当微软
、非人份安风险Okta等巨头接连因"非人类身份"漏洞遭黑客攻陷，类身一场无声的全高企业安全危机正在全球企业蔓延——据OWASP最新报告 
，企业网络中非人类身份数量是危警危机人类的10-50倍 ，而它们正成为黑客最爱的首份"后门"。2024年多起史诗级数据泄露事件背后，指南竟都藏着这些不会说话的揭示"数字员工"。

非人类身份(NHI)近年来成为网络安全领域热议话题，隐形这背后有其充分理由——据估计 ，非人份安风险在企业网络中，类身每1000名人类用户就对应着10000个非人类连接或凭证 。全高企业

一些估计甚至将该比例定得更高，香港云服务器危警危机认为非人类身份的首份数量是人类身份数量的10至50倍。鉴于凭证仍是指南安全漏洞中的主要攻击途径(根据Verizon的数据泄露调查报告)，我们不难理解为何这会成为一个问题
。揭示

因此 ，OWASP首次发布非人类身份十大关键风险清单 ，旨在提高人们对NHI相关安全挑战的认识 ，提供针对关键NHI风险的可操作见解 ，并帮助组织优先实施相关最佳实践 ，源码库这具有重要意义。

为了强调NHI带来的安全挑战，OWASP指出了几个近期发生的显著事件，如微软2024年的Midnight Blizzard数据泄露事件、互联网档案馆2024年的Zendesk支持平台数据泄露事件，以及2023年的Okta支持系统数据泄露事件，这些事件均涉及NHI 。

OWASP的NHI风险第1位
：不当的离职处理

我们都熟悉员工、承包商和资源进入组织、源码下载获得账户和访问权限，然后角色变更或离开组织的情况。在许多情况下 ，他们的账户会无限期地留在系统中，成为孤立账户或环境中残留的凭证。

这种情况同样发生在NHI上，且如前所述，其规模远超人类身份
。在这种情况下 ，凭证通常与应用程序
、服务
、自动化工作流和系统相关联，这些实体被授予NHI凭证以便开展活动，亿华云但在相关应用程序、服务和实体停止使用或特定凭证不再需要时  ，却未得到清理 。

OWASP提供了诸如孤立的Kubernetes服务账户和前员工利用未撤销的凭证或残留应用程序进行权限提升和横向移动的例子 。 缓解措施

为了缓解与不当离职处理相关的风险 ，OWASP建议实施标准化的离职处理流程，以审查与离职员工、应用程序、服务等可能不再需要的所有NHI。

为确保这些活动得到执行 ，免费模板建议尽可能自动化离职处理步骤，并定期审计活跃的NHI
，以识别其使用情况并阻止潜在的滥用 。这也有助于确定使用基线，并根据已知活动调整凭证及其相关权限。

NHI风险第2位：秘密泄露

列表中的第二位是秘密泄露
。秘密通常用于描述API密钥 、令牌、加密密钥等实体 。有许多与秘密泄露相关的高调事件，如影响Codecov
、模板下载三星和其他几家公司的事件，以及代码仓库、基础设施即代码(IaC)清单和CI/CD系统等秘密泄露源。

秘密泄露在2025年仍然是一个主要问题，这在OWASP列表中其排名第二即可见一斑。OWASP列举了Azure SAS令牌泄露和Delinea管理API密钥泄露导致事件发生的例子。

缓解措施

建议采取以下步骤来缓解秘密泄露的风险 ：使用临时凭证、部署秘密管理工具、自动化秘密检测以及定期轮换秘密
。鉴于现代云原生开发环境中秘密数量庞大 ，组织无法手动执行这些活动，因此提供这些功能的秘密管理工具和供应商至关重要 。

NHI风险第3位 ：易受攻击的第三方NHI

列表中的第三位是第三方NHI及其在集成开发环境(IDE)、扩展、第三方SaaS应用程序等方面的作用。2024年，安全研究人员发现，Visual Studio Code市场已被用于通过数千个恶意扩展感染数百万个安装。

如OWASP所指出的，这些扩展通常需要对开发者的机器进行大量访问 ，进而访问他们与之交互的资源和系统。他们引用的外部系统和服务示例包括版本控制系统 、数据库、虚拟机和云环境 。

因此 ，第三方通常会被提供API密钥、访问令牌和SSH密钥 。这些凭证可能被恶意使用
，以影响环境 、进行横向移动、将受感染的代码引入软件开发生命周期(SDLC)等。

缓解措施

为了缓解第三方NHI的风险，OWASP建议采取以下活动 ：审查和限制第三方集成、监控和检测第三方行为
，以及使用临时凭证或至少定期轮换它们。

NHI风险第4位：不安全的认证

在此，OWASP强调了开发人员与内部和外部服务的集成，包括SaaS应用程序和云环境。如其所指出的，这些各种内部和外部服务支持并使用各种认证方法，其中一些可能已过时、存在漏洞或不安全 。OWASP建议开发人员使用标准化协议，如OAuth 2.1和OpenID Connect(OIDC)。

然后，OWASP提供了涉及不安全认证风险的示例攻击场景，如已弃用的OAuth流程 、应用程序密码绕过多因素认证(MFA)，以及不使用现代安全标准(如OAuth)的旧版认证协议。

缓解措施

OWASP建议采取缓解措施
，以防止不安全认证带来的风险 ，例如采用现代认证标准(如OAuth 2.1和OIDC)、利用无凭证方法、标准化OAuth实现，以及对正在使用的认证方法进行定期安全审计，以逐步淘汰已弃用或不安全的实现和配置。

NHI风险第5位：过度特权的NHI

自网络安全早期以来
，一直困扰身份和访问管理的一个基本问题是缺乏最小权限访问控制。尽管最近由于零信任等趋势以及NIST 800-207等来源的关注而日益受到重视 ，但最小权限访问一直是长期以来的网络安全最佳实践。

然而，云计算等技术趋势非但没有改善这一问题 ，反而使其愈发严重 。对跨数万云环境和数百家组织的数十万个身份进行的分析发现
，99%的云身份权限设置过于宽松。

鉴于我们历史上一直在这个挑战上挣扎，因此在OWASP(开放Web应用安全项目)NHI(非人类身份)十大风险中看到它也就不足为奇了。与人类身份相比，NHI的数量呈指数级增长 ，这使得问题更加严重
。

正如OWASP所述，为NHI合理设置权限既困难又耗时 。因此
 ，组织不太可能持续监控这些权限，尤其是在没有足够工具和能力协助的情况下 。

问问自己
：如果我们将多个风险结合起来 ，比如长期存在的  、权限设置过于宽松的NHI的不当撤销 ，这些NHI极易被恶意行为者利用，那么这对组织来说会有什么后果?

后果不容乐观。

这会导致一种情况，即这些NHI一旦被攻破
，可能会对攻击范围、横向移动
、敏感数据访问等产生巨大影响 。

OWASP提供了示例攻击场景 ，包括权限过高的Web服务器用户 、虚拟机 、OAuth应用程序和具有过多权限的服务账户。

缓解措施

OWASP建议的缓解措施包括实施最小权限原则
、定期审计和审查权限、建立预防性护栏以及利用即时(JIT)访问 。

这一问题的欺骗性在于 ，表面上看实施最小权限原则似乎很简单，但任何从业者都知道
，在拥有多个身份提供者 、数千个身份和凭证的大型复杂环境中，做到这一点绝非易事，这也正是自网络安全诞生以来就一直影响其的问题所在 。

NHI风险第6项：不安全的云部署配置

对于在云环境或周边工作的人来说
，不安全的配置构成重大风险，并且这一风险已经存在相当一段时间了，这早已不是新闻。包括Gartner在内的组织都表示 ，99%的云安全事件是由于客户配置错误造成的
 。

当我们查看云中的重大事件时 ，这通常由于存储 、存储桶、加密、公开暴露的资产等问题而得到证实。

OWASP对这一问题的处理方法很有趣，因为它被称为不安全的云部署配置，但重点却放在了CI/CD(持续集成/持续交付)管道上。尽管如此，它讨论了与代码库、日志或配置文件相关联的凭证如何通过CI/CD环境存储/传输，并可能被攻破和滥用 ，以绕过多因素认证(MFA)、进行横向移动等。OWASP强调了更安全的选项
，如OIDC(开放身份连接)，以允许CI/CD管道获取短期动态生成的令牌进行身份验证 ，而不是使用静态的长期凭证 。

缓解措施

建议的缓解措施包括使用OIDC进行安全身份验证、从静态凭证转向通过OIDC动态生成的令牌 、为CI/CD管道实施最小权限、限制IAM(身份和访问管理)角色中的信任关系 、避免硬编码凭证，而是使用AWS Secrets Manager和Azure Key Vault等工具，以及最后定期扫描存储库以查找暴露的凭证。

NHI风险第7项：长期存在的秘密

NHI通常涉及秘密数据
，如API密钥、令牌、加密密钥和证书。长期存在的秘密是指没有过期日期或过期日期过长的秘密。OWASP提到，这些秘密有助于组织内部服务和资源的应用程序身份验证和集成 。

任何形式的长期凭证都是有问题的，因为它们可能成为攻击者的诱人目标 ，秘密也不例外 。它们可能导致通过过时和被盗的访问令牌进行权限提升 ，以及通过被盗的长期Cookie进行会话劫持 ，并且它们还构成了另一个等待被攻破和滥用的目标 。

缓解措施

OWASP建议启用自动化密钥轮换、实施短期凭证、采用零信任原则，以及实施最小权限原则。这种缓解措施的组合使秘密更加短暂和动态，并增强了架构 ，以在秘密被攻破时限制攻击范围。

NHI风险第8项：缺乏环境隔离

除了实施零信任原则外，环境隔离还可以减轻涉及NHI的事件(如果发生)的影响。

环境隔离是安全软件开发和网络安全中常见的实践 ，NIST(美国国家标准与技术研究院)安全软件开发框架(SSDF)等其他来源也提到了这一点。

虽然不同组织和开发团队的环境可能有所不同(例如，开发环境、测试环境、生产环境等) ，但环境隔离的基本原理是普遍适用的。

OWASP建议为每个环境使用单独的NHI
，应用最小权限原则，实施环境特定的访问控制，并定期审计和监控NHI的未经授权访问尝试 。遵循这些原则可以限制一个环境中的攻破或事件对其他环境的影响。

缓解措施

除了上述缓解措施外 ，OWASP还建议采取特定的缓解措施 ，包括严格隔离NHI的环境
、应用最小权限原则、实施环境特定的访问控制 ，以及为敏感资源隔离基础设施。同样，这里的主题是通过这些缓解控制和措施减轻系统性影响，并将其限制在特定环境中 。

NHI风险第9项：重用NHI

凭证重用一直是从业者所警告的问题，但尽管如此 ，它还是进入了各种合规框架、最佳实践指南等。因此，在这里看到它被列为NHI的风险因素也就不足为奇了。

如上文表格所述，为每个NHI定制细粒度权限可能很复杂 ，因此组织可能会默认重用权限广泛的NHI 。这使得它们成为具有广泛影响攻击后果的诱人目标。

OWASP讨论了NHI(如服务账户、API密钥和机器凭证)对于现代应用程序、服务 、身份验证和授权的重要性。

假设组织在多个应用程序和服务中重用NHI，那么其潜在影响是显著的——如果重用的其中一个NHI被攻破 
，尤其是如果它权限过高(NHI5)，并且缺乏环境隔离(NHI8)  ，这可能导致漏洞/攻击链 ，并对组织产生广泛影响 。

OWASP提供了示例，如重用Kubernetes服务账户 、在应用程序之间共享API密钥，以及在不同服务和资源中重用云凭证(如AWS IAM角色) 。

缓解措施

为了缓解这些风险 ，OWASP建议为每个应用程序或服务及其环境分配唯一的NHI，实施最小权限原则，并审计和审查NHI的使用。

NHI风险第10项
：人类使用NHI

NHI(如服务账户、API令牌、工作负载身份和秘密)使程序能够访问应用程序和服务。然而 ，正如OWASP所讨论的 ，开发人员或用户滥用NHI进行手动任务 ，而非其原本意图的自动化活动和工作流 ，这种情况并不少见。

这带来了多种风险，因为人类活动可能被视为程序化活动 ，从而限制了审计和监控
，掩盖了良性内部人员的活动
，甚至可能掩盖内部威胁，以及最值得注意的是
，潜在攻击者。

OWASP列举了示例场景，如管理员使用服务账户凭证 、开发人员使用NHI执行命令、团队成员之间共享API令牌 ，甚至攻击者利用NHI进行持久化攻击。

缓解措施

OWASP NHI十大风险中最后一项风险的缓解措施包括使用专用身份、审计和监控NHI活动(我们已多次看到这一点)
、使用上下文感知访问控制，以及教育开发人员和管理员了解人类使用NHI的风险。这些措施提供了技术和文化控制，以限制人类使用NHI及其相关风险。