68% vụ rò rỉ dữ liệu đám mây năm 2024 do danh tính ma bị lãng quên

Một thống kê đáng báo động vừa được công bố cho thấy 68% các vụ vi phạm bảo mật đám mây trong năm 2024 không phải do các cuộc tấn công lừa đảo phức tạp hay mật khẩu yếu, mà chính là do những 'danh tính ma' - các tài khoản dịch vụ và API key bị lãng quên không ai quản lý. Đây là một thực tế đáng lo ngại trong bối cảnh các doanh nghiệp ngày càng phụ thuộc vào hạ tầng đám mây và các dịch vụ tự động hóa. Những danh tính phi con người này đang trở thành mối đe dọa thầm lặng nhưng cực kỳ nguy hiểm đối với bảo mật dữ liệu doanh nghiệp.

Chi tiết về hiện tượng danh tính ma

Theo nghiên cứu mới nhất, đối với mỗi nhân viên trong một tổ chức, có thể tồn tại từ 40 đến 50 thông tin xác thực tự động khác nhau bao gồm tài khoản dịch vụ, API token, kết nối AI agent và các quyền cấp phép OAuth. Những danh tính phi con người này được tạo ra để phục vụ các dự án tự động hóa, tích hợp hệ thống và kết nối giữa các ứng dụng. Tuy nhiên, vấn đề nghiêm trọng xảy ra khi các dự án kết thúc hoặc nhân viên rời khỏi công ty - phần lớn những thông tin xác thực này bị bỏ quên và không được thu hồi đúng cách.

Khác với tài khoản người dùng thông thường, những danh tính ma này thường có quyền truy cập rộng rãi vào hệ thống và dữ liệu nhạy cảm, nhưng lại không được giám sát thường xuyên. Chúng hoạt động âm thầm trong hệ thống, tạo ra những lỗ hổng bảo mật khó phát hiện nhưng cực kỳ nguy hiểm khi bị kẻ xấu khai thác.

Mức độ nghiêm trọng của vấn đề

Tác động của việc không quản lý đúng cách các danh tính phi con người là cực kỳ nghiêm trọng. Với 68% các vụ vi phạm bảo mật đám mây có nguồn gốc từ những danh tính ma này, chúng ta đang chứng kiến một xu hướng đáng lo ngại trong bối cảnh bảo mật hiện đại. Những kẻ tấn công ngày càng tập trung khai thác các lỗ hổng này vì chúng ít được chú ý và giám sát hơn so với các tài khoản người dùng thông thường.

Khi một danh tính ma bị xâm phạm, tác động có thể lan rộng khắp toàn bộ hệ thống doanh nghiệp do chúng thường có quyền truy cập cao và khả năng kết nối với nhiều dịch vụ khác nhau. Điều đặc biệt nguy hiểm là việc phát hiện ra sự xâm phạm thường mất rất nhiều thời gian, cho phép kẻ tấn công có đủ thời gian để khai thác và thu thập dữ liệu nhạy cảm.

Phân tích kỹ thuật về danh tính phi con người

Danh tính phi con người bao gồm nhiều loại khác nhau như service accounts được sử dụng cho các ứng dụng và dịch vụ tự động, API keys để xác thực các cuộc gọi API, OAuth tokens cho việc ủy quyền truy cập giữa các ứng dụng, và các kết nối AI agent ngày càng phổ biến. Mỗi loại đều có những đặc điểm riêng nhưng chung một vấn đề là khó kiểm soát và quản lý tập trung. Khác với mật khẩu người dùng có thể được reset định kỳ, những thông tin xác thực này thường có thời gian sống dài và không thay đổi thường xuyên.

Vấn đề trở nên phức tạp hơn khi các doanh nghiệp sử dụng nhiều nền tảng đám mây khác nhau và có hàng trăm, thậm chí hàng nghìn dịch vụ tích hợp. Việc theo dõi tất cả các danh tính phi con người này đòi hỏi các công cụ và quy trình chuyên biệt, điều mà nhiều tổ chức vẫn chưa triển khai đầy đủ.

Khuyến nghị bảo mật

Để đối phó với mối đe dọa từ danh tính ma, các doanh nghiệp cần triển khai ngay các biện pháp quản lý danh tính phi con người một cách có hệ thống. Điều đầu tiên là tiến hành kiểm kê toàn bộ các service accounts, API keys và OAuth tokens hiện có trong hệ thống, sau đó xác định và vô hiệu hóa những thông tin xác thực không còn sử dụng. Đồng thời, cần xây dựng quy trình quản lý vòng đời cho các danh tính phi con người, bao gồm việc tạo, giám sát, cập nhật và thu hồi khi không còn cần thiết. Cuối cùng, việc triển khai các công cụ giám sát liên tục và cảnh báo bất thường sẽ giúp phát hiện sớm các hoạt động đáng ngờ từ những danh tính này.