GitGuardian 推出 NHI 治理,为企业保护非人类身份及其机密
快速阅读: 据《安保大道》称,GitGuardian发布NHI治理产品,帮助企业管理和保护非人身份及其敏感信息,提供全生命周期管理、集中式密钥清单和高级分析等功能,降低数据泄露风险,提升安全性与合规性。
网络安全领域正面临一个日益严峻且尚未解决的挑战:敏感信息扩散。随着云计算、人工智能和自动化技术的快速发展,API密钥、令牌、凭证等敏感信息数量呈爆炸式增长。特别是非人身份(NHIs)的兴起,使得安全团队难以维持对这些敏感信息的掌控。GitGuardian深知这一问题的难度所在。这种困境源于有限的可见性、分散的凭证管理以及对NHIs生命周期缺乏治理,导致泄露的凭证成为数据泄露的主要原因。根据Verizon的数据泄露调查报告显示,超过80%的漏洞源于被泄露的凭证,因此有效的敏感信息安全管理已成为首要的安全任务。今天,作为唯一面向企业级的敏感信息安全管理提供商,GitGuardian自豪地宣布推出其NHI治理产品。该解决方案为NHIs及其相关凭证提供了统一的可见性和全面的生命周期管理,使组织能够降低风险并确保其数字化转型的安全性。
### 人工智能代理增加敏感信息暴露风险
我们看到,人工智能代理的快速采用为本已复杂的局面增添了一层新的复杂性。人工智能代理需要广泛的访问权限,连接到多个系统(数据库、服务),每个系统都有自己的凭证。它们可以从所访问的资源(如知识库,可能本身具有不同的安全级别)中提取敏感信息,然后将其复制到安全性较低的位置。这种情况常常因这些人工智能代理部署匆忙或未经控制,随后被复制到安全性较低的位置(日志、第三方平台)而加剧。了解这些敏感信息最终去向至关重要:
– **第三方基础设施**:敏感信息可以传输到第三方提供商的基础设施/数据存储中。尽管这些提供商“可能”是可信的,但它们仍然代表外部实体,减少了您的直接控制并引入了潜在风险。
– **人工智能开发环境**:敏感信息通常会落入开发人工智能系统的团队手中。这可能包括:独立承包商、核心开发组之外的团队,以及使用不安全的“幽灵”环境(例如个人设备、临时云实例)工作的开发人员。检索增强生成(RAG)技术是一个简单而常见的例子:许多公司使用RAG技术让人工智能搜索内部知识库或帮助支持团队。
为应对这一挑战,人工智能代理启用环境中加强NHI治理至关重要。我们在这里提供解决方案。
### 介绍GitGuardian NHI治理
为了解决这些挑战并为您提供更好的控制,GitGuardian NHI治理应运而生。我们知道,要真正解决敏感信息扩散并保护您的NHIs,仅靠检测是不够的——您需要对整个密钥生态系统进行全面的映射,这是以前无法以合理且可扩展的方式实现的。
这张地图帮助您追踪密钥管理者(存储敏感信息的地方)、使用者(使用敏感信息的服务、脚本、任务)、访问的资源(目标及其权限)以及相关的公共和私有敏感信息事件之间的联系。我们的端到端可视化敏感信息地图:
#### NHI治理的其他关键优势包括:
– **集中式密钥清单**:通过与现有的密钥管理解决方案(如HashiCorp Vault、CyberArk Conjur、AWS密钥库、Google Cloud密钥库、Azure密钥库、Akeyless和Delinea)集成,获得对密钥生态系统的全面视角。这为所有敏感信息和NHIs提供了一个单一的事实来源,增强了可见性和控制力。
– **生命周期管理**:对整个敏感信息生命周期进行精细控制,强制执行最佳实践的轮换和撤销。这有助于自动化部分生命周期管理任务,简化工作流,提高运营效率,并减少陈旧或跨环境凭证的风险。
– **深入实用上下文**:通过关于敏感信息的实用上下文(包括权限、所有者、访问模式和使用情况)改善对违规潜在影响的理解。这些上下文信息加速了事件调查和解决。GitGuardian用户报告称修复时间从几天或几周缩短到几分钟或几小时。
– **检测与修复指南**:识别内部扩散和外部泄漏,并在平台上直接接收可操作的修复指南。与密钥管理器的集成可用于将暴露的敏感信息存档和轮换,降低安全隐患的风险并改善整体敏感信息管理卫生。
– **高级分析**:在综合仪表板中优化授权、识别权限过宽的NHIs并跟踪卫生趋势。监控关键卫生指标,如密钥库覆盖率和敏感信息年龄分布。
– **策略执行**:跟踪被泄露策略随时间的演变,了解其在整个环境中的分布。通过策略引擎在所有密钥库中强制执行一致的安全策略,评估合规性,包括OWASP十大安全风险,简化合规性。
### 一些企业用例
GitGuardian NHI治理在各种企业场景中提供了显著价值:
– **安全运营增强**:安全团队可以全面盘点微服务使用的API密钥,识别未受保护的凭证,并实施安全的密钥库和轮换协议。
– **身份访问管理优化**:IAM专家可以分析授予敏感信息的授权,识别过度授权,并基于最小权限原则实施精确的访问控制。
– **监管合规保证**:合规官可以利用集中式库存和策略框架证明遵守数据安全法规和行业标准。
– **事件响应加速**:在安全事件期间,响应团队可以快速识别受影响的系统,确定凭证所有权和授权范围,并提供具体的轮换指南。
– **密钥库迁移支持**:在不同密钥管理平台之间过渡的组织可以识别所有现有凭证、其位置和依赖关系,确保无缝迁移而不会中断服务。
### 风险不容忽视
在一个身份已成为新边界的环境中,控制NHIs不仅是一个安全的加分项,更是生存的关键。我们理解您的团队面临的压力。每次泄露的敏感信息都可能导致数百万美元的修复成本、声誉损害和业务中断,问题不是您是否负担得起敏感信息治理,而是您是否负担得起不这样做。
要了解更多关于GitGuardian NHI治理如何帮助您的组织控制敏感信息扩散并保护您的NHIs,以及如何让这个过程更容易,请申请演示!
***
这是来自GitGuardian官方博客作者Soujanya Ain的文章。在以下链接查看原始文章:
[https://blog.gitguardian.com/gitguardian-launches-nhi-governance/](https://blog.gitguardian.com/gitguardian-launches-nhi-governance/)
(以上内容均由Ai生成)
