Каждая команда корпоративной безопасности борется с проблемой рабочей силы, которую невозможно увидеть ни на одной организационной схеме.
Боты, служебные учетные записи, ключи API, токены OAuth, машинные сертификаты — нечеловеческие идентификаторы теперь превосходят по численности человеческие в большинстве крупных организаций, часто в соотношении десять к одному. Они постоянно проходят аутентификацию, работают во всех средах и, будучи забытыми, не уходят на покой достойно. Они задерживаются, накапливают привилегии и ждут. Специалисты по безопасности стали называть их призрачными идентификаторами — и это название им подходит.
У индустрии безопасности было множество предупреждений. Просто она не отреагировала.
Вспомните историю SolarWinds. Злоумышленники никуда не прорывались. Они проникли внутрь, нашли машинные идентификаторы со значительным доступом и использовали их так, как они были предназначены для использования — тихо, легитимно, незаметно. Восемнадцать тысяч организаций. Месяцы без обнаружения. Учетные данные не были украдены в традиционном смысле. Они просто были там, без мониторинга, делая то, что было нужно атакующим.
Uber, 2022 год. Более простая анатомия. Служебная учетная запись, которой никто не владел. Учетные данные, которые не обновлялись неизвестно сколько времени. Найдены в сетевой папке атакующим, который уже искал. Этот один призрачный идентификатор открыл прямой путь к системе PAM — а оттуда последовало все остальное. Облачные среды. Исходный код. Внутренние инструменты. Одна забытая учетная запись. Это была плата за вход.
Okta, 2023 год. Другая проблема, которую сложнее решить. Важные учетные данные даже не находились в собственной инфраструктуре Okta. Они хранились у стороннего поставщика услуг поддержки. Технически, это была среда кого-то другого. Но они предоставляли права доступа к системам Okta, и когда этот поставщик был скомпрометирован, путь доступа тоже оказался скомпрометирован.
Три инцидента. Три разных точки входа. Одно общее — идентификатор, за которым никто не следил, несущий доступ, который никто недавно не обосновывал, находящийся именно там, где он был нужен атакующему.
Называть это проблемой безопасности не неправильно. Просто это не охватывает то, что произойдет дальше.
Запланированный кризис
В 2026 году последствия неуправляемых нечеловеческих идентификаторов примут новую форму. Не взлом. Событие в календаре.
Срок действия машинных идентификационных сертификатов конечен. На протяжении большей части последнего десятилетия организации выдавали их с окнами действия от трех до пяти лет. В период с 2020 по 2022 год предприятия с необычайной скоростью расширяли свою цифровую инфраструктуру — миграции в облако были сжаты до месяцев, конвейеры автоматизации разворачивались под давлением, а новые сервисы подключались к другим сервисам с управлением как второстепенной задачей.
Эти сертификаты истекают сейчас. Не по одному-два. Массово.
Сценарий каскадного сбоя несложен. Сертификат истекает незамеченным. Поддерживаемый им сервис отключается. Зависимые приложения, которые проходят аутентификацию через этот сервис, начинают давать сбои. Инструменты мониторинга, работающие на той же инфраструктуре, пропускают оповещение. Команда реагирования на инциденты работает над проблемой без полной картины того, что с чем связано. Проходят часы. Иногда целый день. То, что начиналось как упущенная учетная запись с датой истечения срока, превращается в сбой с привязанной к нему суммой выручки и регулятором, который делает пометки.
Это случалось и раньше в меньших масштабах — один просроченный сертификат оставил Microsoft Teams офлайн для миллионов пользователей в 2020 году. То, что принесет 2026 год, — это тот же режим отказа, реплицированный в организациях, которые быстро росли и плохо управлялись, и который ударит одновременно.
Истечение срока действия сертификатов по привычке рассматривается как проблема ИТ-операций. Эта формулировка не выдерживает столкновения со сбоем, который отключает клиентские сервисы на восемнадцать часов.
Структурный пробел
Первопричина не в халатности. В архитектуре.
Инструменты, на которые полагаются организации для управления идентификацией — управление доступом на основе ролей (RBAC), платформы управления привилегированным доступом (PAM), кампании по сертификации доступа — были созданы для людей. Они предполагают, что у идентификатора есть владелец, менеджер и цикл пересмотра. Нечеловеческие идентификаторы не вписываются в эту модель. Они создаются для решения насущной проблемы, им предоставляется широкий доступ, чтобы заставить что-то работать, и они остаются работать долго после того, как проект завершен.
Чрезмерное предоставление прав усугубляет риск. Каждая непроверенная служебная учетная запись — это потенциальная точка поворота. Каждый неактивный ключ API с правами на запись — это открытая дверь. Для призрачных идентификаторов, несущих устаревшие права администратора — а их больше, чем большинство организаций готовы признать — радиус поражения при компрометации часто охватывает всю организацию.
Как выглядит хорошо
Ответ — не инструмент. Каждый поставщик в этой области скажет вам обратное. Они ошибаются в порядке действий.
Управление идет первым. Инструментарий его поддерживает. А управление начинается с вопроса, на который большинство организаций в настоящее время не могут ответить: какие нечеловеческие идентификаторы мы используем?
Этот вопрос кажется простым. Это не так. NHI (нечеловеческие идентификаторы) не создаются централизованно. Их создают разработчики, решающие проблемы, команды платформ, разворачивающие сервисы, поставщики, подключающие свои продукты к вашим. Каждое решение имело смысл в свое время. Ни одно из них не было зарегистрировано где-то полезном. В результате в большинстве крупных предприятий существует актив, полной карты которого ни у кого нет — и которым ни один инструмент не сможет управлять, пока кто-то его не построит.
Итак, начните с этого. Не с оценки платформы. Не с документа о политике. С спринта по обнаружению. Четыре-шесть недель, сосредоточенных на ваших средах с самым высоким риском. Сначала облако. Конвейеры CI/CD. Сторонние интеграции. Несовершенный инвентарный список все равно бесконечно полезнее, чем работа вслепую.
Пока эта работа идет, соберите данные о сроках действия ваших сертификатов. Сегодня, а не в следующем квартале. Отсортируйте по дате истечения срока. Отфильтруйте все, что истекает в ближайшие восемнадцать месяцев. Назначьте ответственного владельца для каждой записи — и там, где владелец не может быть идентифицирован, считайте сертификат призрачным идентификатором. Эскалируйте его соответствующим образом. Это одно действие напрямую устраняет риск истечения срока действия в 2026 году, прежде чем он превратится в сбой.
Наконец, проведите аудит привилегий для ваших служебных учетных записей с самой высокой степенью конфиденциальности. Любой NHI с правами администратора, который не проверялся в течение последних двенадцати месяцев, следует считать избыточно привилегированным, пока доказательства не покажут обратное. Предполагайте избыточность. Доказывайте необходимость.
Ничто из этого не требует новой строки в бюджете. Это требует, чтобы кто-то решил, что это стоит сделать, прежде чем альтернатива решит за них.
Более широкая проблема
Одна организация, которая приведет в порядок свой парк NHI, не решит проблему. Это просто означает, что одна организация менее подвержена риску, чем остальные.
Рынок машинных идентификаторов все еще нащупывает почву. Попросите трех поставщиков определить сферу управления NHI, и вы получите три разных ответа. Стандарты жизненного цикла, которые должны существовать, отсутствуют. Фреймворки, на которые полагаются команды безопасности — NIST, ISO 27001 — рассматривают принцип наименьших привилегий как концепцию, но далеко не говорят никому, что делать с пятьюдесятью тысячами неуправляемых служебных учетных записей, распределенных по гибридной облачной среде.
Не хватает не амбиций. Специфичности. Согласованной таксономии. Общих стандартов жизненного цикла. Регуляторных указаний, которые ставят управление NHI на тот же уровень, что и все остальные обязательства по идентификации — не зарытыми в сноске, не подразумеваемыми принципом, а четко прописанными и соответствующим образом применяемыми.
Этот разговор ведется. Стандартизирующие органы двигаются. Регуляторы уделяют больше внимания. Но темпы измеряются годами, а волна истечения срока действия сертификатов измеряется месяцами.
Даты истечения срока не ждут, пока индустрия догонит.
Срок установлен
Призрачная рабочая сила не заявляет о себе. Она не увольняется и не просит обзора производительности. Она работает до тех пор, пока что-то ее не остановит — взлом, истечение срока действия или команда безопасности, которая наконец решила провести инвентаризацию.
В 2026 году для организаций, которые не сопоставили и не управляли своим парком NHI, что-то их остановит. Единственная переменная — будет ли это преднамеренная программа или незапланированный сбой.
Времени очень мало.
Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Ashish Mishra
