Jak zarządzać rozprzestrzenianiem się tożsamości w erze agentów AI i NHI

Tożsamości nieosobowe (NHIs) oraz agenci AI – w tym konta usługowe, poświadczenia CI/CD i tożsamości obciążeń roboczych w chmurze – obecnie przewyższają liczebnie tożsamości osobowe w systemach zarządzania tożsamością w przedsiębiorstwach w stosunku 50:1-100:1. Nowoczesne platformy bezpieczeństwa tożsamości muszą przypisywać tożsamości do tych zasobów, a ponadto stosować role, zasady kontroli dostępu, widoczność i zarządzanie w celu zabezpieczenia nowoczesnego przedsiębiorstwa.

W miarę jak agenci AI i automatyzacja skalują się w środowiskach chmurowych, CI/CD i SaaS, boty, konta usług i tożsamości obciążeń mnożą się szybciej, niż zespoły ds. bezpieczeństwa są w stanie je inwentaryzować i zarządzać nimi, co prowadzi do rozrostu tożsamości. Jest to często powiązane z rozprzestrzenianiem się tajnych danych, ponieważ klucze API, tokeny i certyfikaty mnożą się bez wyraźnego właściciela lub rotacji, tworząc bardziej uprzywilejowane ścieżki dostępu z nadmiernymi uprawnieniami i ograniczoną widocznością.

W tym wpisie na blogu wyjaśnimy, dlaczego rozprzestrzenianie się tożsamości przyspiesza, jakie zagrożenia dla bezpieczeństwa i zgodności z przepisami stwarza oraz w jaki sposób organizacje mogą zapanować nad tym zjawiskiem dzięki platformie do zarządzania bezpieczeństwem i tożsamościami, takiej jak Keeper.

Dlaczego rozprzestrzenianie się tożsamości wzrasta

Agenci AI są często tworzeni w celu wykonywania, a nie siedzenia w kolejce i czekania, aż ktoś kliknie „Zatwierdź”. Należy wyznaczyć cel typu „Utwórz nowe środowisko”, a zacznie ono wykonywać swoją pracę: uruchamiać zasoby w chmurze, wywoływać interfejsy API, uruchamiać zadania CI/CD, pobierać dane z repozytoriów, przeszukiwać bazy danych i sprawdzać ustawienia w konsolach administratora. Ale aby poruszać się tak szybko, potrzebuje dostępu typu maszyna-maszyna, co zwykle oznacza tworzenie (lub ponowne wykorzystanie) kont usługowych, tożsamości obciążeń, ról w chmurze, certyfikatów i innych NHI.

W tym miejscu wkrada się rozproszenie tożsamości. Tożsamości osobowe i nieosobowe rozprzestrzeniają się między narzędziami i platformami szybciej, niż zespoły mogą przypisać jasną własność, zastosować spójne kontrole lub cofnąć dostęp po zakończeniu pracy.

Ryzyko nadmiernego rozprzestrzeniania się tożsamości

Wraz z mnożeniem się NHI uprzywilejowany dostęp jest rozproszony między potokami, rolami w chmurze, integracjami i skryptami – często bez jednoznacznie przypisanego właściciela lub terminu wygaśnięcia. Stwarza to więcej sposobów dla atakujących, aby dostać się do systemu, poruszać się w nim lateralnie i eskalować uprawnienia, a także sprawia, że audyty i dochodzenia są trudniejsze niż powinny.

Większość problemów pojawia się w kilku przewidywalnych wzorcach:

• Konta usługowe są tworzone na potrzeby projektu lub obciążenia roboczego, a następnie stają się osierocone, gdy zmienia się właściciel. Klucze i tokeny pozostają aktywne, ponieważ nikt nie jest odpowiedzialny za ich wycofanie.
• Automatyzacja jest często nadmiernie przydzielana, aby uniknąć awarii, a następnie te uprawnienia utrzymują się długo po zakończeniu zadania. Stały przywilej po cichu staje się wartością domyślną.
• Udostępnione dane uwierzytelniające i tajne dane zakodowane na twardo w kodzie, plikach konfiguracyjnych i rurociągach sprawiają, że dostęp jest trudny do śledzenia i łatwy do ponownego użycia.
• Kiedy agent lub automatyka dotyka wrażliwych systemów, zespoły mają trudności z odpowiedzią na podstawowe pytania, takie jak do czego uzyskał dostęp, co zmienił i dlaczego miał taki poziom dostępu.

Te awarie techniczne szybko przekształcają się w realne ryzyko operacyjne:

• Kradzież danych uwierzytelniających umożliwia ruch lateralny i ułatwia eskalację uprawnień, ponieważ długoterminowe dane uwierzytelniające i stałe uprawnienia zapewniają atakującym czas i możliwość rozszerzenia dostępu.
• Gdy własność jest niejasna, a ścieżki dostępu są rozdrobnione między różnymi narzędziami, zespołami i środowiskami, reagowanie na incydenty ulega spowolnieniu.
• Gdy zatwierdzenia są niespójne, a dowody są niekompletne, gotowość do audytu cierpi, zwłaszcza wtedy, gdy nie można utworzyć wyraźnych dzienników lub aktywności sesji powiązanych z określoną tożsamością.

Jak Keeper pomaga ograniczyć rozprzestrzenianie się tożsamości

Zmniejszenie rozprzestrzeniania się tożsamości nie polega na ściganiu każdej nowej tożsamości, która się pojawia. Chodzi o zmianę systemu, aby uprzywilejowany dostęp był zarządzany konsekwentnie, nawet gdy wzrasta liczba tożsamości. Oto, jak Keeper może pomóc:

1. Scentralizowana kontrola dostępu uprzywilejowanego

Gdy dostęp uprzywilejowany jest rozproszony na konsolach w chmurze, narzędziach CI, jump boxach i udostępnionych tajnych danych, nie mogą Państwo zobaczyć pełnego obrazu. Centralizacja przepływów pracy uprzywilejowanego dostępu pomaga szybko odpowiedzieć na podstawowe pytania:

• Które tożsamości mają uprzywilejowany dostęp?
• Gdzie się uwierzytelniają?
• Kto zatwierdził dostęp i na jak długo?
• Co się wydarzyło podczas sesji?

KeeperPAM^® centralizuje uprzywilejowany dostęp do serwerów, baz danych, aplikacji internetowych i innych w środowiskach chmurowych i lokalnych, oferując wbudowaną obsługę protokołów, takich jak SSH, RDP, VNC, HTTPS i popularnych baz danych.

2. Egzekwuje najmniejsze uprawnienia z dostępem ograniczonym czasowo

Stałe uprawnienia należą do największych czynników rozprzestrzeniania się tożsamości. Agenci AI i inni NHI działają zazwyczaj nieprzerwanie, a zespoły często udzielają szerokich uprawnień, aby nie psuć automatyzacji. Z biegiem czasu te „tymczasowe” uprawnienia zamieniają się w stałe ścieżki dostępu, których nikt nie odwiedza.

KeeperPam pomaga przejść do dostępu just-in-time i ograniczyć uprawnienia związane ze stagnacją, umożliwiając ograniczenie czasowo dostępu do zasobów. Po zakończeniu zatwierdzonego okna dostęp jest automatycznie cofany, dzięki czemu uprawnienia nie utrzymują się po cichu długo po zakończeniu zadania.

3. Unikanie ujawniania danych uwierzytelniających, gdy tylko jest to możliwe

Aby umożliwić agentom AI wykonywanie swoich zadań, zespoły często dostarczają im tajnych danych, takich jak klucze API lub tokeny. Te sekrety szybko się rozprzestrzeniają – właśnie wtedy rozproszenie tożsamości staje się niebezpieczne.

KeeperPAM zmniejsza to narażenie, pośrednicząc w uprzywilejowanym dostępie zarówno dla ludzi, jak i automatyzacji opartej na sztucznej inteligencji. Dzięki zdalnym sesjom uprzywilejowanym użytkownicy i agenci nigdy nie mają dostępu do bazowych danych uwierzytelniających ani kluczy SSH. Zamiast rozpowszechniać tajne dane między ludźmi, agentami i zadaniami, dostęp jest kierowany przez platformę, dzięki czemu dane uwierzytelniające pozostają chronione, a każda akcja pozostaje widoczna i podlega audytowi.

4. Automatyzacja rotacji i zarządzania cyklem życia

Nawet silne wykrycie nie rozwiązuje podstawowego problemu, jeśli ujawnione tajne dane pozostaną ważne. Im dłużej dane uwierzytelnienia żyją, tym bardziej prawdopodobne jest, że zostaną ponownie wykorzystane, skopiowane i zapomniane, zwłaszcza gdy NHI są tworzone dla krótkotrwałych obciążeń, lecz tajne dane za nimi stojące są długotrwałe. GitGuardian donosi, że 70% tajnych danych ujawnionych w publicznych repozytoriach w 2022 roku jest nadal aktualne, co wskazuje na lukę rotacji i naprawiania.

KeeperPAM obsługuje automatyczną rotację danych uwierzytelniających, dzięki czemu uprzywilejowane nie pozostają one statyczne. Skraca to okno ekspozycji i zmniejsza ryzyko, że wyciekłe dane uwierzytelniające staną się trwałą ścieżką dostępu.

5. Przechwytywanie aktywności sesji i dzienników w celu zapewnienia rozliczalności i audytów

Jeśli agent AI lub potok automatyzacji dotyka wrażliwego systemu, potrzebne są dowody.

KeeperPAM zapewnia nagrywanie i odtwarzanie sesji dla sesji z uprzywilejowanym dostępem. Sesje zdalne mogą rejestrować aktywność ekranu i klawiatury we wszystkich protokołach, w tym: SSH, RDP, VNC, sesjach baz danych i sesjach przeglądarki internetowej, tworząc spójne dowody nawet w środowiskach hybrydowych.

W celu zapewnienia zgodności i reagowania na incydenty KeeperPAM łączy nagrania ze szczegółowymi dziennikami i automatycznym raportowaniem, aby pomóc Państwu szybko odpowiedzieć na pytania audytu, takie jak kto zainicjował dostęp, kiedy wystąpił, do którego zasobu uzyskano dostęp i jakie działania miały miejsce. KeeperAI zapewnia szyfrowane podsumowania aktywności i automatycznie kończy sesje wysokiego ryzyka. Zdarzenia mogą być również rejestrowane na głównych platformach zarządzania informacjami i zdarzeniami bezpieczeństwa (SIEM), co pomaga skorelować uprzywilejowaną aktywność sesji z alertami z punktów końcowych, chmury i narzędzi sieciowych.

Kontrola nad rozprzestrzenianiem się tożsamości

Agenci AI przyspieszają automatyzację w całym przedsiębiorstwie, a także przyspieszają tworzenie NHI, takich jak konta usługowe, tożsamości obciążeń, role w chmurze i certyfikaty, a także tajne dane używane przez te tożsamości, takie jak klucze API i tokeny. Kiedy te tożsamości rozwijają się szybciej niż zarządzanie, uprzywilejowany dostęp rozprzestrzenia się, utrzymują się stałe uprawnienia, a zespoły bezpieczeństwa tracą widoczność tego, do czego uzyskano dostęp i dlaczego.

KeeperPAM pomaga kontrolować rozprzestrzenianie się tożsamości poprzez centralizację uprzywilejowanego dostępu, egzekwowanie ograniczonych czasowo najmniejszych uprawnień, ograniczenie ekspozycji na dane uwierzytelniające i przechwytywanie gotowych do audytu dowodów sesji.

Warto poprosić o wersję demonstracyjną, aby zobaczyć, jak KeeperPAM może pomóc zapanować nad rozprzestrzenianiem się tożsamości.