С развитием облаков, появлением гибридных инфраструктур и мультиоблачных сред изменился взгляд ИБ на то, что важно защищать: от безопасности периметра фокус сместился к безопасности учётных записей. Злоумышленники меньше занимаются фишингом и перебором паролей, а всё чаще охотятся на забытые API-ключи и неверно сконфигурированные сервисные аккаунты. По данным Google Cloud Threat Horizons Report, эксплуатация злоумышленниками таких непользовательских сущностей (или non‑human identities, NHI) остаётся в топе угроз, при этом тактики атак постоянно усложняются.

В ответ на это некоммерческая организация OWASP в 2025 году выпустила отдельный рейтинг по топ-10 атак для NHI: OWASP Non‑Human Identities Top 10.

Меня зовут Дмитрий Лютов, я занимаюсь продуктами безопасности в Yandex Cloud и в этой статье я пройдусь по основным угрозам из рейтинга OWASP. Покажу, каким образом владельцы облаков могут позаботиться о безопасности инфраструктуры.