繁重的手动工作压垮，并接受云服务提供的默认角色。我们并无恶意，只是时间紧迫。

从理论到实践：NIH 在一家真实公司中的失败案例

在大多数组织中，问题不会像现在这样迅速爆发。 一场精心策划、如同电影般的袭击这种风险在许多更常见但同样具有破坏性的情况下都会显现出来。例如，令牌泄露到公共代码库或外部协作工具中；服务帐户在项目结束后多年仍然处于活动状态；SaaS 集成在更新后开始读取远超预期范围的信息。

也经常发现 保留剩余访问权限的供应商“以防万一” 或者，某些自动化程序明明只需要读取权限，却被赋予了完全写入权限。这些看似微小的决定，最终都会累积网络安全和运营方面的隐患。

当发生事故且需要进行调查时，真正的痛苦才会浮出水面： 目前尚无可靠的非人类身份清单。没有人能迅速说出究竟是哪个凭证受到了威胁，它的范围是什么，它影响了哪些系统，或者如果停用它会破坏哪些依赖关系。

结果是一种非常具体的恐惧： 没人敢关掉任何设备，“以免影响生产”。这种瘫痪状态证明，该组织无法控制自己的自动化层，并且依赖管理不善的非人类身份是至关重要的。

如何在环境中发现非人类身份

在控制某件事物之前，你必须先找到它。美国国立卫生研究院的发现 这不能仅仅局限于在 Excel 中进行一次性练习。它需要成为一个持续的、并且尽可能自动化的过程。

第一个合乎逻辑的步骤是从身份提供商入手。在采用 Active Directory 的环境中， 建议列出具有 ServicePrincipalName 的帐户、托管服务帐户和 gMSA。在云端，您需要从相应的管理控制台或 API 获取服务主体清单、应用程序日志和托管身份。

对于找到的每个身份，关键是要捕捉至少四个属性： 哪个应用程序使用它，它拥有什么类型的凭证，它可以访问哪些资源，以及它的所有者是谁。与以往不透明的数据库相比，这种简化的数据库已经是一个巨大的进步。

接下来，我们需要深入到代码和自动化层面。与 DevOps 团队合作可以使这一切成为可能。 查找存储在 CI/CD 流水线、基础设施即代码模板和环境变量中的凭据存储库扫描工具可帮助检测不应该离开密钥管理器的嵌入式 API 密钥和密钥。

第三个方面是SaaS集成。许多公司在审查这些集成时发现， 数十个与旧版集成关联的活跃 OAuth 令牌 这些令牌是由那些已经离职的人员配置的。每个令牌都是一个非人类身份，其权限几乎无人记得。

最后，所有发现都必须详细记录： 名义所有者（个人，而非团体）、业务理由、证书类型、轮换政策以及上次审核日期如果没有这些数据，库存就只是一个静态列表，根本无法进行操作。

然而，有一个重要的警告： 手动发现只能提供快照。环境瞬息万变；季度导出数据无法捕捉到周二创建的服务帐户，也无法捕捉到团队为概念验证而匆忙生成的令牌。持续探索是真正了解其非医疗健康保险 (NHI) 人群的组织与那些自以为了解的组织之间的唯一区别。

管理和保护非人类身份的标准

非人类身份管理（通常称为 NHIM）包括： 发现、管理和保护传统身份与访问管理 (IAM) 和特权与访问管理 (PAM) 无法有效覆盖的机器身份。它指的是在没有人类操作者、凭证不使用多因素身份验证、身份创建不是通过人力资源部门，而是通过脚本、管道和工具来应用安全规范。

第一个操作原则是： 任何非人类身份都不应没有明确指定的拥有者。 从一开始就必须如此。所有权必须属于特定的人，而不是通用别名或“X团队”。无论手动还是自动配置流程，所有者属性都必须是必填项。

第二支柱是应用 设计中遵循最小特权原则每个 NHI 都应该只获得绝对必要的权限，并且权限范围应尽可能限定在最具体的资源上。例如，如果服务帐户只需要访问特定数据库，却拥有完整的订阅或域级访问权限，这种情况就应该被取消。

第三，该过程需要实现自动化。 凭证轮换和访问权限到期 尽可能地进行轮换。在 Active Directory 环境中，通用管理安全协议 (gMSA) 可以解决大部分问题。在云端和使用 API 密钥的情况下，轮换应集成到部署管道中，或委托给能够更新凭证而不影响生产环境的密钥管理器。没有适用于所有情况的万能轮换周期，但相关框架（例如 NIST、CIS、PCI DSS 等）都指出需要制定清晰的、基于风险的策略。

第四个要素是 监测重点是行为异常与其审查每个身份验证事件，关键在于检测服务帐户何时开始访问超出预期模式的资源，或者何时从非预期地理位置使用 API 密钥。由于机器身份的正常操作具有重复性，行为基线对于机器身份尤其有用。

第五，我们必须积极推进退役工作。 过时的非人类身份是最容易被利用的切入点之一。一个好的做法是，将任何一段时间（例如 90 天）未经过身份验证的 NHI 标记出来以供审查；如果所有者没有证明其必要性，则将其停用，如果在另一段合理的时间内没有人投诉，则将其删除。

最后，这一点至关重要。 定期对国民健康保险的接入点进行认证就像对特权用户进行重新认证活动一样，技术身份的所有者必须以合理的频率（至少每年一次，敏感帐户每季度一次）验证每个身份是否仍然必要，以及是否具有适当的权限级别。

所有这些都与现有的主要监管框架非常契合： CMMC要求对所有身份进行访问控制和账户管理。SOC 2 要求严格的访问控制，HIPAA 要求对所有健康信息（包括服务账户）的访问进行可追溯性管理，而 NIS2 和 DORA 等欧洲标准则侧重于数字供应链和第三方管理的身份访问您环境的风险。实际上，构建 NHI 治理就是构建合规性证据。

专业可视化和控制平台的作用

此时，许多组织发现 试图通过脚本和电子表格手动完成所有这些工作是不可持续的。这时就需要特定的平台来发挥作用了，它们能够持续地显示目录和云中的身份及其活动。

一些解决方案侧重于提供 服务帐户、应用程序身份和访问配置的实时清单突出显示那些权限过高、长期不活跃或配置违反内部策略的用户。其价值不仅在于提供当前快照，还在于能够观察随着身份的创建、修改或删除，系统格局会发生怎样的变化。

对于像 Active Directory 这样的环境，高级审计工具可以 密切监控服务帐户的创建、组成员变更、尝试以交互方式使用技术身份的行为以及组策略的变更。这种可追溯性使得应对审计和重现事件变得更加容易。

对于享有特权的非人类身份而言，该模型 即时特权即使是服务帐户，也仅在绝对必要时才授予高级访问权限，并在必要时立即撤销。结合会话录制和详细的活动日志，这种方法降低了拥有无限且始终开启的凭据的风险。

归根结底，所有这些工具的目标都很简单： 缩小非人类身份的可见性差距这样，身份安全就不再仅仅是一场针对个人的战斗，而是也涵盖了真正支撑现代数字流动的“隐形劳动力”。

整个过程表明，非人类身份已经从技术细节演变为…… 默默无闻的脊梁，同时也是许多安全策略的阿喀琉斯之踵妥善管理这些账户意味着要了解账户的数量、功能、负责人以及如果账户明天消失会发生什么；能够清楚地回答这些问题的组织，其账户滥用攻击面将大大减少，并且能够在不继续积累网络安全债务的情况下推进自动化进程。