97% neljudskih identiteta (NHI) ima pretjerane privilegije, povećavajući neovlašteni pristup i šireći površinu napada, prema izvještaju Entro Security-a o stanju neljudskih identiteta i tajni u cyber sigurnosti za 2025.
92% organizacija izlaže NHI trećim stranama, što dovodi do neovlaštenog pristupa ako sigurnosne prakse trećih strana nisu usklađene sa organizacionim standardima.
Iznenađujuće, 44% tokena je izloženo u divljini, šalju se ili pohranjuju preko platformi kao što su Teams, Jira tiketi, Confluence stranice, urezivanje koda i još mnogo toga. Ova neoprezna praksa dovodi osjetljive informacije u opasnost od presretanja i izlaganja, naglašavajući hitnu potrebu za boljom sigurnosnom praksom.
Ključna otkrića
Istraživanje otkriva trendove u rukovanju i ljudskim i nacionalnim zdravstvenim ustanovama, sa značajnim pogrešnim konfiguracijama i rizicima koji preovladavaju u svim organizacijama:
- Za svaki ljudski identitet postoji u prosjeku 92 neljudska identiteta. Ogroman broj ne-ljudskih identiteta povećava složenost upravljanja identitetom i potencijal za sigurnosne ranjivosti
- 91% tokena bivših zaposlenika i dalje je aktivno, ostavljajući organizacije ranjivim na potencijalne sigurnosne povrede
- 50% organizacija ugrađuje nove trezore bez odgovarajućeg sigurnosnog odobrenja što može uvesti ranjivosti i pogrešne konfiguracije od samog početka
- 73% trezora je pogrešno konfigurisano, što takođe dovodi do neovlaštenog pristupa i izlaganja osjetljivim podacima i kompromitovanih sistema
- 60% NHI se prekomjerno koristi, s tim da se isti NHI koristi za više od jedne aplikacije, povećavajući rizik od jedne tačke kvara i široko rasprostranjenog kompromisa ako je izložen
- 62% svih tajni je duplicirano i pohranjeno na više lokacija, uzrokujući nepotrebnu redundantnost i povećavajući rizik od slučajnog izlaganja
- 71% neljudskih identiteta nije rotirano u preporučenim vremenskim okvirima, što povećava rizik od kompromisa tokom vremena
Podaci ovog izvještaja prikupljeni su od miliona tajni i NHI-a u kompanijama u različitim industrijama, od startupa do kompanija sa liste Fortune 100.
Izvor:Help Net Security