مركز الأمن السيبراني للأبحاث والدراسات CCRS https://ccforrs.com Fri, 25 Apr 2025 21:00:37 +0000 ar hourly 1 https://wordpress.org/?v=6.6.2 مركز الأمن السيبراني للأبحاث والدراسات CCRS false الهويات غير البشرية (NHIs): الثغرة الأمنية الأخطر التي تتجاهلها المؤسسات https://ccforrs.com/%d8%a7%d9%84%d9%87%d9%88%d9%8a%d8%a7%d8%aa-%d8%ba%d9%8a%d8%b1-%d8%a7%d9%84%d8%a8%d8%b4%d8%b1%d9%8a%d8%a9-nhis-%d8%a7%d9%84%d8%ab%d8%ba%d8%b1%d8%a9-%d8%a7%d9%84%d8%a3%d9%85%d9%86%d9%8a%d8%a9-%d8%a7/ https://ccforrs.com/%d8%a7%d9%84%d9%87%d9%88%d9%8a%d8%a7%d8%aa-%d8%ba%d9%8a%d8%b1-%d8%a7%d9%84%d8%a8%d8%b4%d8%b1%d9%8a%d8%a9-nhis-%d8%a7%d9%84%d8%ab%d8%ba%d8%b1%d8%a9-%d8%a7%d9%84%d8%a3%d9%85%d9%86%d9%8a%d8%a9-%d8%a7/#respond Sun, 27 Apr 2025 11:19:06 +0000 https://ccforrs.com/?p=12004 عندما نتحدث عن الهوية في مجال الأمن السيبراني، يتبادر إلى الأذهان كلمات المرور، أسماء المستخدمين، ومطالبات التحقق المتعددة (MFA). لكن الخطر الحقيقي اليوم لا يتعلق بالبشر على الإطلاق، بل بظاهرة متنامية تُعرف بـ**”الهويات غير البشرية” (Non-Human Identities – NHIs)**، والتي أصبحت تمثل الثغرة الأخطر والأكثر تجاهلاً في بيئة الأمن السيبراني الحديثة.

ما المقصود بالهويات غير البشرية؟

عند ذكر NHIs، يظن كثيرون أنها مجرد حسابات خدمات (Service Accounts)، لكن الحقيقة أوسع من ذلك بكثير. فالهويات غير البشرية تشمل:

  • Service Principals

  • Snowflake Roles

  • IAM Roles

  • والعديد من الكيانات الأخرى المرتبطة بـ AWS وAzure وGCP وغيرها.

كل واحدة من هذه الكيانات هي هوية رقمية تُمنح للتطبيقات والخدمات والروبوتات والبنى التحتية لأداء مهامها، وغالبًا ما تُدار بشكل لامركزي، مما يصعب تتبعها وتأمينها.

أسرار الآلات: عملة الهويات غير البشرية

تعتمد معظم NHIs في عملية المصادقة على أسرار رقمية (Secrets)، مثل:

  • مفاتيح API

  • رموز الوصول (Tokens)

  • الشهادات الرقمية (Certificates)

هذه الأسرار تمنح وصولًا مباشرًا إلى البيانات والبنية التحتية الحساسة — وهي بالضبط ما يسعى إليه القراصنة.

وفقًا لتقرير State of Secrets Sprawl 2025:

  • تم تسريب 23.7 مليون سر جديد على GitHub علنًا خلال عام 2024 فقط.

  • ولا يزال 70٪ من الأسرار المسربة في 2022 صالحة حتى الآن.

والمشكلة؟ لا توجد MFA للآلات، ولا يوجد إشعار عند تسريب مفتاح API. الأسوأ أن بعض الأسرار تُنشأ بصلاحيات مفرطة، أو دون تاريخ انتهاء، وتظل نشطة لعشرات السنين — كل ذلك فقط لضمان “استقرار التطبيقات”.

لماذا تشكل NHIs كارثة أمنية صامتة؟

  • الهويات غير البشرية يصعب اكتشاف اختراقها: فدخول روبوت من سنغافورة في منتصف الليل لا يُعتبر سلوكًا شاذًا كما هو الحال مع دخول بشري.

  • كثير من الأسرار تعمل كبوابات خلفية غير مرئية، تُستخدم في الهجمات الجانبية (Lateral Movement)، والاختراقات الصامتة، والهجمات على سلاسل التوريد.

  • مثال واقعي: حادثة Toyota التي تسبب بها تسريب سر واحد فقط، وأدت إلى اختراق شامل للبنية التحتية.

الانفجار العددي للهويات غير البشرية

مع التحول إلى الحوسبة السحابية والأنظمة المعتمدة على الخدمات المصغّرة (Microservices)، أصبحت NHIs تتفوق عدديًا على الهويات البشرية بنسبة تتراوح بين 50:1 إلى 100:1. هذه “العمالة الرقمية” تربط الأنظمة، وتُشغّل سير العمل، وتغذي نماذج الذكاء الاصطناعي — وجميعها تعتمد على أسرار رقمية.

لكن على عكس بيانات الاعتماد البشرية:

  • تُضمّن الأسرار مباشرة داخل الشيفرات البرمجية.

  • تُشارك بين فرق متعددة دون رقابة.

  • تبقى نائمة في الأنظمة القديمة.

  • تُمرر إلى وكلاء الذكاء الاصطناعي دون تدقيق.

النتيجة؟ فوضى أسرار. صلاحيات مفرطة. وتسريب واحد قد يؤدي إلى كارثة.

لماذا لم تعد الأدوات التقليدية كافية؟

أدوات إدارة الهوية والوصول التقليدية (IAM/PAM) صُممت لأشخاص — لهويات ترتبط بأفراد، وتُحمى بـ MFA. لكنها تفشل أمام NHIs لأنها:

  • تُنشأ وتُدار من قبل المطورين خارج نطاق فرق الأمن.

  • لا تخضع لدورات حياة الهوية المعتادة مثل التعيين أو الإيقاف أو الإلغاء.

  • تُخزّن الأسرار في عدة أماكن (Vaults) دون إدارة مركزية أو سياسات موحدة.

  • لا تكشف عن التسريبات أو الاستخدامات المشبوهة على نطاق واسع.

GitGuardian NHI Governance: السيطرة على فوضى الهويات غير البشرية

تقدم منصة GitGuardian حلاً شاملاً لإدارة الهويات غير البشرية من خلال منصة NHI Governance، التي توفر:

1. خريطة شاملة لأسرارك

تمثيل مرئي شامل يربط بين:

  • مواقع تخزين الأسرار (مثل AWS Secrets Manager وHashiCorp Vault)

  • الخدمات التي تستخدمها

  • الأنظمة التي تصل إليها

  • المالكين

  • ما إذا كانت قد تسربت أو استُخدمت علنًا

2. إدارة دورة الحياة الكاملة

تتيح NHI Governance التحكم الكامل في دورة حياة الأسرار:

  • وضع سياسات تدوير تلقائي

  • إيقاف بيانات الاعتماد غير المستخدمة

  • اكتشاف “أسرار الزومبي” (التي لم تُستخدم منذ أشهر)

3. تعزيز الأمان والامتثال

تدعم المنصة معايير مثل OWASP Top 10 وتراقب:

  • تغطية الخزائن عبر الفرق

  • عمر الأسرار وتكرار استخدامها

  • صلاحيات NHIs المفرطة

  • انحرافات الوضع الأمني بمرور الوقت

الذكاء الاصطناعي وأزمة الأسرار الجديدة

ظهور الوكلاء الذكيين (AI Agents)، وخاصة في نماذج RAG، زاد من خطر تسريب الأسرار من خلال:

  • سجلات المحادثات (Logs)

  • المنصات التعاونية مثل Slack وJira وNotion

  • الاستعلامات التي تسترجع البيانات الداخلية وتُظهرها ضمن الردود

GitGuardian تتيح اكتشاف الأسرار في هذه البيئات وتنظيف السجلات قبل أن تُخزّن أو تُستخدم بشكل غير آمن.

الخلاصة: لا يمكنك حماية ما لا تراه أو لا تديره

في عالم أصبحت فيه الهويات هي خط الدفاع الأول، تجاهل الهويات غير البشرية لم يعد خيارًا.

سواء كنت تسعى إلى:

  • تقليل مساحة الهجوم

  • التحكم في الوصول عبر الأنظمة

  • فرض مبدأ الثقة الصفرية (Zero Trust)

  • أو مجرد النوم بهدوء

فمنصة GitGuardian NHI Governance قد تكون مفتاحك لتحقيق الأمان في عصر الآلات.

]]> https://ccforrs.com/%d8%a7%d9%84%d9%87%d9%88%d9%8a%d8%a7%d8%aa-%d8%ba%d9%8a%d8%b1-%d8%a7%d9%84%d8%a8%d8%b4%d8%b1%d9%8a%d8%a9-nhis-%d8%a7%d9%84%d8%ab%d8%ba%d8%b1%d8%a9-%d8%a7%d9%84%d8%a3%d9%85%d9%86%d9%8a%d8%a9-%d8%a7/feed/ 0