CyberThao
Writer
Ngày nay, hầu hết doanh nghiệp đều dựa trên không chỉ con người, mà còn hàng ngàn danh tính phi con người (Non-Human Identity – NHI) như tài khoản dịch vụ, mã thông báo API hay tác nhân AI. Chúng hoạt động ngầm, truy cập hệ thống, di chuyển dữ liệu và chạy nhiệm vụ liên tục.
Vấn đề nằm ở chỗ: phần lớn NHI không được giám sát, không có chủ sở hữu rõ ràng và thường có quyền hạn quá rộng. Điều này biến chúng thành điểm mù bảo mật cực kỳ nguy hiểm.
Kiến trúc đám mây khiến NHI bùng nổ với số lượng gấp tới 80 lần so với tài khoản người dùng thực tế. Hầu hết được tạo tự động trong quá trình triển khai, rồi biến mất khỏi tầm nhìn quản trị. Những tài khoản dịch vụ phổ biến có mặt ở khắp nơi: di chuyển dữ liệu, chạy tác vụ định kỳ, xác thực dịch vụ. Tuy nhiên, chúng hiếm khi được rà soát quyền hạn và nhanh chóng trở thành công cụ hoàn hảo cho di chuyển ngang hoặc leo thang đặc quyền.
Đặc biệt, tác nhân AI còn khác biệt hơn. Chúng không chỉ thực hiện lệnh mà còn tự đưa ra hành động, gọi API, truy vấn dữ liệu và ra quyết định. Nhưng hầu hết tác nhân AI lại không có vòng đời quản lý, không có chủ sở hữu, không bị ràng buộc với tín hiệu nhận dạng truyền thống (IP, thiết bị, vị trí). Khi chạy, chúng có thể hoạt động vô thời hạn cùng thông tin xác thực cố định, quyền truy cập nâng cao.
Hệ quả là: bí mật bị mã hóa cứng, mã thông báo tái sử dụng, danh tính mồ côi vẫn hoạt động hàng năm. Với vài chục tài khoản có thể kiểm soát thủ công, nhưng khi con số lên tới hàng nghìn NHI thì việc quản lý thủ công trở thành bất khả thi.
Thách thức lớn nhất chính là khả năng hiển thị. Phần lớn tổ chức không có danh mục đầy đủ về NHI đang tồn tại, khiến nhiều tài khoản trở thành “ẩn danh” và không thể bảo vệ.
Ngoài ra, việc cấp quyền quá rộng để tiện triển khai cũng là một sai lầm phổ biến. Thay vì cấp quyền đọc dữ liệu, nhiều NHI lại được quyền ghi toàn bộ cơ sở dữ liệu. Điều này tạo ra lỗ hổng khổng lồ, đặc biệt khi kẻ tấn công chiếm quyền một NHI có đặc quyền cao.
Trong khi đó, bảo mật hiện đại dựa vào ngữ cảnh (thiết bị, vị trí, MFA), nhưng NHI không có đặc điểm này. Khi thông tin xác thực bị lộ, sẽ không có bước xác minh thứ hai để ngăn chặn tấn công. Kèm theo đó, khi nhà phát triển rời công ty hoặc ứng dụng ngừng hoạt động, những tài khoản mồ côi vẫn tồn tại như “bóng ma kỹ thuật số” – cánh cửa hậu hợp pháp để kẻ xấu lợi dụng.
Để kiểm soát, các tổ chức hàng đầu đã thay đổi cách tiếp cận:
Vấn đề nằm ở chỗ: phần lớn NHI không được giám sát, không có chủ sở hữu rõ ràng và thường có quyền hạn quá rộng. Điều này biến chúng thành điểm mù bảo mật cực kỳ nguy hiểm.
Sự gia tăng và rủi ro của danh tính phi con người
Kiến trúc đám mây khiến NHI bùng nổ với số lượng gấp tới 80 lần so với tài khoản người dùng thực tế. Hầu hết được tạo tự động trong quá trình triển khai, rồi biến mất khỏi tầm nhìn quản trị. Những tài khoản dịch vụ phổ biến có mặt ở khắp nơi: di chuyển dữ liệu, chạy tác vụ định kỳ, xác thực dịch vụ. Tuy nhiên, chúng hiếm khi được rà soát quyền hạn và nhanh chóng trở thành công cụ hoàn hảo cho di chuyển ngang hoặc leo thang đặc quyền.
Đặc biệt, tác nhân AI còn khác biệt hơn. Chúng không chỉ thực hiện lệnh mà còn tự đưa ra hành động, gọi API, truy vấn dữ liệu và ra quyết định. Nhưng hầu hết tác nhân AI lại không có vòng đời quản lý, không có chủ sở hữu, không bị ràng buộc với tín hiệu nhận dạng truyền thống (IP, thiết bị, vị trí). Khi chạy, chúng có thể hoạt động vô thời hạn cùng thông tin xác thực cố định, quyền truy cập nâng cao.
Hệ quả là: bí mật bị mã hóa cứng, mã thông báo tái sử dụng, danh tính mồ côi vẫn hoạt động hàng năm. Với vài chục tài khoản có thể kiểm soát thủ công, nhưng khi con số lên tới hàng nghìn NHI thì việc quản lý thủ công trở thành bất khả thi.
Các thách thức lớn và hướng kiểm soát
Thách thức lớn nhất chính là khả năng hiển thị. Phần lớn tổ chức không có danh mục đầy đủ về NHI đang tồn tại, khiến nhiều tài khoản trở thành “ẩn danh” và không thể bảo vệ.
Ngoài ra, việc cấp quyền quá rộng để tiện triển khai cũng là một sai lầm phổ biến. Thay vì cấp quyền đọc dữ liệu, nhiều NHI lại được quyền ghi toàn bộ cơ sở dữ liệu. Điều này tạo ra lỗ hổng khổng lồ, đặc biệt khi kẻ tấn công chiếm quyền một NHI có đặc quyền cao.
Trong khi đó, bảo mật hiện đại dựa vào ngữ cảnh (thiết bị, vị trí, MFA), nhưng NHI không có đặc điểm này. Khi thông tin xác thực bị lộ, sẽ không có bước xác minh thứ hai để ngăn chặn tấn công. Kèm theo đó, khi nhà phát triển rời công ty hoặc ứng dụng ngừng hoạt động, những tài khoản mồ côi vẫn tồn tại như “bóng ma kỹ thuật số” – cánh cửa hậu hợp pháp để kẻ xấu lợi dụng.
Để kiểm soát, các tổ chức hàng đầu đã thay đổi cách tiếp cận:
- Khám phá và kiểm kê: quét toàn bộ môi trường (AWS, GCP, on-prem) để tìm mã thông báo ẩn, tài khoản không quản lý, vai trò quá quyền.
- Phân loại rủi ro: tập trung xử lý những NHI có đặc quyền cao trước, giảm nguy cơ lan rộng.
- Quản trị vòng đời tự động: gán chủ sở hữu, xoay vòng bí mật, thu hồi khi không còn dùng.
- Công cụ tập trung: sử dụng nền tảng bảo mật danh tính thống nhất như Okta để áp dụng chính sách đồng bộ cho cả người dùng và NHI, thay vì chắp vá từng giải pháp riêng lẻ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview