Analisten hebben onlangs bevestigd waar identiteitsbeveiligingsteams stilletjes voor vreesden: AI-agenten worden sneller ingezet dan bedrijven ze kunnen besturen. In hun inaugurele Market Guide for Guardian Agents stelt Gartner dat “de adoptie van AI-agenten door bedrijven versnelt en de volwassenheid van de controles op het governancebeleid overtreft.” Bedrijfsleiders kunnen toegang aanvragen tot de Gartner Market Guide for Guardian Agents, gratis verkrijgbaar bij Orchid Security.
De uitdaging ligt niet alleen in de tooling. Het is een structurele kloof in de manier waarop identiteit de afgelopen decennia is beheerd. Traditioneel identiteits- en toegangsbeheer is ontworpen voor menselijke gebruikers om in en uit te loggen op systemen. AI-agents werken anders: ze draaien continu, omvatten meerdere applicaties, verwerven opportunistisch toestemmingen en genereren activiteit op machinesnelheid. Het resultaat is nog een andere vorm van wat Orchid Security ‘identity dark matter’ noemt: een onzichtbare en onbeheerde laag van identiteitsactiviteit die onder de radar van conventionele IAM-platforms opereert.
Volgens de analyse van Orchid vindt grofweg de helft van de bedrijfsidentiteitsactiviteiten al plaats buiten de gecentraliseerde IAM-zichtbaarheid. Waarom? Want hoewel veel identiteiten zich in centrale mappen bevinden en controles beschikbaar zijn in centrale IAM-tools, leven net zoveel identiteiten en controles in de applicaties zelf. Dit is de uitdaging van identiteits- en toegangsbeheer (IAM): hoe beheer ik wat ik niet eens kan zien?
Maar goed nieuws: één antwoord is: “vraag het aan Orchid.” Hier zijn enkele voorbeelden.
Drie vragen die identiteitsteams nu stellen
Ask Orchid is precies hiervoor de AI-agent die in het Orchid-platform is ingebouwd. Het past identiteitsobservatie toe bij de bron – binnen applicaties, op de binaire en configuratielaag – en beantwoordt vragen in natuurlijke taal over het volledige identiteitsdomein. Hier zijn drie van de vragen die leiders op het gebied van beveiliging en compliance nu stellen.
Vraag 1: “Welke AI-agenten draaien in onze omgeving?”
Dit is de vraag die de meeste ondernemingen nog niet kunnen beantwoorden – en misschien wel de belangrijkste om te stellen. AI-agenten worden verspreid over bedrijfseenheden, ingebed in SaaS-platforms, geïntegreerd via API’s en intern gebouwd door ontwikkelingsteams. De bestuursprocessen hebben geen gelijke tred gehouden. Veel organisaties hebben geen gecentraliseerde inventaris van de agenten die binnen hun omgeving actief zijn, laat staan inzicht in wat die agenten doen, tot welke gegevens ze toegang hebben, of welke identiteiten ze daarvoor gebruiken.
“Ask Orchid pakt dit direct aan. Op de vraag “Welke AI-agents draaien er in onze omgeving?” past het identiteitsobservatie toe in elke applicatie – waarbij gebruikersaccounts, authenticatiestromen, autorisatierechten en runtime-activiteit bij de bron worden onderzocht. Het platform markeert niet simpelweg agenten die actief zijn tijdens een monitoringvenster. Het biedt:
- Automatische detectie van AI-agenten, inclusief hun waarschijnlijke doel en risicoprofiel
- Identificatie van gebieden waarvan is bevestigd dat AI-agenten niet in gebruik zijn, voor een compleet beeld
- Aanbevolen acties om passend toezicht te helpen opzetten
Voor leiders op het gebied van governance, risico en compliance vertegenwoordigt deze mogelijkheid het verschil tussen het beheren van de adoptie van AI en het beheer ervan.
Vraag 2: “Hoe conform zijn we momenteel aan de NIST-identiteitsvereisten?”
Voor zakelijke CISO’s is het naleven van de regelgeving een dubbele verplichting: zowel een wettelijke vereiste als een beveiligingsbasis. Maar omdat de applicatiedomeinen voortdurend evolueren, was het kennen van bijvoorbeeld de feitelijke status van NIST-naleving op elk gegeven moment historisch gezien een externe audit door een derde partij vereist.
“Ask Orchid” verandert die vergelijking. Op de directe vraag: “Hoe voldoen we nu aan de identiteitsvereisten van NIST CSF?” — het onderzoekt hoe identiteitscontroles binnen elke applicatie worden geïmplementeerd, op binair niveau, waar ze uiteindelijk worden gedefinieerd. Vervolgens vergelijkt het wat feitelijk is gecodeerd met wat NIST vereist, waarbij zowel het bestaande 1.1-framework als de bijgewerkte 2.0-versie worden behandeld. De uitvoer is geen algemene scorekaart. Het omvat:
- Een duidelijk beeld van welke controles goed zijn geïmplementeerd en waar er lacunes zijn
- Details op applicatieniveau, niet alleen op platformniveau of toolspecifieke samenvattingen
- Een geprioriteerde routekaart voor herstel met uitvoerbare volgende stappen
In plaats van te wachten tot een auditor achteraf kwetsbaarheden aan het licht brengt, kunnen CISO’s nu hun compliance-houding op verzoek beoordelen en aanpakken – vóór de audit, en niet daarom.
Vraag 3: “Hebben we statische gegevens die onmiddellijk moeten worden gerouleerd?”
Statische inloggegevens zijn een van de oudste en meest hardnekkige problemen op het gebied van identiteitsbeveiliging. Serviceaccounts, API-toegang, machine-to-machine tokens, ‘break glass’-inloggegevens: ze stapelen zich op in elke onderneming, worden vaak om legitieme redenen uitgegeven en vervolgens vergeten. Als ze onbeheerd worden gelaten, worden ze een van de waardevolste doelwitten voor aanvallers en een van de meest voorkomende steunpunten voor AI-agenten die door hun ontwerp donkere materie uitbuiten.
Op de vraag “Hebben we statische inloggegevens die onmiddellijk moeten worden gerouleerd?”, onderzoekt Ask Orchid de inloggegevens voor elke applicatie – niet alleen de inloggegevens die zijn verbonden met een centrale identiteitsprovider, maar ook die in de cloud, on-premise en in lokale accounts. Het antwoord omvat:
- Een volledige inventaris van statische referenties in de hele omgeving
- Waar ze wonen en waarom ze moeten worden gerouleerd
- Een risicogelaagde prioritering, waarbij wordt vastgesteld welke referenties de meest urgente blootstelling vormen
Credential intelligence die voorheen onzichtbaar was, wordt binnen enkele minuten geleverd.
Het diepere probleem: identiteit Donkere materie versnelt
De drie bovenstaande scenario’s zijn geen randgevallen. Ze vertegenwoordigen de kernuitdaging waarmee beveiligingsteams van bedrijven vandaag de dag worden geconfronteerd: het identiteitsdomein is veel verder gegroeid dan waar traditionele IAM-platforms voor waren ontworpen. Applicaties authenticeren gebruikers lokaal. Serviceaccounts worden ingericht en vergeten. AI-agenten krijgen nieuwe identiteiten met brede machtigingen. De som van al deze onbeheerde activiteiten (en meer) – identiteits-donkere materie – breidt zich uit in een tempo dat overeenkomt met, en in veel gevallen zelfs groter is dan het tempo van de adoptie van AI zelf.
Wat dit bijzonder moeilijk maakt, is het structurele karakter van de kloof. Het is niet simpelweg een kwestie van meer connectoren toevoegen aan een bestaand IAM-platform. Het probleem is dat de meeste identiteitstools stoppen bij de inloggebeurtenis. Het observeert niet wat er binnen applicaties gebeurt na authenticatie.
Hoe Orchid Security de kloof dicht
Orchid Security is precies voor deze omgeving gebouwd. Het werkt binnen applicaties, bij de bron van identiteitsactiviteit, in plaats van aan de rand van een gecentraliseerd IAM-systeem. Door middel van binaire analyse en dynamische instrumentatie inspecteert Orchid de native authenticatie- en autorisatielogica rechtstreeks binnen applicaties – zonder dat hiervoor API’s, broncodewijzigingen of langdurige integraties nodig zijn. Dit geeft het inzicht in de helft van de bedrijfsidentiteitsactiviteiten die buiten de conventionele IAM-zichtbaarheid vallen, inclusief elke AI-agent die op het hele landgoed actief is.
Erkend als een representatieve leverancier in Gartner’s inaugurele Market Guide for Guardian Agents – beschreven als een leverancier ‘die de identiteiten/toegang voor AI-agenten beheert met een zero-trust beleid en governance’ – levert Orchid wat zij noemt identiteitsautoriteit over het volledige spectrum: van waarneembaarheid tot orkestratie, voor elke identiteit, menselijk en niet-menselijk.
Vooral voor agent-AI is de aanpak gebaseerd op vijf principes die de veilige adoptie van AI-agenten bepalen:
- Attributie van mens naar agent: Elke actie van een AI-agent is gekoppeld aan een verantwoordelijke menselijke eigenaar, waardoor de verantwoordelijkheid voor machinegestuurde activiteiten wordt gewaarborgd
- Uitgebreide activiteitenaudit: Er wordt een volledige keten van controle vastgelegd – Agent → Tool/API → Actie → Doel – waardoor nalevingsrapportage en incidentrespons mogelijk worden
- Dynamische, contextbewuste vangrails: Toegangsbeslissingen worden continu geëvalueerd, gebaseerd op realtime context, de gevoeligheid van de doelbron en de rechten van de menselijke eigenaar, waarbij algemene privileges worden vervangen door doelgebonden autorisatie
- Minste privilege: Just-in-Time-verhoging vervangt aanhoudende “god-modus”-toegang tot AI-agents en machine-identiteiten
- Geautomatiseerd herstel: Risicovol gedrag leidt tot automatische reacties, waaronder het rouleren van inloggegevens en het beëindigen van sessies, zonder dat handmatige tussenkomst vereist is
Voor meer informatie, bekijk Orchid’s platform voor vangrails op het gebied van autonome identiteit.
Laatste gedachte
Voor beveiligingsteams die vragen of ze niet-beheerde AI-agents in hun omgeving hebben, niet-geroteerde inloggegevens in vergeten applicaties, compliance-lacunes die hun laatste audit heeft gemist, biedt Orchid de antwoorden – en het hersteltraject – zonder te wachten op een inbreuk om ze zichtbaar te maken.
Bedrijfsleiders die verantwoordelijk zijn voor cybersecurity, identiteits- en toegangsbeheer en AI-agentbeheer kunnen toegang aanvragen tot de Gartner Market Guide for Guardian Agents, complimenten van Orchid Security.
Gartner onderschrijft geen enkele leverancier, product of dienst die in zijn publicaties wordt afgebeeld. Gartner-publicaties weerspiegelen de mening van de onderzoeksorganisatie van Gartner en mogen niet worden opgevat als feitelijke verklaringen.
