Από τον Itamar Apelblat, Διευθύνοντα Σύμβουλο και συνιδρυτή, Token Security
Εάν είστε CISO σήμερα, το agent AI πιθανότατα αισθάνεται οικείο με έναν άβολο τρόπο. Η τεχνολογία είναι νέα, αλλά το μοτίβο δεν είναι. Οι ηγέτες των επιχειρήσεων πιέζουν σκληρά για να αναπτύξουν πράκτορες AI σε ολόκληρο τον οργανισμό, ενώ οι ομάδες ασφαλείας αναμένεται να τον καταστήσουν ασφαλή χωρίς να επιβραδύνουν τίποτα.
Αυτή η ένταση υπήρχε στο παρελθόν με το cloud, το SaaS και το DevOps. Κάθε φορά, η ταυτότητα βρισκόταν στο επίκεντρο τόσο του κινδύνου όσο και της λύσης.
Το Agentic AI δεν διαφέρει. Δεν είναι πρωτίστως πρόβλημα διακυβέρνησης AI. Είναι ένα πρόβλημα ταυτότητας και οι CISO θα κατέχουν τελικά το αποτέλεσμα.
Για χρόνια, τα προγράμματα ασφαλείας σχεδιάζονταν γύρω από τις ανθρώπινες ταυτότητες. Οι εργαζόμενοι και οι εργολάβοι συγκεντρώθηκαν, οι ρόλοι καθορίστηκαν, η πρόσβαση επανεξετάστηκε και η αποβίβαση ήταν προβλέψιμη. Οι ταυτότητες μηχανών διέκοψαν αυτό το μοντέλο πολλαπλασιαζόμενοι ταχέως και εξαπλώνονται σε σύννεφα, αγωγούς και πλατφόρμες SaaS. Η διακυβέρνηση υστέρησε, αλλά οι βασικές παραδοχές εξακολουθούσαν να ισχύουν. Οι πράκτορες AI παραβιάζουν αυτές τις υποθέσεις εντελώς.
Οι πράκτορες AI αντιπροσωπεύουν μια νέα κατηγορία ταυτότητας. Συμπεριφέρονται με πρόθεση όπως οι άνθρωποι, αλλά λειτουργούν με την κλίμακα και την επιμονή των μηχανών. Είναι αποκεντρωμένα από προεπιλογή, είναι εύκολο να δημιουργηθούν και είναι ικανά να δρουν σε πολλαπλά συστήματα χωρίς άμεση ανθρώπινη συμμετοχή.
Από άποψη ταυτότητας, αυτός είναι ο πιο περίπλοκος δυνατός συνδυασμός. Αυτοί οι πράκτορες ελέγχουν την ταυτότητα, εξουσιοδοτούν και αναλαμβάνουν δράση, αλλά δεν ταιριάζουν καθαρά στα υπάρχοντα μοντέλα ταυτότητας.
Οι πράκτορες τεχνητής νοημοσύνης δεν ακολουθούν απλώς οδηγίες, αλλά αναλαμβάνουν δράση.
Δείτε πώς η Token Security βοηθά τις επιχειρήσεις να επαναπροσδιορίσουν τον έλεγχο πρόσβασης για την εποχή του Agentic AI, όπου οι ενέργειες, η πρόθεση και η λογοδοσία πρέπει να ευθυγραμμίζονται.
Αυτό έχει σημασία γιατί η ταυτότητα παραμένει η πιο κοινή βασική αιτία παραβιάσεων. Τα διαπιστευτήρια γίνονται κατάχρηση. Τα προνόμια συσσωρεύονται. Η ιδιοκτησία γίνεται ασαφής. Το Agentic AI ενισχύει όλους αυτούς τους κινδύνους ταυτόχρονα.
Σε πολλούς πράκτορες παρέχεται ευρεία πρόσβαση απλώς για να λειτουργούν γρήγορα. Ελάχιστες αξιολογούνται. Λιγότεροι είναι ποτέ παροπλισμένοι.
Μερικοί συνεχίζουν να λειτουργούν πολύ μετά την εξαφάνιση των έργων ή των ανθρώπων που τα δημιούργησαν. Για έναν εισβολέα, αυτές οι πάντα ενεργοποιημένες, υπερπρονομιακές ταυτότητες είναι ένας ιδανικός στόχος, απλά κοιτάξτε το πιο πρόσφατο από το OWASP που πληροί τις προϋποθέσεις για αυτόν τον κίνδυνο.
Τα παραδοσιακά εργαλεία IAM και PAM δεν σχεδιάστηκαν για αυτήν την πραγματικότητα. Υποθέτουν ότι οι χρήστες είναι άνθρωποι ή, στην καλύτερη περίπτωση, προβλέψιμοι φόρτοι εργασίας. Οι πράκτορες τεχνητής νοημοσύνης δεν ζουν σε έναν ενιαίο κατάλογο, δεν ακολουθούν στατικούς ρόλους και δεν παραμένουν εντός ενός μόνο ορίου πλατφόρμας.
Προσπαθώντας να τα εξασφαλίσετε με κληρονομιά, τα ανθρωποκεντρικά στοιχεία ελέγχου δημιουργούν τυφλά σημεία και ψεύτικη εμπιστοσύνη. Το να βασίζεσαι σε προμηθευτές πλατφόρμας AI για την επίλυση αυτού του προβλήματος είναι εξίσου επικίνδυνο. Όπως οι πάροχοι cloud δεν έλυσαν την ασφάλεια του cloud, οι πλατφόρμες πρακτόρων δεν θα επιλύσουν τον κίνδυνο εταιρικής ταυτότητας.
Ο δρόμος προς τα εμπρός δεν είναι ο περιορισμός της καινοτομίας, αλλά η εφαρμογή μιας πειθαρχίας που έχουν ήδη καταλάβει οι CISO: τη διαχείριση του κύκλου ζωής. Η ασφάλεια της ταυτότητας του εργατικού δυναμικού έγινε επεκτάσιμη μόνο όταν οι οργανισμοί αντιμετώπισαν την ταυτότητα ως κύκλο ζωής, από την επιβίβαση έως την αποβίβαση. Οι πράκτορες AI απαιτούν την ίδια σκέψη, προσαρμοσμένη στην ταχύτητα και την κλίμακα.
Κάθε πράκτορας χρειάζεται σαφή ιδιοκτησία που συνδέεται με τον πάροχο ταυτότητας. Ο σκοπός του πρέπει να είναι σαφής και μετρήσιμος. Η πρόσβασή του θα πρέπει να ευθυγραμμίζεται με αυτό που πραγματικά κάνει, όχι με αυτό που ήταν βολικό στη δημιουργία. Η δραστηριότητα πρέπει να είναι συνεχώς ορατή, ώστε η μετατόπιση των προνομίων να μπορεί να εντοπιστεί έγκαιρα. Και όταν οι πράκτορες βρίσκονται σε αδράνεια, τα έργα τελειώνουν ή οι ιδιοκτήτες αποχωρούν, η πρόσβαση πρέπει να ανακληθεί αυτόματα. Χωρίς αυτούς τους ελέγχους, η υιοθέτηση της τεχνητής νοημοσύνης θα καταρρεύσει τελικά με δικό της κίνδυνο.
Μια κρίσιμη αλλαγή που πρέπει να εσωτερικοποιήσουν οι CISO είναι ότι η ασφάλεια ταυτότητας πράκτορα είναι βασικά ένα πρόβλημα συσχέτισης δεδομένων. Δεν μπορείτε να κατανοήσετε τον κίνδυνο ενός πράκτορα κοιτάζοντας μόνο τον ίδιο τον πράκτορα.
Ο πραγματικός κίνδυνος ορίζεται από το τι μπορεί να φτάσει ο πράκτορας. Αυτό περιλαμβάνει τους ρόλους του cloud που αναλαμβάνει, τις εφαρμογές SaaS στις οποίες έχει πρόσβαση, τα δεδομένα που μπορεί να διαβάσει ή να τροποποιήσει και τις μεταγενέστερες ταυτότητες που χρησιμοποιεί.
Η διασφάλιση του agent AI απαιτεί συσχετισμό σημάτων ταυτότητας σε πλατφόρμες πρακτόρων, παρόχους ταυτότητας, υποδομές, εφαρμογές και επίπεδα δεδομένων.
Αυτή η συσχέτιση είναι που δίνει τη δυνατότητα στους CISO να απαντούν στις ερωτήσεις που έχουν σημασία κατά τη διάρκεια των ελέγχων, των επισκοπήσεων του διοικητικού συμβουλίου και της απάντησης σε περιστατικά. Ποιος είχε πρόσβαση; Γιατί το είχαν; Ήταν κατάλληλο; Και, πρέπει να υπάρχει ακόμα; Χωρίς αυτό το πλαίσιο, οι πράκτορες AI παραμένουν αδιαφανείς και ακυβέρνητοι. Ακολουθεί μια λίστα ελέγχου ασφαλείας για CISO που βοηθά στον προγραμματισμό για ερωτήσεις όπως αυτές.
Πολλοί οργανισμοί βρίσκονται επί του παρόντος σε μια φάση αντίδρασης, ανακαλύπτοντας την εξάπλωση των πρακτόρων αφού έχει ήδη φτάσει στην παραγωγή. Αυτή η φάση θα περάσει γρήγορα. Το επόμενο στάδιο είναι η πρόληψη.
Η πειθαρχία της ταυτότητας πρέπει να κινηθεί νωρίτερα στον κύκλο ζωής, τη στιγμή που δημιουργούνται οι πράκτορες. Οι οικοδόμοι χρειάζονται προστατευτικά κιγκλιδώματα που επιβάλλουν σαφήνεια γύρω από την πρόθεση και το πεδίο εφαρμογής, αντί να τηρούν μεγάλα προνόμια μόνο και μόνο για να το κάνουν να λειτουργήσει. Εάν αυτή η πειθαρχία απουσιάζει, οι CISO κληρονομούν τον κίνδυνο και τελικά τις συνέπειες.
Το Agentic AI γίνεται μόνιμο μέρος του τρόπου λειτουργίας των επιχειρήσεων. Το ερώτημα δεν είναι αν θα κλιμακωθεί, αλλά αν θα κλιμακωθεί με ασφάλεια. Οι CISO θα καθορίσουν την απάντηση. Εάν οι ταυτότητες των πρακτόρων παραμείνουν αδιαχείριστες, η τεχνητή νοημοσύνη θα εισαγάγει παραβιάσεις, αποτυχίες συμμόρφωσης και αντιδράσεις στελεχών που επιβραδύνουν την καινοτομία.
Εάν οι ταυτότητες πρακτόρων διέπονται από τη διαχείριση του κύκλου ζωής και την ορατότητα, η τεχνητή νοημοσύνη γίνεται βιώσιμη, ευέλικτη και ασφαλής.
Οι οργανισμοί που θα πετύχουν δεν θα είναι αυτοί που θα πουν ναι ή όχι στην agent AI. Θα είναι αυτοί που θα πουν ναι με σιγουριά, γιατί αναγνώρισαν νωρίς ότι η διασφάλιση της τεχνητής νοημοσύνης με πράκτορα αποτελεί προνόμιο ταυτότητας.
Εάν είστε έτοιμοι να αντιμετωπίσετε με σιγουριά την ασφάλεια τεχνητής νοημοσύνης σας, το Token μπορεί να σας βοηθήσει.
Προγραμματίστε μια επίδειξη εδώ ώστε να μπορούμε να σας δείξουμε τι ξεχωρίζει την πλατφόρμα μας για να διατηρήσουμε τον οργανισμό σας ασφαλή.
Χορηγός και γραμμένος από Token Security.
VIA: bleepingcomputer.com
