OWASP-Projekt: Mehr Sicherheit für NHIs
In vielen komplexen Webarchitekturen authentifizieren sich die Komponenten für automatisierte Prozesse und Systeminteraktionen gegenseitig. Diese nicht-menschlichen Identitäten bringen mehr Sicherheit, aber auch neue Herausforderungen. Die neuen OWASP-Top-10-Risiken für nicht-menschliche Identitäten geben Orientierung.
Das Open Web Application Security Project (OWASP), eine internationale Non-Profit-Organisation für die Verbesserung der Cybersicherheit von Webanwendungen, hat eine Top-10-Liste der größten Schwachstellen bei der Maschinenauthentifizierung in Softwareanwendungen zusammengestellt (siehe ix.de/z7mt). Dazu bietet OWASP hilfreiche Leitlinien, um die Risiken zu minimieren oder zu vermeiden. Die zehn Leitlinien beschreiben eine breite Palette von Sicherheitsrisiken und Angriffsvektoren, die typischerweise im Umgang mit der Authentifizierung nicht-menschlicher Identitäten (Non-Human Identities; NHIs) in Web- und Cloud-Anwendungen auftreten.
Angriffe auf Authentifizierungsmethoden und das Identitätsmanagement nehmen zu und erweisen sich für Entwickler immer mehr als Herausforderung bei der Absicherung webbasierter Softwareapplikationen. Spektakuläre Beispiele sind hier der Angriff auf OKTA, einen US-Anbieter für Identitätsmanagement, der Angriff auf die Verwaltung von Zugriffstoken bei GitHub und bei Microsoft der Leak der Shared Access Signature (SAS) Token (alle zu finden über ix.de/z7mt). Allen gemeinsam ist eine signifikante Schwächung der Non-Human Identities mit der Folge, dass diese für zahlreiche und spektakuläre Angriffe, beispielsweise auf die IT-Systeme der US-Regierung, ausgenutzt wurden. Laut Microsofts Darstellung des Vorfalls verwendeten die Angreifer manipulierte Authentifizierungstoken, um auf Informationen von US-Regierungsbehörden und zugehörige Kundenkonten in der öffentlichen Cloud zuzugreifen.
