Các nhân viên phi nhân loại đang trở thành tương lai của an ninh mạng, và các doanh nghiệp cần chuẩn bị sẵn sàng. Khi các tổ chức mở rộng quy mô Artificial Intelligence (AI) và tự động hóa đám mây, số lượng Non-Human Identities (NHIs) đang tăng trưởng theo cấp số nhân, bao gồm bots, AI agents, service accounts và automation scripts. Thực tế, 51% số người được hỏi trong Báo cáo An ninh danh tính tương lai năm 2025 của ConductorOne cho biết an ninh của NHIs giờ đây cũng quan trọng như an ninh của tài khoản con người. Tuy nhiên, bất chấp sự hiện diện của chúng trong các tổ chức hiện đại, NHIs thường hoạt động ngoài phạm vi của các hệ thống Identity and Access Management (IAM) truyền thống.
Sự phụ thuộc ngày càng tăng vào người dùng phi nhân loại này tạo ra các attack surfaces mới mà các tổ chức phải khẩn trương chuẩn bị. Nếu không có khả năng hiển thị đầy đủ và sự giám sát thích hợp, NHIs có thể có quyền truy cập đứng (standing access) quá mức và static credentials, biến chúng thành mục tiêu giá trị cho tội phạm mạng. Để bảo mật NHIs với độ chính xác tương tự như danh tính con người, các tổ chức phải phát triển các chiến lược bảo mật hiện đại kết hợp zero-trust security, least-privilege access, automated credential rotation và secrets management. Bằng cách hiện đại hóa các chiến lược của mình, các tổ chức có thể nỗ lực giảm thiểu rủi ro bảo mật và ngăn chặn privileged account compromise, bất kể người dùng là con người hay không.
Tại sao các Non-Human Identities là một rủi ro an ninh mạng ngày càng tăng
Không giống như người dùng con người, NHIs và hoạt động của chúng thường không được chú ý, mặc dù chúng nắm giữ quyền truy cập mạnh mẽ vào các hệ thống nhạy cảm. NHIs thường được cấp quyền truy cập rộng rãi, đứng (standing access) trên các cơ sở hạ tầng, môi trường đám mây và CI/CD pipelines. Sau khi được cung cấp, quyền truy cập NHI hiếm khi được xem xét hoặc thu hồi, biến chúng thành mục tiêu chính cho tội phạm mạng. Các rủi ro bảo mật chính liên quan đến NHIs bao gồm credentials được mã hóa cứng vào scripts, secrets được nhúng trong source code và thiếu khả năng hiển thị về cách NHIs được sử dụng. Thông thường, có rất ít hoặc không có logging hay monitoring đối với NHIs, khiến các machine credentials bị xâm nhập dễ bị exploitation, cho phép tội phạm mạng không bị phát hiện trong nhiều tuần hoặc thậm chí nhiều tháng. Trong môi trường đám mây, người dùng phi nhân loại vượt trội đáng kể so với người dùng con người, mở rộng attack surfaces và giới thiệu nhiều lỗ hổng bảo mật hơn. Khi NHIs bị bỏ qua trong các security audits hoặc bị loại trừ khỏi các chính sách IAM truyền thống, các nhóm bảo mật có nguy cơ biến sự tiện lợi của automation thành một điểm mù lớn.
Cách bảo mật quyền truy cập phi nhân loại bằng các nguyên tắc zero-trust
Để giảm thiểu rủi ro bảo mật liên quan đến NHI, các tổ chức phải thực thi zero-trust security cho mọi danh tính bằng cách coi bots, AI agents và service accounts ngang hàng với con người. Các cách chính để bảo mật quyền truy cập phi nhân loại bằng zero-trust security bao gồm:
- Áp dụng zero-trust cho người dùng máy: Mọi NHI phải được authenticated và authorized, chỉ cấp quyền truy cập tối thiểu cần thiết. Tất cả hoạt động phải được logged, monitored và auditable để đảm bảo tuân thủ các yêu cầu quy định.
- Thực thi least-privilege access: Gán Role-Based Access Controls (RBAC) và đặt các chính sách hết hạn credential dựa trên thời gian để đảm bảo NHIs chỉ truy cập những gì chúng cần, khi chúng cần.
- Tận dụng Just-in-Time (JIT) access và ephemeral secrets: Loại bỏ standing access bằng cách thay thế static credentials bằng các API tokens có thời gian tồn tại ngắn. Ngoài ra, tự động hóa credential rotation sau khi một tác vụ hoàn thành hoặc theo một lịch trình định sẵn.
Việc triển khai một số phương pháp này có thể giảm đáng kể khả năng tiếp xúc của NHIs, giúp chúng có thể auditable và quản lý được ở quy mô lớn. Ví dụ, việc có các API tokens tự động hết hạn sau khi triển khai sẽ giảm thiểu rủi ro các secrets đó bị exploitation. Điều tương tự cũng áp dụng cho các service accounts chỉ yêu cầu quyền truy cập khi cần cho một tác vụ cụ thể, thay vì duy trì standing access. Bằng cách vận hành các phương pháp này, các tổ chức có thể quản lý NHIs một cách hiệu quả với cùng mức độ kiểm soát như người dùng con người trong bất kỳ kiến trúc zero-trust nào.
Quản lý secrets và privileged access ở quy mô lớn
Các secrets như API keys, tokens và SSH credentials rất quan trọng cho automation và NHIs, nhưng nếu không được quản lý đúng cách, chúng sẽ gây ra các lỗ hổng bảo mật đáng kể. Để duy trì quyền kiểm soát secrets và privileged access, các tổ chức phải biết ai hoặc cái gì đã truy cập tài nguyên nào và khi nào. Nếu không có cái nhìn chi tiết như vậy, các secrets không được quản lý có thể lan rộng khắp các môi trường khi được mã hóa cứng trong scripts, lưu trữ không an toàn dưới dạng plaintext hoặc chia sẻ mà không có theo dõi hoặc hết hạn.
May mắn thay, các tổ chức có thể sử dụng các giải pháp secrets management và Privileged Access Management (PAM) để tập trung hóa quyền kiểm soát cả secrets và privileged access. Các giải pháp như KeeperPAM® cung cấp một kiến trúc zero-trust, zero-knowledge bảo mật credentials, giám sát privileged sessions và tự động xoay vòng credentials trên các cloud infrastructures. Là một giải pháp thống nhất, KeeperPAM tích hợp enterprise password management, secrets management và endpoint management, giúp bảo vệ cả người dùng con người và phi nhân loại như nhau.
An ninh danh tính phải mở rộng vượt ra ngoài các danh tính con người
Khi cơ sở hạ tầng doanh nghiệp ngày càng hiện đại và tự động hóa, NHIs giờ đây là một phần vĩnh viễn của attack surface. Để chống lại các cyber attacks tinh vi hơn, các tổ chức phải coi các nhân viên phi nhân loại là các danh tính hạng nhất — bảo mật và quản lý chúng giống như nhân viên con người. Mọi service account, script và AI agent phải được bảo mật và liên tục monitored để đảm bảo chúng được cấp quyền truy cập phù hợp vào dữ liệu và hệ thống cần thiết. Để đi trước các cyber threats liên quan đến NHI, các tổ chức nên áp dụng các nguyên tắc zero-trust trên tất cả các lớp truy cập cho cả con người và máy móc.
Lưu ý: Bài viết này được viết chuyên nghiệp và đóng góp bởi Ashley D’Andrea, Content Writer tại Keeper Security.
