MinhSec
Writer
Một nghiên cứu mới cho thấy các danh tính phi con người (NHI - Non-Human Identities) đang tăng vọt và vượt xa tài khoản con người, làm dấy lên lo ngại sâu sắc trong giới an ninh mạng về việc rò rỉ thông tin đăng nhập.
James Maude, Giám đốc công nghệ tại BeyondTrust Field, ví hiện tượng này như việc “con ngựa đã thoát chuồng” các tổ chức đã chậm chân trong việc kiểm soát danh tính máy. Tồi tệ hơn, nhiều NHI còn có quyền truy cập cao mà không ai để ý đến.
Một trong những mối nguy lớn nhất là việc rò rỉ thông tin đăng nhập. Hàng trăm nghìn "bí mật" từ các tập đoàn toàn cầu, kể cả nhóm Fortune 500, đã bị lộ và gần một nửa trong số đó không nằm trong mã nguồn mà xuất hiện trong các nền tảng cộng tác như Slack. Slack đặc biệt dễ bị tấn công vì các bot trong ứng dụng này thường kết nối với hệ thống bảo mật, cảnh báo và các quy trình nội bộ khiến mã truy cập dễ dàng bị lộ và lợi dụng.
Điều này khác hẳn với tài khoản con người vốn sẽ bị vô hiệu hóa khi nghỉ việc. Như Rom Carmel, CEO của Apono, nhấn mạnh: danh tính máy "không trải qua quy trình tham gia chuyển đi rời khỏi" như con người, và gần như không có ai kiểm tra hay giám sát chúng thường xuyên.
Trey Ford, Giám đốc an ninh thông tin của Bugcrowd, chỉ ra rằng trong môi trường kỹ thuật, người ta có xu hướng tạo tài khoản với quyền cao nhất để xử lý nhanh sự cố nhưng lại quên không thu hẹp quyền sau khi hoàn thành. Điều này mở toang cánh cửa cho kẻ tấn công khai thác các NHI có đặc quyền cao mà không ai để ý.
Shane Barney, CISO của Keeper Security, cảnh báo: "Mối nguy đã rõ ràng từ nhiều năm trước, nhưng nhiều tổ chức vẫn lơ là. Đây phải là hồi chuông cảnh tỉnh."
Triển khai giám sát tự động
Thực thi chính sách quyền tối thiểu
Thiết lập quy trình vòng đời rõ ràng cho NHI
Trey Ford cũng bổ sung rằng việc kiểm kê và xoay vòng thông tin xác thực của NHI cần sự đầu tư nghiêm túc và đổi mới kỹ thuật vì dù ý tưởng đơn giản, việc thực hiện lại vô cùng phức tạp.
Tóm lại, danh tính phi con người đang phát triển nhanh hơn tốc độ kiểm soát của con người. Nếu không có biện pháp giám sát chặt chẽ và tự động hóa bảo mật, các tổ chức sẽ dễ dàng trở thành nạn nhân của chính những "cánh tay máy" mà họ từng tin tưởng giao nhiệm vụ.
Bùng nổ danh tính máy: Tăng trưởng vượt kiểm soát
Theo Báo cáo Rủi ro NHI & Secrets H1 2025 của Entro Security, chỉ trong một năm, tỷ lệ giữa NHI và tài khoản con người đã tăng hơn 56%. Tổng cộng hơn 27 triệu NHI được phân tích, với tốc độ tăng trưởng 44% so với cùng kỳ năm trước, chủ yếu do sự phát triển của các tác nhân AI và xu hướng tự động hóa hệ thống.James Maude, Giám đốc công nghệ tại BeyondTrust Field, ví hiện tượng này như việc “con ngựa đã thoát chuồng” các tổ chức đã chậm chân trong việc kiểm soát danh tính máy. Tồi tệ hơn, nhiều NHI còn có quyền truy cập cao mà không ai để ý đến.
Một trong những mối nguy lớn nhất là việc rò rỉ thông tin đăng nhập. Hàng trăm nghìn "bí mật" từ các tập đoàn toàn cầu, kể cả nhóm Fortune 500, đã bị lộ và gần một nửa trong số đó không nằm trong mã nguồn mà xuất hiện trong các nền tảng cộng tác như Slack. Slack đặc biệt dễ bị tấn công vì các bot trong ứng dụng này thường kết nối với hệ thống bảo mật, cảnh báo và các quy trình nội bộ khiến mã truy cập dễ dàng bị lộ và lợi dụng.
NHI cấp quyền cao, bị lãng quên và không kiểm soát
Một vấn đề khác là nhiều NHI đặc biệt trên nền tảng như AWS đang được cấp quyền quản trị toàn phần, với 5% có đặc quyền quản lý toàn diện, và gần 10% được cấp quyền quá mức nhưng không hề sử dụng. Một số danh tính máy tồn tại từ 5 đến 10 năm, thậm chí lâu hơn cả người tạo ra chúng mà vẫn chưa bị thu hồi hay giám sát.Điều này khác hẳn với tài khoản con người vốn sẽ bị vô hiệu hóa khi nghỉ việc. Như Rom Carmel, CEO của Apono, nhấn mạnh: danh tính máy "không trải qua quy trình tham gia chuyển đi rời khỏi" như con người, và gần như không có ai kiểm tra hay giám sát chúng thường xuyên.
Trey Ford, Giám đốc an ninh thông tin của Bugcrowd, chỉ ra rằng trong môi trường kỹ thuật, người ta có xu hướng tạo tài khoản với quyền cao nhất để xử lý nhanh sự cố nhưng lại quên không thu hẹp quyền sau khi hoàn thành. Điều này mở toang cánh cửa cho kẻ tấn công khai thác các NHI có đặc quyền cao mà không ai để ý.
Shane Barney, CISO của Keeper Security, cảnh báo: "Mối nguy đã rõ ràng từ nhiều năm trước, nhưng nhiều tổ chức vẫn lơ là. Đây phải là hồi chuông cảnh tỉnh."
Làm sao để bảo vệ tổ chức khỏi NHI mất kiểm soát?
Amit Zimerman, đồng sáng lập Oasis Security, khuyến cáo các tổ chức nên:Triển khai giám sát tự động
Thực thi chính sách quyền tối thiểu
Thiết lập quy trình vòng đời rõ ràng cho NHI
Trey Ford cũng bổ sung rằng việc kiểm kê và xoay vòng thông tin xác thực của NHI cần sự đầu tư nghiêm túc và đổi mới kỹ thuật vì dù ý tưởng đơn giản, việc thực hiện lại vô cùng phức tạp.
Tóm lại, danh tính phi con người đang phát triển nhanh hơn tốc độ kiểm soát của con người. Nếu không có biện pháp giám sát chặt chẽ và tự động hóa bảo mật, các tổ chức sẽ dễ dàng trở thành nạn nhân của chính những "cánh tay máy" mà họ từng tin tưởng giao nhiệm vụ.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview