Lima, Perú
+51946145467
Search
Lima, Perú
+5113014109

Por qué NHIS son el punto ciego más peligroso de la seguridad

Por qué NHIS son el punto ciego más peligroso de la seguridad
jatun jatun
Blog
25 de abril de 2025


Cuando hablamos de identidad en ciberseguridad, la mayoría de las personas piensan en nombres de usuario, contraseñas y el aviso ocasional de MFA. Pero al acecho debajo de la superficie es una amenaza creciente que no involucra credenciales humanas en absoluto, ya que somos testigos del crecimiento exponencial de las identidades no humanas (NHIS).

En la parte superior de la mente, cuando se mencionan NHIS, la mayoría de los equipos de seguridad piensan inmediatamente en Cuentas de servicio. Pero no va mucho más allá de eso. Tienes Directores de servicio, Roles de copos de nieve, Ya rolesy construcciones específicas de la plataforma de AWS, Azure, GCP y más. La verdad es que NHIS puede variar tan ampliamente como los servicios y entornos en su pila tecnológica moderna, y administrarlos significa comprender esta diversidad.

El verdadero peligro radica en cómo se autentican estas identidades.

Secretos: la moneda de las máquinas

Identidades no humanas, en su mayor parte, se autentican usando misterios: Claves API, tokens, certificados y otras credenciales que otorgan acceso a sistemas, datos e infraestructura crítica. Estos secretos son lo que más quieren los atacantes. Y sorprendentemente, la mayoría de las empresas no tienen idea de cuántos secretos tienen, dónde están almacenados o quién los está usando.

El Estado de secretos Explaus 2025 reveló dos estadísticas asombrosas:

  • 23.7 millones Se filtraron nuevos secretos en GitHub público solo en 2024
  • Y 70% de los secretos filtrados en 2022 son Todavía válido hoy

¿Por qué está sucediendo esto?

Una parte de la historia es que No hay MFA para máquinas. Sin aviso de verificación. Cuando un desarrollador crea un token, a menudo le otorga un acceso más amplio del necesario, solo para asegurarse de que las cosas funcionen.

Fechas de vencimiento? Opcional. Algunos secretos se crean con ventanas de validez de 50 años. ¿Por qué? Porque los equipos no quieren que la aplicación se rompa el próximo año. Eligen la velocidad sobre la seguridad.

Esto crea un radio de explosión masivo. Si uno de esos secretos se filtra, puede desbloquear todo, desde bases de datos de producción hasta recursos en la nube, sin activar ninguna alerta.

Detectar NHIS comprometido es mucho más difícil que con los humanos. Un inicio de sesión desde Tokio a las 2 am podría levantar banderas rojas para una persona, pero las máquinas hablan entre sí las 24 horas, los 7 días de la semana de todo el mundo. La actividad maliciosa se combina directamente en.

Muchos de estos secretos actúan como puertas traseras invisibles, que permiten el movimiento lateral, los ataques de la cadena de suministro y las infracciones no detectadas. El incidente de Toyota Es un ejemplo perfecto: un secreto filtrado puede eliminar un sistema global.

Por eso Los atacantes aman a NHIS y sus secretos. Los permisos son con demasiada frecuencia, la visibilidad es comúnmente baja y las consecuencias pueden ser enormes.

El surgimiento de las máquinas (y sus secretos)

El cambio a entornos nativos de nube y microservicios ha introducido miles de NHIS por organización. Nhis ahora superan en número a las identidades humanas de 50: 1 a un 100: 1 relación, y esto solo se espera que aumente. Estos trabajadores digitales conectan servicios, automatizan tareas e impulsan las tuberías de IA, y cada uno de ellos necesita secretos para funcionar.

Pero a diferencia de las credenciales humanas:

  • Los secretos están codificados en las bases de código
  • Compartido en múltiples herramientas y equipos
  • Mentiroso en sistemas heredados
  • Pasado a agentes de IA con un mínimo supervisión

Ellos a menudo falta de vencimiento, propiedady auditorabilidad.

El resultado? Secretos se extienden. Acceso demasiado privilegiado. Y una pequeña fuga lejos de una violación masiva.

Por qué el antiguo libro de jugadas ya no funciona

La gobernanza de identidad heredada y las herramientas de PAM se construyeron para usuarios humanos, una era en la que todo se administró centralmente. Estas herramientas aún hacen un buen trabajo que imponga la complejidad de la contraseña, la administración de cuentas de vidrio y el acceso de gobierno a las aplicaciones internas. Pero no rompen este modelo por completo.

He aquí por qué:

  • Iam y pam están diseñados para identidades humanas, a menudo vinculadas a individuos y protegidos con MFA. NHIS, por otro lado, están descentralizados, creados y administrados por desarrolladores en todos los equipos, a menudo fuera de cualquier supervisión central de TI o seguridad. Muchas organizaciones de hoy ejecutan múltiples bóvedas, sin inventario unificado o aplicación de políticas.
  • Secrets Gerentes Ayuda a almacenar secretos, pero no lo ayudarán cuando los secretos se filtren a través de su infraestructura, bases de código, tuberías de CI/CD o incluso plataformas públicas como Github o Postman. No están diseñados para detectar, remediar o investigar la exposición.
  • Herramientas CSPM Concéntrese en la nube, pero los secretos están en todas partes. Están en sistemas de gestión de control de fuente, plataformas de mensajería, computadoras portátiles de desarrolladores y scripts no administrados. Cuando los secretos se filtran, no es solo un problema de higiene, es un incidente de seguridad.
  • Nhis no sigue los ciclos de vida de identidad tradicional. A menudo no hay incorporación, ni fuera de borde, ni propietario claro y no vencer. Se demoran en sus sistemas, bajo el radar, hasta que algo salga mal.

Los equipos de seguridad quedan persiguiendo sombras, tratando manualmente de reconstruir de donde vino un secreto, a qué accede y si aún está en uso. Este enfoque reactivo no se escala, y deja a su organización peligrosamente expuesta.

Aquí es donde Gitguardian NHI Gobierno entra en juego.

Gobernanza de Gitguardian NHI: mapeo del laberinto de identidad de la máquina

Gitguardian ha tomado su profunda experiencia en la detección y remediación de los secretos y lo ha convertido en algo mucho más poderoso: una capa de gobierno completa para las identidades de la máquina y sus credenciales.

Esto es lo que lo hace destacar:

Un mapa para el desastre

Piense en ello como un de extremo a extremo gráfico visual de todo su paisaje de secretos. El mapa conecta los puntos entre:

  • Donde se almacenan secretos (por ejemplo, Hashicorp Vault, AWS Secrets Manager)
  • ¿Qué servicios los consumen?
  • A que sistemas acceden
  • Quien los posee
  • Si se han filtrado internamente o se usaron en código público

Control completo del ciclo de vida

El gobierno de NHI va más allá de la visibilidad. Habilita Verdadero gestión del ciclo de vida de secretos: rastrear su creación, uso, rotación y revocación.

Los equipos de seguridad pueden:

  • Establecer políticas de rotación automatizadas
  • Credenciales no utilizadas/huérfanas no utilizadas
  • Detectar secretos a los que no se ha accedido en meses (también conocido como credenciales de zombie)

Seguridad y cumplimiento, incorporado

La plataforma también incluye un motor de políticas Eso ayuda a los equipos a hacer cumplir controles consistentes en todas las bóvedas y a comparar los estándares como OWASP TOP 10.

Puedes rastrear:

  • Cobertura de bóveda en equipos y entornos
  • Secretos métricos de higiene (edad, uso, frecuencia de rotación)
  • NHIS demasiado privilegiado
  • La postura de cumplimiento se desplaza con el tiempo

Agentes de IA: el nuevo salvaje oeste

Un gran impulsor de este riesgo es Trapo (generación de recuperación y azotación)donde la IA responde preguntas utilizando sus datos internos. Es útil, pero si los secretos se esconden en esos datos, pueden aparecer por error.

Los agentes de IA están siendo conectados a todo (Slack, Jira, Confluence, Docs internos, para desbloquear la productividad. Pero con cada nueva conexión, el riesgo de expansión secreta crece.

Los secretos ya no solo se filtran desde el código. Aparecen en documentos, boletos, mensajes, y cuando los agentes de IA acceden a esos sistemas, pueden exponer accidentalmente credenciales en respuestas o registros.

¿Qué puede salir mal?

  • Los secretos almacenados en Jira, la noción, la holgura, etc. se están filtrando
  • Registros de IA que capturan entradas y salidas confidenciales
  • Desarrolladores y proveedores de terceros que almacenan registros insanitizados
  • Desgloses de control de acceso en todos los sistemas

Uno de los aspectos más prospectivos de la plataforma Gitguardian es que puede ayudar a arreglar la expansión secreta impulsada por la IA:

  • Escaneos de todas las fuentes conectadas, incluidas las plataformas de mensajería, los boletos, los wikis y las aplicaciones internas, para detectar secretos que podrían estar expuestos a la IA
  • Muestra dónde los agentes de IA están accediendo a los datos y marca rutas inseguras que podrían conducir a fugas
  • Limpie los registros, eliminando secretos antes de que se almacenen o pasen de manera que ponga en riesgo a la organización

AI se está moviendo rápido. Pero los secretos están goteando más rápido.

La conclusión: no puedes defender lo que no gobiernas

Con la gobernanza de NHI, Gitguardian ofrece un plan para que las organizaciones aporten orden al caos y controlen una capa de identidad que durante mucho tiempo se deja en la oscuridad.

Si estás tratando de:

  • Mapee el ecosistema de sus secretos
  • Minimizar la superficie de ataque
  • Hacer cumplir los principios de fideicomiso cero en todas las máquinas
  • O simplemente duerme mejor por la noche

La plataforma GitGuardian podría ser su nuevo mejor amigo.

Porque en un mundo donde las identidades son el perímetro, Ignorar las identidades no humanas ya no es una opción.

¿Quieres ver el gobierno de NHI en acción?

Solicitar una demostración O mira el Descripción general del producto en Gitguardian.

¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Séguenos Gorjeo y LinkedIn Para leer más contenido exclusivo que publicamos.





Enlace fuente

ciego más NHIS PELIGROSO POR punto QUÉ seguridad son
-
Post Relacionados
Close
Buscar

Pulsa enter para buscar o ESC para cerrar

Potenciado por Ujjina.com

cookie Al utilizar este sitio web, acepta nuestra política de cookies. Close