Search
Write a publication
Pull to refresh

Comments 3

Спасибо за интересный обзор этого проекта!

С ростом автоматизации владельцы облачных инфраструктур всё чаще сталкиваются с угрозами, которые исходят от ботов, парсеров, агентов, сервисных и других подобных автоматизированных аккаунтов.

Начало статьи немного вводит в замешательство, потому что статья и сам проект, кажется, скорее о другом виде угроз -- а именно об угрозах компрометации различного рода NHIs для компаний, которые используют их, например в интеграциях со сторонними системами. То есть об угрозах несанкционированного доступа к этим системам и информации в них с использованием скомпрометированных NHIs.

NHI2:Secret Leakage

Понятно, что сейчас эпоха облаков, но всё же странно, что в качестве дополнительной меры защиты не упомянут (как в проекте от OWASP, так и статье) список разрешенных IP-адресов, с которых можно использовать конкретный NHI. Иными словами, даже обширный список адресов может сильно усложнить эксплуатацию полученного API-ключа для злоумышленника.

Понятно, что сейчас эпоха облаков, но всё же странно, что в качестве дополнительной меры защиты не упомянут (как в проекте от OWASP, так и статье) список разрешенных IP-адресов, с которых можно использовать конкретный NHI. Иными словами, даже обширный список адресов может сильно усложнить эксплуатацию полученного API-ключа для злоумышленника.

Спасибо за замечание! Действительно, этот момент не упомянут в OWASP — вероятно, потому, что немногие сервисы поддерживают ограничение использования NHI по IP-адресам. В Yandex Cloud такая возможность пока недоступна, но мы уже работаем над её реализацией. Как только она появится, мы добавим соответствующую рекомендацию в наш стандарт. Следите за обновлениями!

непользовательских сущностей (или non‑human identities, NHI)

по-русски наиболее близкое значение - технологические учетные записи.

Sign up to leave a comment.