Het IAM-aanvalsoppervlak verkleinen door middel van Identity Visibility and Intelligence Platforms (IVIP)

Cyberbeveiliging
Het IAM-aanvalsoppervlak verkleinen door middel van Identity Visibility and Intelligence Platforms (IVIP)

De gefragmenteerde staat van de moderne ondernemingsidentiteit

Enterprise IAM nadert een breekpunt. Naarmate organisaties groter worden, raakt de identiteit steeds meer gefragmenteerd over duizenden applicaties, gedecentraliseerde teams, machine-identiteiten en autonome systemen.

Het resultaat is Identity Dark Matter: identiteitsactiviteit die buiten de zichtbaarheid van gecentraliseerd IAM en buiten het bereik van beveiligingsteams ligt.

Volgens de analyse van Orchid Security vindt 46% van de bedrijfsidentiteitsactiviteiten plaats buiten de gecentraliseerde IAM-zichtbaarheid. Met andere woorden: bijna de helft van het bedrijfsidentiteitsoppervlak functioneert mogelijk ongezien. Deze verborgen laag omvat onbeheerde applicaties, lokale accounts, ondoorzichtige authenticatiestromen en niet-menselijke identiteiten met te veel toestemming. Het wordt verder versterkt door losgekoppelde tools, silo-eigendom en de snelle opkomst van Agentic AI.

Het gevolg is een steeds groter wordende kloof tussen wat de beveiligingsorganisaties denken te hebben en de toegang die feitelijk bestaat. In die kloof leeft nu het moderne identiteitsrisico.

De IVIP-categorie definiëren: de zichtbaarheids- en waarneembaarheidslaag

Om deze hiaten te dichten heeft Gartner het Identity Visibility and Intelligence Platform (IVIP) geïntroduceerd als een fundamenteel ‘systeem van systemen’. Binnen het Identity Fabric-framework bezetten IVIP’s laag 5: zichtbaarheid en waarneembaarheid, en bieden ze een onafhankelijke laag van toezicht boven toegangsbeheer en -beheer.

Per formele definitie neemt een IVIP-oplossing snel IAM-gegevens op en verenigt deze, waarbij gebruik wordt gemaakt van AI-gestuurde analyses om één enkel venster te bieden op identiteitsgebeurtenissen, relaties tussen gebruikers en bronnen en houding.

Functie Traditioneel IAM/IGA IVIP / Waarneembaarheid
Zichtbaarheidsbereik Alleen geïntegreerde en beheerde applicaties Uitgebreid: beheerde, onbeheerde en niet-verbonden systemen
Gegevensbron Eigenaarsattesten en handmatige documentatie Continu runtime-inzicht en telemetrie op applicatieniveau
Analysemethode Statische configuratiebeoordelingen en “Inferentie” Continue ontdekking en op bewijs gebaseerd bewijs
Intelligentie Basis, op regels gebaseerde logica LLM-aangedreven intentiedetectie en gedragsanalyse

Wat een IVIP eigenlijk moet doen

Een geloofwaardige IVIP kan niet zomaar een identiteitsopslagplaats zijn. Het moet dienen als een actieve intelligentiemotor voor het ecosysteem van bedrijfsidentiteiten.

Ten eerste moet het voorzien continu ontdekking van zowel menselijke als niet-menselijke identiteiten in elk relevant systeem, inclusief de systemen die buiten de formele IAM-onboarding vallen. Ten tweede moet het fungeren als een identiteitsgegevensplatformwaardoor gefragmenteerde informatie uit mappen, applicaties en infrastructuur wordt verenigd tot een meer samenhangende bron van waarheid. Ten derde moet het resultaten opleveren intelligentie-waarbij analyses en AI worden gebruikt om verspreide identiteitssignalen om te zetten in betekenisvol beveiligingsinzicht.

Vanuit technisch oogpunt betekent dit ondersteunende capaciteiten zoals geautomatiseerd saneringzodat hiaten in de houding direct over de IAM-stack heen kunnen worden gecorrigeerd; real-time signaaldelingwaarbij standaarden als CAEP worden gebruikt om onmiddellijke beveiligingsacties te activeren; En op intentie gebaseerde intelligentiewaar LLM’s helpen bij het interpreteren van het doel achter identiteitsactiviteit en het scheiden van normaal operationeel gedrag van werkelijk risicovolle patronen.

Dit is de verschuiving van identiteitszichtbaarheid naar identiteitsbegrip en uiteindelijk naar identiteitscontrole.

Orchid Security: levering van het IVIP-controlevliegtuig

Orchid Security implementeert het Identity Visibility and Intelligence Platform (IVIP)-model door gefragmenteerde identiteitssignalen te transformeren in continue intelligentie op applicatieniveau. In plaats van uitsluitend te vertrouwen op gecentraliseerde IAM-integraties, bouwt Orchid zichtbaarheid rechtstreeks vanuit het applicatiedomein zelf op, waardoor organisaties identiteitsactiviteiten op verschillende systemen kunnen ontdekken, verenigen en analyseren die traditionele tools niet kunnen zien.

1. Zichtbaarheid en databereik: het volledige applicatie- en identiteitsdomein zien

Een kernvereiste voor IVIP is voortdurende ontdekking van identiteiten en de systemen waarin ze opereren. Orchid bereikt dit door middel van binaire analyse en dynamische instrumentatie, waardoor het in staat is om native authenticatie- en autorisatielogica rechtstreeks binnen applicaties en infrastructuur zonder dat er API’s, broncodewijzigingen of langdurige integraties nodig zijn.

Deze aanpak biedt een cruciaal voordeel bij het ontdekken van applicatiedomeinen. Veel ondernemingen kunnen geen identiteiten beheren tussen applicaties waarvan de centrale beveiligingsteams niet eens weten dat ze bestaan. Orchid brengt deze systemen als eerste naar voren, omdat je niet kunt beoordelen, besturen of beveiligen wat je niet kunt zien. Door het echte applicatiedomein te identificeren, inclusief apps op maat, COTS, oudere systemen en schaduw-IT, onthult Orchid de donkere materie van de identiteit die daarin is ingebed, zoals lokale accounts, ongedocumenteerde authenticatiepaden en onbeheerde machine-identiteiten.

2. Gegevensunificatie: het opbouwen van de identiteitsbewijslaag

IVIP-platforms moeten gefragmenteerde identiteitsgegevens verenigen tot een consistent operationeel beeld. Orchidee bereikt dit door te vangen bedrijfseigen audittelemetrie vanuit applicaties en het combineren ervan met logs en signalen van gecentraliseerde IAM-systemen.

Het resultaat is een op bewijs gebaseerde identiteitsgegevenslaag dat laat zien hoe identiteiten zich daadwerkelijk gedragen in de hele omgeving. In plaats van te vertrouwen op configuratieaannames of onvolledige integraties krijgen organisaties een uniform beeld van:

  • Identiteiten tussen applicaties en infrastructuur
  • Authenticatie- en autorisatiestromen
  • Privilegerelaties en externe toegangspaden

Dankzij dit uniforme bewijsmateriaal kunnen beveiligingsteams de kloof tussen gedocumenteerd beleid en echte operationele toegang overbruggen.

3. Intelligentie: telemetrie omzetten in bruikbaar inzicht

Een IVIP moet identiteitstelemetrie transformeren in bruikbare informatie. De identiteitsaudits van Orchid laten zien hoe krachtig deze laag wordt wanneer identiteitsactiviteiten rechtstreeks op applicatieniveau worden geanalyseerd.

In bedrijfsomgevingen merkt Orchid het volgende op:

  • 85% van de applicaties bevat accounts van oudere of externe domeinenmet 20% gebruikt e-maildomeinen voor consumentenwaardoor een groot risico op gegevensexfiltratie ontstaat.
  • 70% van de applicaties bevat buitensporige rechtenmet 60% verleent brede administratieve of API-toegang aan derden.
  • 40% van alle accounts is weesoplopend tot 60% in sommige oudere omgevingen.

Deze inzichten worden niet uit beleid afgeleid; ze worden rechtstreeks waargenomen vanuit identiteitsgedrag binnen applicaties. Dit brengt organisaties van een houding van op configuratie gebaseerde gevolgtrekking naar bewijsgestuurde identiteitsintelligentie.

IVIP uitbreiden naar de volgende identiteitsgrens: AI-agenten

Autonome AI-agenten vertegenwoordigen de volgende golf van identiteits-donkere materie, vaak opererend met onafhankelijke identiteiten en machtigingen die buiten de traditionele bestuursmodellen vallen. Orchid breidt het IVIP-framework uit naar deze opkomende identiteiten via de Guardian Agent-architectuur, waardoor organisaties Zero Trust-governance kunnen toepassen op AI-gestuurde activiteiten.

De veilige adoptie van AI-agenten wordt geleid door vijf principes:

  • Attributie van mens naar agent: Elke actie van een agent is gekoppeld aan een verantwoordelijke menselijke eigenaar.
  • Activiteitenaudit: Er wordt een volledige Chain of Custody vastgelegd (Agent → Tool/API → Actie → Doel).
  • Contextbewuste vangrails: Toegangsbeslissingen worden dynamisch geëvalueerd op basis van de gevoeligheid van de bron en de rechten van de menselijke eigenaar.
  • Minste privilege: Just-in-Time-toegang vervangt permanente bevoorrechte inloggegevens.
  • Geautomatiseerd herstel: Risicovol gedrag kan geautomatiseerde reacties veroorzaken, zoals het rouleren van inloggegevens of het beëindigen van een sessie.

Door te combineren ontdekking van applicatiedomeinen, identiteitstelemetrie en AI-gestuurde intelligentievervult Orchid de kernmissie van IVIP: het omzetten van onzichtbare identiteitsactiviteit in een bestuurd, waarneembaar en controleerbaar beveiligingsoppervlak.

Succes meten: resultaatgerichte statistieken (ODM’s) en herstel

Identiteitsbeslissingen zijn slechts zo goed als de gegevens erachter. CISO’s moeten overstappen van ‘geïmplementeerde controles’ naar resultaatgerichte statistieken (ODM’s).

  • ODM-voorbeeld: In plaats van IGA-licenties mee te tellen, meet u de reductie van ongebruikte (slapende) rechten van 70% naar 10% binnen een fiscaal kwartaal.
  • Beschermingsniveauovereenkomsten (PLA’s): Onderhandel over de beoogde resultaten met het bedrijf. Een PLA zou de intrekking van kritieke toegang binnen 24 uur kunnen verplichten voor een vertrekkende partij, waardoor de kans voor de aanvaller aanzienlijk kleiner wordt.
  • Zakelijke ROI: Door over te stappen op continue waarneembaarheid kunnen organisaties de voorbereiding van audits terugbrengen van maanden naar minuten dankzij het geautomatiseerd genereren van compliance-bewijsmateriaal.

Strategische implementatieroutekaart voor IAM-leiders

Om het aanvalsoppervlak te verkleinen, raden we de volgende prioritaire acties aan:

  1. Vorm een ​​interdisciplinaire taskforce: Breng IT-activiteiten, app-eigenaren, IAM-eigenaren en GRC op één lijn om technische silo’s af te breken.
  2. Voer een risicogekwantificeerde kloofanalyse uit: Begin met machine-identiteiten, omdat deze vaak het hoogste risico en de laagste zichtbaarheid met zich meebrengen.
  3. Implementeer herstel zonder code: Sluit houdingsafwijkingen (bijvoorbeeld het opschorten van zwevende accounts, zwakke wachtwoordcomplexiteit) automatisch af zodra deze wordt ontdekt.
  4. Maak gebruik van uniforme zichtbaarheid voor evenementen met hoge inzet: Gebruik IVIP-telemetrie tijdens fusies en overnames of groeigebeurtenissen om de identiteitspositie van verworven activa te controleren voordat ze in het primaire netwerk worden geïntegreerd.
  5. Audit voor bedrijfsrisico’s: Gebruik continue zichtbaarheid om overtredingen op applicatieniveau te detecteren die traditionele tools missen.

Slotverklaring Uniforme zichtbaarheid is niet langer een secundair kenmerk; het is het essentiële controlevlak. Organisaties moeten verder gaan dan de ‘gesloten voordeur’ en identiteitsobservatie implementeren om de donkere materie te beheersen waar moderne aanvallers zich verbergen.

Opmerking: Dit artikel is geschreven en bijgedragen door Roy Katmor, CEO van Orchid Security.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Met één klik op GitHub Dev Attack kunnen aanvallers volledige GitHub OAuth-tokens stelen

Voorbij de Zero-Day: zie uw netwerk als een aanvaller

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]