Hoe controle te krijgen over AI-agenten en niet-menselijke identiteiten

Cyberbeveiliging
AI Agents and Non-Human Identities

We horen dit veel:

“We hebben honderden serviceaccounts en AI -agenten die op de achtergrond draaien. We hebben niet de meeste gemaakt. We weten niet wie ze bezit. Hoe moeten we ze beveiligen?”

Elke onderneming loopt vandaag meer op dan gebruikers. Achter de schermen, duizenden niet-menselijke identiteiten, van serviceaccounts tot API-tokens tot AI-agenten, toegangssystemen, verplaatsingsgegevens en taken rond de klok uit.

Ze zijn niet nieuw. Maar ze vermenigvuldigen zich snel. En de meeste waren niet gebouwd met veiligheid in gedachten.

Traditionele identiteitstools veronderstellen intentie, context en eigendom. Niet-menselijke identiteiten hebben geen van deze. Ze loggen niet in en uit. Ze raken niet uit boord. En met de opkomst van autonome agenten beginnen ze hun eigen beslissingen te nemen, vaak met brede machtigingen en weinig toezicht.

Het creëert al nieuwe blinde vlekken. Maar we zijn nog maar aan het begin.

In dit bericht zullen we kijken hoe het niet-menselijke identiteitsrisico evolueert, waar de meeste organisaties nog steeds worden blootgesteld en hoe een identiteitsveiligheidsfabricie beveiligingsteams helpt vooruit te komen voordat de schaal onhandelbaar wordt.

De stijging (en het risico) van niet-menselijke identiteiten

Cloud-first architecturen verhoogden de complexiteit van de infrastructuur en leidde tot een toename van achtergrondidentiteiten. Naarmate deze omgevingen groeien, groeit het aantal achtergrondidentiteiten met hen, waarvan vele automatisch worden gemaakt, zonder duidelijk eigendom of toezicht. In veel gevallen overtreffen deze identiteiten de menselijke gebruikers met meer dan 80 tot 1.

Wat dat vooral riskant maakt, is hoe weinig de meeste teams van hen weten. NHI’s worden vaak automatisch gemaakt tijdens de implementatie of voorziening en verdwijnen vervolgens uit de radar, niet-ingetrokken, niet-bezit en vaak overdunning.

Vooral serviceaccounts zijn overal. Ze verplaatsen gegevens tussen systemen, voeren geplande banen uit en authenticeren services zonder headless. Maar hun wildgroei is zelden zichtbaar en hun machtigingen worden zelden beoordeeld. Na verloop van tijd worden ze perfecte voertuigen voor laterale beweging en escalatie voor privileges.

Maar serviceaccounts zijn slechts een deel van de foto. Naarmate de AI-adoptie groeit, introduceert een nieuwe categorie niet-menselijke identiteit nog een meer onvoorspelbaar risico.

Waarom AI -agenten zich anders gedragen en waarom dat ertoe doet

In tegenstelling tot de meeste machine -identiteiten, initiëren AI -agenten zelf acties; Interactie met API’s, het opvragen van gegevens en het autonoom nemen van beslissingen.

Die autonomie kost een kosten. AI -agenten hebben vaak toegang nodig tot gevoelige gegevens en API’s, maar weinig organisaties hebben vangrails voor wat ze kunnen doen of hoe ze die toegang kunnen intrekken.

Erger nog, de meeste AI-agenten missen duidelijk eigendom, volgen geen standaard levenscyclus en bieden weinig zichtbaarheid in hun real-world gedrag. Ze kunnen worden geïmplementeerd door ontwikkelaars, ingebed in tools of worden genoemd via externe API’s. Eenmaal leven kunnen ze voor onbepaalde tijd rennen, vaak met aanhoudende referenties en verhoogde machtigingen.

En omdat ze niet gebonden zijn aan een gebruiker of sessie, zijn AI -agenten moeilijk te controleren met behulp van traditionele identiteitssignalen zoals IP, locatie of apparaatcontext.

De kosten van onzichtbare toegang

Geheimen worden hard gecodeerd. Tokens worden hergebruikt. Weesse identiteiten blijven maandenlang actief, soms jaren.

Deze risico’s zijn niet nieuw, maar statische referenties en wijd open toegang zijn mogelijk beheersbaar wanneer u een paar dozijn servicecontacts had. Maar met duizenden, of tienduizenden, van NHI’s die onafhankelijk van cloudservices werken, schaalt handmatige tracking gewoon niet.

Dat is de reden waarom veel beveiligingsteams herzien hoe ze de identiteit in de eerste plaats definiëren. Omdat als een AI -agent kan authenticeren, toegang krijgt tot gegevens en beslissingen kan nemen, dit is een identiteit. En als die identiteit niet wordt bestuurd, is het een aansprakelijkheid.

Veel voorkomende NHI -beveiligingsuitdagingen

Inzicht in dat niet-menselijke identiteiten een groeiend risico vormen, is één ding; Het beheren van dat risico is een ander. Het kernprobleem is dat de tools en processen die zijn gebouwd voor menselijk identiteitsbeheer zich niet vertalen naar de wereld van API’s, servicerekeningen en AI -agenten. Deze ontkoppeling creëert verschillende duidelijke en gevaarlijke beveiligingsuitdagingen die veel organisaties pas beginnen te confronteren.

Je kunt niet beschermen wat je niet kunt zien

De meest fundamentele uitdaging bij het beveiligen van NHIS is zichtbaarheid. De meeste beveiligingsteams hebben geen volledige inventaris van elke niet-menselijke identiteit die in hun omgeving werkt. Deze identiteiten worden vaak dynamisch gemaakt door ontwikkelaars of geautomatiseerde systemen om een ​​specifieke, tijdelijke functie te bedienen. Ze worden gesponnen om een ​​nieuwe microservice te ondersteunen, een implementatiescript uit te voeren of een applicatie van derden te integreren.

Eenmaal gemaakt, worden ze echter zelden gedocumenteerd of gevolgd in een centraal identiteitsbeheersysteem. Ze worden “schaduw” -identiteiten, actief en functioneel, maar volledig onzichtbaar voor beveiliging en het. Zonder een uitgebreide kijk op wat NHI’s bestaan, wie (of wat) ze heeft gemaakt en wat ze toegang hebben, is het onmogelijk om een ​​zinvolle beveiligingsstrategie op te bouwen. Je probeert een aanvaloppervlak van een onbekende grootte te beveiligen.

Waarom “het instellen en vergeet” is een beveiligingsaansprakelijkheid

Een gebruikelijke praktijk voor ontwikkelaars en operationele teams is het toewijzen van brede machtigingen aan NHIS om te zorgen voor een service of applicatie werkt zonder onderbreking. Zie het als het installeren van een app die vraagt ​​om toegang tot uw camerarol, microfoon en locatie. Je tikt op “toestaan” om het te laten werken en vergeet het dan.

Het is op dit moment sneller en handiger, maar het introduceert onnodige risico’s. Evenzo kan het toewijzen van overdreven brede machtigingen aan NHI’s het opstellen gemakkelijker maken, maar het creëert belangrijke beveiligingskloven, waardoor uw systemen kwetsbaar worden voor exploitatie.

Het principe van het minste privilege wordt vaak opgeofferd voor snelheid en gemak. Een NHI hoeft misschien alleen gegevens uit één databasetabel te lezen, maar deze heeft schrijftoegang tot de hele database verleend om toekomstige toestemmingsgerelateerde fouten te voorkomen.

Deze aanpak creëert een enorme beveiligingsplaats. Deze over-gemissieerde identiteiten worden hoogwaardige doelen voor aanvallers. Als een dreigingsacteur een NHI in gevaar brengt met buitensporige voorrechten, kunnen ze lateraal over systemen bewegen, hun toegang escaleren en gevoelige gegevens exfiltreren zonder ooit de referenties van een menselijke gebruiker nodig te hebben.

Vanwege hoe zelden NHI’s worden beoordeeld of ontboord, kunnen deze tolmissieve rekeningen maanden of zelfs jaren actief en kwetsbaar blijven, wachten om te worden uitgebuit.

Geen context, geen moderne controles

Moderne identiteitsbeveiliging is gebaseerd op context. Wanneer een gebruiker zich aanmeldt, kunnen we hun identiteit verifiëren met behulp van signalen zoals hun locatie, apparaat en netwerk, die vaak wordt gevraagd voor multi-factor authenticatie (MFA) als iets ongebruikelijk lijkt. NHI’s hebben niets van deze context. Ze zijn slechts code die op een server wordt uitgevoerd. Ze hebben geen apparaat, een geografische locatie of gedragspatronen die gemakkelijk kunnen worden gecontroleerd.

Omdat ze authenticeren met statische, langlevende referenties, is MFA niet van toepassing. Dit betekent dat als een referentie wordt gestolen, er geen tweede factor is om te voorkomen dat een aanvaller deze gebruikt. De afwezigheid van contextbewuste toegangscontroles maakt het ongelooflijk moeilijk om onderscheid te maken tussen legitieme en kwaadaardige NHI-activiteit totdat het te laat is.

Wees identiteiten en digitale geesten

Wat gebeurt er als de ontwikkelaar die een serviceverslag heeft gemaakt, het bedrijf verlaat? Of wanneer een toepassing die een specifiek API -token gebruikte, buiten gebruik wordt gesteld? In de meeste organisaties blijven de bijbehorende NHI’s achter. Deze “wees” of “aanhoudende” identiteiten blijven actief, met hun machtigingen intact, maar zonder eigenaar verantwoordelijk voor hun levenscyclus.

Deze digitale geesten zijn een nalevingsnachtmerrie en een beveiligingsrisico. Ze rommelig de omgeving, waardoor het moeilijker wordt om legitieme en actieve identiteiten te identificeren. Wat nog belangrijker is, ze vertegenwoordigen een verlaten, niet -inzendpunt in uw systemen. Een aanvaller die een weesidentiteit ontdekt met geldige referenties heeft een perfecte achterdeur gevonden, een die niemand bekijkt.

Hoe beveiligingsteams de controle terugwinnen

Geconfronteerd met een aanvalsoppervlak dat zich uitbreidt en autonoom wordt, verschuiven toonaangevende beveiligingsteams van reactieve fixes naar proactief bestuur. Die verschuiving begint met het herkennen van elk gecertificeerd systeem, script en agent als een identiteit die het regeren waard is.

Ontdek en inventarisatie alle NHI’s

Moderne identiteitsplatforms kunnen omgevingen zoals AWS, GCP en on-prem infrastructuur scannen naar verborgen tokens, onbeheerde servicerekeningen en overdekte rollen.

Deze tools vervangen spreadsheets en giswerk door een realtime, uniforme inventaris van zowel menselijke als niet-menselijke identiteiten. Zonder deze basis is het bestuur gewoon giswerk. Hiermee kunnen beveiligingsteams eindelijk gaan van het spelen van whack-a-mole met serviceaccounts naar het bouwen van echte controle.

Triage en tackle eerst risicovolle identiteiten

Met een volledige inventaris op zijn plaats, is de volgende stap om de potentiële explosie -straal te verkleinen. Niet alle NHI’s vormen hetzelfde risiconiveau. De sleutel is om sanering te prioriteren op basis van machtigingen en toegang. Op risico gebaseerd privilegebeheer helpt bij het identificeren van welke identiteiten gevaarlijk overtollig zijn.

Van daaruit kunnen teams systematisch de toegang tot de rechterkant van het principe van het minste privilege systematisch aansluiten. Dit omvat ook het implementeren van sterkere bedieningselementen, zoals geautomatiseerde rotatie voor geheimen en referenties. Voor de krachtigste NHI’s, zoals autonome AI -agenten, is het van cruciaal belang om “schakelaars” te hebben die onmiddellijke sessie -beëindiging mogelijk maken als abnormaal gedrag wordt gedetecteerd.

Automatiseer governance en levenscyclus

Menselijke identiteiten hebben levenscyclusbeleid: onboarding, rolveranderingen, offboarding. Niet-menselijke identiteiten hebben dezelfde strengheid nodig.

Toonaangevende organisaties automatiseren deze processen end-to-end. Wanneer een nieuwe NHI wordt gemaakt, krijgt deze een eigenaar toegewezen, gezien scoped machtigingen en toegevoegd aan een auditeerbare inventaris. Wanneer een gereedschap wordt gepensioneerd of een ontwikkelaar vertrekt, worden bijbehorende identiteiten automatisch ontroerd, waardoor de deur op weesrekeningen wordt gesloten en ervoor zorgen dat de toegang niet voor onbepaalde tijd blijft hangen.

Waarom een ​​identiteitsbeveiligingsstof de vergelijking verandert

Veel van de risico’s die verbonden zijn met niet-menselijke identiteiten hebben minder te maken met de identiteiten zelf en meer te maken met de gefragmenteerde systemen die proberen ze te beheren.

Elke cloudprovider, CI/CD -tool en AI -platform verwerkt identiteit anders. Sommigen gebruiken statische tokens. Sommige uitgifte van inloggegevens tijdens de implementatie. Sommigen vervallen helemaal niet de toegang. Zonder een gedeeld systeem voor het definiëren van eigendom, het toewijzen van machtigingen en het afdwingen van vangrails, wordt de wildgroei ongecontroleerd.

Een uniforme identiteitsbeveiligingsweefsel verandert dit door alle identiteiten, menselijk en niet-menselijk, onder een enkel besturingsvlak te consolideren. En met Okta betekent dat:

  • Automatisch opduiken van identiteiten en houdingen van de houding met Identity Security Posture Management (ISPM)
  • Toegang tot het minst-privilege toepassen met rotatie en gewelven voor gevoelige geheimen
  • Het levenscyclusbeleid definiëren voor elke identiteit, inclusief agenten en servicerekeningen
  • Uitbreiding van werklastidentiteitspatronen (kortstondige tokens, klantreferenties) en adaptieve toegang tot diensten en achtergrondopdrachten
  • Registratie van toegang tot AWS -diensten zoals Bedrock en Amazon Q, terwijl AWS IAM -uitgaven en de onderliggende agent/werkbelastingsreferenties afdwingen

In plaats van tijdelijke oplossingen samen te steken, kunnen teams eenmaal identiteitscontroles definiëren en overal toepassen. Dat betekent minder blinde vlekken, snellere responstijden en een kleiner aanvalsoppervlak, zonder tien verschillende hulpmiddelen nodig te hebben om daar te komen.

Laat NHI’s niet je grootste blinde vlek worden

AI-agenten en niet-menselijke identiteiten hervormen al uw aanvalsoppervlak. Ze vermenigvuldigen zich sneller dan de meeste teams kunnen volgen en te veel werken nog steeds zonder duidelijk eigendom, sterke controles of enige reële zichtbaarheid.

U hoeft uw strategie niet vanaf de grond op te bouwen. Maar jij Doen Moet niet-menselijke identiteiten behandelen zoals wat ze zijn: kritieke toegangspunten die hetzelfde bestuur verdienen als elke gebruiker.

Met een uniform identiteitsplatform kunnen beveiligingsteams inventariseren wat er wordt uitgevoerd, schaalbare bedieningselementen toepassen en risicovolle toegang afsnijden voordat deze wordt uitgebuit – niet daarna.

Kijk hoe Okta en AWS organisaties helpen om de NHI -sprawl te bestellen. (Download de gids) om aan de slag te gaan.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Gemini arriveert eindelijk op Google TV, te beginnen met TCL’s QM9K

Uw Google TV -apparaat wordt veel slimmer met Gemini AI

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]