Một thực tế đáng báo động đã được hé lộ trong năm 2024: 68% các vụ xâm phạm hạ tầng đám mây không xuất phát từ những phương thức tấn công truyền thống như phishing hay mật khẩu yếu, mà từ các 'danh tính ma' (Ghost Identities) - những tài khoản dịch vụ bị xâm phạm và API key bị lãng quên mà không ai giám sát. Đây là một góc khuất nguy hiểm trong bảo mật doanh nghiệp hiện đại mà nhiều tổ chức vẫn chưa nhận thức đầy đủ về mức độ rủi ro.

Chi tiết về mối đe dọa danh tính phi con người

Nghiên cứu mới nhất cho thấy với mỗi nhân viên trong tổ chức, có khoảng 40 đến 50 thông tin xác thực tự động đang hoạt động, bao gồm các tài khoản dịch vụ (service accounts), API token, kết nối AI agent và các quyền OAuth. Những danh tính phi con người này thường được tạo ra phục vụ cho các dự án cụ thể hoặc tự động hóa quy trình làm việc. Tuy nhiên, vấn đề nghiêm trọng nảy sinh khi các dự án kết thúc hoặc nhân viên rời khỏi công ty - phần lớn các thông tin xác thực này không được thu hồi hoặc vô hiệu hóa một cách có hệ thống.

Khác với tài khoản người dùng thông thường có thể được giám sát thông qua hoạt động đăng nhập, các danh tính phi con người hoạt động âm thầm trong nền hệ thống. Chúng có thể duy trì quyền truy cập vào dữ liệu nhạy cảm trong nhiều tháng hoặc thậm chí nhiều năm mà không bị phát hiện, tạo thành những 'cửa hậu' tiềm ẩn cho kзлоумышленники.

Mức độ nghiêm trọng của vấn đề

Thống kê 68% các vụ xâm phạm cloud xuất phát từ danh tính ma đã làm thay đổi hoàn toàn bức tranh mối đe dọa an ninh mạng trong năm 2024. Con số này vượt xa cả phishing và các cuộc tấn công mật khẩu truyền thống, cho thấy sự chuyển dịch trong chiến thuật của tin tặc từ việc nhắm vào con người sang khai thác những lỗ hổng trong quản lý danh tính tự động. Việc các tổ chức tập trung quá nhiều vào việc bảo vệ chống phishing mà bỏ qua việc quản lý danh tính phi con người đã tạo ra một điểm mù nghiêm trọng.

Tác động kinh tế từ các vụ việc này không chỉ dừng lại ở việc mất dữ liệu. Khi một danh tính ma bị xâm phạm, kẻ tấn công có thể duy trì quyền truy cập trong thời gian dài, thu thập thông tin tình báo, cài đặt backdoor và thậm chí sử dụng tài nguyên cloud để khai thác tiền điện tử hoặc thực hiện các hoạt động bất hợp pháp khác. Chi phí khắc phục và thiệt hại danh tiếng có thể lên tới hàng triệu đô la cho mỗi vụ việc.

Phân tích kỹ thuật về danh tính ma

Danh tính ma được hình thành thông qua một quy trình tự nhiên trong môi trường doanh nghiệp hiện đại. Khi các nhà phát triển tạo ra ứng dụng mới, họ thường tạo các service account để ứng dụng có thể tương tác với các dịch vụ cloud khác nhau. Tương tự, việc tích hợp API giữa các hệ thống đòi hỏi việc sinh ra các token xác thực. Theo thời gian, số lượng các thông tin xác thực này tăng lên theo cấp số nhân, nhưng việc theo dõi và quản lý chúng lại không được thực hiện một cách có hệ thống.

Điểm yếu cốt lõi nằm ở chỗ các danh tính này thường có quyền hạn rất rộng để đảm bảo ứng dụng hoạt động trơn tru, nhưng lại thiếu các cơ chế giám sát và kiểm soát như tài khoản người dùng thông thường. Chúng không có chu kỳ đổi mật khẩu bắt buộc, không yêu cầu xác thực đa yếu tố và thường không được đưa vào các báo cáo audit thường xuyên. Khi tin tặc chiếm được quyền kiểm soát một danh tính ma, họ thực chất đã có được 'chìa khóa vạn năng' để truy cập vào hệ thống mà ít có khả năng bị phát hiện.

Khuyến nghị bảo mật

Để đối phó với mối đe dọa từ danh tính ma, các tổ chức cần triển khai ngay lập tức một chiến lược quản lý danh tính phi con người toàn diện. Bước đầu tiên là thực hiện kiểm tra toàn bộ hệ thống để xác định tất cả các service account, API key và OAuth token đang tồn tại, sau đó phân loại chúng theo mức độ quan trọng và quyền hạn truy cập. Triển khai các công cụ giám sát chuyên biệt để theo dõi hoạt động của danh tính phi con người, thiết lập cảnh báo cho các hành vi bất thường và áp dụng nguyên tắc least privilege để hạn chế quyền truy cập ở mức tối thiểu cần thiết. Đặc biệt quan trọng là xây dựng quy trình thu hồi tự động các thông tin xác thực khi dự án kết thúc hoặc nhân viên rời khỏi tổ chức.