PAM 
De drie pijlers die een goede maatstaf vormen voor het beoordelen van een modern identiteitsbeveiligingsplatform zijn: krachtige authenticatie en toegangscontrole, Privileged Access Management (PAM) dat permanente
Gepubliceerd op maart 23, 2026
Niet-menselijke identiteiten (NHI’s) en AI-agenten, waaronder serviceaccounts, CI/CD-aanmeldingsgegevens en cloudworkload-identiteiten, overtreffen menselijke identiteiten in bedrijfsidentiteitssystemen nu met een verhouding van 50:1 tot 100:1. Moderne platforms voor identiteitsbeveiliging moeten identiteiten aan deze bedrijfsmiddelen toewijzen en bovendien rollen, toegangsbeheerbeleid, inzicht en governance toepassen om de moderne onderneming te beveiligen.
Naarmate AI-agenten en automatisering steeds meer worden toegepast in cloud-, CI/CD- en SaaS-omgevingen, nemen het aantal bots, serviceaccounts en identiteiten voor workloads sneller toe dan beveiligingsteams deze kunnen inventariseren en beheren, wat leidt tot een wildgroei aan identiteiten. Dit gaat vaak gepaard met een wildgroei aan geheimen, omdat API-sleutels, tokens en certificaten zich vermenigvuldigen zonder duidelijke eigendomsstructuur of rotatie, waardoor er meer geprivilegieerde toegangspaden ontstaan met buitensporige machtigingen en beperkt inzicht.
In deze blog gaan we dieper in op de redenen waarom de wildgroei van identiteiten versnelt, welke veiligheids- en nalevingsrisico’s dit met zich meebrengt en hoe organisaties dit onder controle kunnen krijgen met een platform voor identiteitsbeveiliging en -beheer zoals Keeper.
Waarom wildgroei van identiteiten toeneemt
AI-agenten zijn vaak ontworpen om taken uit te voeren en niet om in een wachtrij te blijven staan totdat iemand op “goedkeuren” klikt. Geef een doel als “Een nieuwe omgeving toevoegen”, waarna de taken worden uitgevoerd: cloudbronnen opzetten, API’s aanroepen, CI/CD-taken starten, uit repo’s halen, databases doorzoeken en instellingen controleren in beheerconsoles. Om zo snel te kunnen werken, is echter machine-to-machine-toegang nodig, wat doorgaans betekent dat er serviceaccounts, workload-identiteiten, cloudrollen, certificaten en andere NHI’s moeten worden aangemaakt (of hergebruikt).
Dat is waar wildgroei van identiteiten begint. Menselijke en niet-menselijke identiteiten verspreiden zich sneller over tools en platforms dan teams duidelijke eigenaarschap kunnen toewijzen, consistente controles kunnen toepassen of toegang kunnen intrekken zodra de klus is voltooid.
De risico’s van wildgroei van identiteiten
Naarmate het aantal NHI’s toeneemt, wordt geprivilegieerde toegang verdeeld over pijplijnen, cloudrollen, integraties en scripts, vaak zonder consistent eigendom of vervaldatum. Dat creëert meer mogelijkheden voor aanvallers om binnen te komen, lateraal te bewegen en privileges te verhogen. Daarnaast maakt het audits en onderzoeken moeilijker dan nodig is.
De meeste problemen verschijnen in een paar voorspelbare patronen:
- Serviceaccounts worden aangemaakt voor een project of workload en worden vervolgens verweesd als de eigenaar verandert. Sleutels en tokens blijven actief omdat niemand verantwoordelijk is voor het verwijderen ervan.
- Automatisering wordt vaak overmatig toegevoegd om storingen te voorkomen, waardoor die rechten nog lang na afloop van de taak blijven bestaan. Permanente privileges worden stilletjes de standaard.
- Gedeelde aanmeldingsgegevens en hardgecodeerde geheimen in code, configuratiebestanden en pijplijnen maken toegang moeilijk te traceren en gemakkelijk te hergebruiken.
- Wanneer een agent of automatisering toegang krijgt tot gevoelige systemen, hebben teams moeite om eenvoudige vragen te beantwoorden, zoals: waartoe heeft deze toegang gehad, wat is er gewijzigd en waarom beschikte deze over dat toegangsniveau?
Die technische storingen leiden al snel tot een reëel operationeel risico:
- Diefstal van aanmeldingsgegevens maakt laterale beweging mogelijk en vergemakkelijkt het uitbreiden van rechten, omdat langdurig geldige geheimen en permanente machtigingen aanvallers de tijd en ruimte geven om hun toegang uit te breiden.
- De Incidentrespons vertraagt wanneer eigendom onduidelijk is en toegangspaden gefragmenteerd zijn over tools, teams en omgevingen.
- De auditbereidheid lijdt eronder wanneer goedkeuringen inconsistent zijn en bewijsmateriaal onvolledig is, vooral wanneer er geen duidelijke logs of sessieactiviteit aan een specifieke identiteit kunnen worden gekoppeld.
Hoe Keeper helpt om wildgroei van identiteiten te verminderen
Om de wildgroei van identiteiten te verminderen, gaat het er niet om elke nieuwe identiteit na te jagen zoals die zich voordoet. Het gaat erom het systeem zo aan te passen dat geprivilegieerde toegang consistent wordt beheerd, zelfs wanneer het aantal identiteiten toeneemt. Zo kan Keeper u helpen:
1. Gecentraliseerde toegangscontrole
Wanneer geprivilegieerde toegang verspreid is over cloudconsoles, CI-tools, jumpboxen en gedeelde geheimen, krijgt u geen volledig beeld. Door de workflows voor geprivilegieerde toegang te centraliseren, kunt u snel antwoord geven op de belangrijkste vragen:
- Welke identiteiten hebben geprivilegieerde toegang?
- Waar vinden de authenticaties plaats?
- Wie heeft de toegang goedgekeurd en voor hoelang?
- Wat gebeurde er tijdens de sessie?
KeeperPAM® centraliseert geprivilegieerde toegang tot servers, databases, webapps en meer over cloud- en on-premises omgevingen, met ingebouwde ondersteuning voor protocollen zoals SSH-, RDP-, VNC-, HTTPS- en databaseprotocollen.
2. Handhaaft het principe van minimale privileges met tijdsgebonden toegang.
Permanente privileges behoren tot de grootste oorzaken van wildgroei van identiteiten. AI-agenten en andere NHI’s draaien doorgaans doorlopend en teams verlenen vaak ruime rechten om te voorkomen dat automatiseringen mislukken. Na verloop van tijd veranderen die “tijdelijke” machtigingen in permanente toegangspaden die niemand opnieuw beoordeelt.
KeeperPAM helpt u om op te stappen op just-in-time toegang en het beperken van permanente privileges door toegang tot middelen tijdsgebonden te maken. Wanneer de goedgekeurde periode afloopt, wordt de toegang automatisch ingetrokken, zodat privileges niet ongemerkt blijven bestaan nadat de taak is voltooid.
3. Vermijdt indien mogelijk het blootstellen van aanmeldingsgegevens.
Om AI-agenten hun werk te laten doen, geven teams hen vaak geheimen zoals API-sleutels of tokens. Die geheimen verspreiden zich snel. Dit is het moment waarop identiteitsverspreiding gevaarlijk wordt.
KeeperPAM vermindert die blootstelling door te bemiddelen in geprivilegieerde toegang voor zowel mensen als AI-gestuurde automatisering. Met externe sessies met geprivilegieerde toegang raken gebruikers en agenten nooit de onderliggende aanmeldingsgegevens of SSH-sleutels aan. In plaats van geheimen te verdelen over mensen, agents en werklasten, wordt de toegang via het platform geleid, zodat aanmeldingsgegevens beschermd blijven en elke actie zichtbaar en controleerbaar blijft.
4. Automatiseer roulatie- en levenscyclusbeheer
Zelfs sterke detectie lost het onderliggende probleem niet op als gelekte geheimen geldig blijven. Des te langer aanmeldingsgegevens geldig blijven, des te groter is de kans dat ze worden hergebruikt, gekopieerd en vergeten, vooral wanneer NHI’s worden aangemaakt voor kortstondige workloads, terwijl de bijbehorende geheimen een langere levensduur hebben. GitGuardian meldt dat 70% van de geheimen die in 2022 in openbare repositories werden onthuld, vandaag de dag nog steeds geldig zijn, wat wijst op een roulatie- en herstelgat.
KeeperPAM ondersteunt automatische roulatie van aanmeldingsgegevens, zodat geprivilegieerde aanmeldingsgegevens niet statisch blijven. Dit verkort de blootstellingsperiode en vermindert het risico dat een gelekt aanmeldingsgegevens een blijvend toegangspad wordt.
5. Sessieactiviteiten en logboeken vastleggen voor verantwoording en audits.
Als een AI-agent of automatiseringspipeline een gevoelig systeem gebruikt, heeft u bewijs nodig.
KeeperPAM biedt de mogelijkheid om sessies met geprivilegieerde toegang op te nemen en af te spelen. Bij externe sessies kunnen scherm- en toetsenbordactiviteiten via verschillende protocollen worden opgenomen, waaronder SSH, RDP, VNC, databasesessies en webbrowsersessies. Dit zorgt ervoor dat er ook in hybride omgevingen consistente bewijzen worden vastgelegd.
Voor naleving en incidentrespons koppelt KeeperPAM opnames aan gedetailleerde logs en geautomatiseerde rapportage, zodat u snel antwoord kunt geven op auditvragen zoals wie toegang heeft geïnitieerd, wanneer dit is gebeurd, welke bron is benaderd en welke activiteit heeft plaatsgevonden. KeeperAI biedt versleutelde samenvattingen van activiteiten en beëindigt automatisch sessies met hoog risico. Gebeurtenissen kunnen ook worden geregistreerd op grote Security Information and Event Management (SIEM)-platforms., wat helpt om geprivilegieerde sessieactiviteiten te correleren met waarschuwingen van eindpunt-, cloud- en netwerktools.
Beheers wildgroei van identiteiten
AI-agenten versnellen de automatisering binnen de onderneming. Ze versnellen ook de aanmaak van NHI’s, zoals serviceaccounts, workload-identiteiten, cloudrollen en certificaten — en de geheimen die die identiteiten gebruiken, zoals API-sleutels en tokens. Wanneer die identiteiten sneller groeien dan het beheer, neemt het aantal geprivilegieerde toegangen toe, blijven permanente machtigingen bestaan en verliezen beveiligingsteams het overzicht over waartoe toegang is verkregen en waarom.
KeeperPAM helpt wildgroei van identiteiten te beheersen door geprivilegieerde toegang te centraliseren, tijdgebonden toegang met minimale privileges af te dwingen, de blootstelling van aanmeldingsgegevens te verminderen en auditklare sessiegegevens vast te leggen.
Vraag een demo aan om te zien hoe KeeperPAM kan helpen om wildgroei van identiteiten te beheersen.
