Как управлять расползанием идентификационных данных в эпоху агентов ИИ и нечеловеческих идентификаторов (NHI)

Нечеловеческие идентичности (NHI) и агенты ИИ, включая сервисные аккаунты, учетные данные CI/CD и облачные идентификационные данные, теперь превосходят человеческие идентичности в корпоративных системах идентификации в пропорциях 50–100 к 1. Современные платформы обеспечения безопасности идентификационных данных должны присваивать идентификаторы этим активам, а также применять роли, политики контроля доступа, обеспечивать прозрачность и управление для защиты современного предприятия.

По мере масштабирования агентов ИИ и автоматизации в облачных средах, средах CI/CD и SaaS количество ботов, учетных записей служб и идентификаторов рабочих нагрузок увеличивается быстрее, чем команды безопасности успевают их инвентаризировать и управлять ими. Это приводит к разрастанию идентификационных данных. Это часто сопровождается распространением секретов: API-ключи, токены и сертификаты размножаются без четкого владения или ротации, создавая более привилегированные пути доступа с чрезмерными правами и ограниченной видимостью.

В этом блоге мы разберем, почему ускоряется рост числа идентификационных данных, какие риски для безопасности и соответствия нормативным требованиям он создает, и как организации могут взять это под контроль с помощью платформы безопасности и управления идентификационными данными, такой как Keeper.

Почему растет распространение идентичности

ИИ-агенты часто созданы для выполнения работы, а не для того, чтобы стоять в очереди и ждать, пока кто-то нажмет «одобрить». Поставьте перед системой задачу, например, «создать новую среду», и она начнет выполнять работу: развертывать облачные ресурсы, вызывать API, запускать задания CI/CD, получать данные из репозиториев, запрашивать базы данных и проверять настройки в консолях администратора. Но чтобы двигаться так быстро, требуется межмашинный доступ, что обычно означает создание (или повторное использование) учетных записей служб, идентификаторов рабочих нагрузок, облачных ролей, сертификатов и других NHI.

Именно здесь происходит разрастание идентификационных данных. Человеческие и нечеловеческие идентичности распространяются по различным инструментам и платформам быстрее, чем команды успевают четко определить ответственных лиц, применить согласованные меры контроля или отозвать доступ после завершения работы.

Риски распространения идентификационных данных

По мере увеличения числа NHI привилегированный доступ распределяется между конвейерами, облачными ролями, интеграциями и скриптами, часто без постоянного владения или истечения срока действия. Это создает больше возможностей для злоумышленников проникнуть в систему, перемещаться по сети и повышать привилегии, а также усложняет проведение проверок и расследований.

Большинство проблем проявляются по нескольким предсказуемым схемам.

• Учетные записи служб создаются для проекта или рабочей нагрузки, а затем становятся бесхозными при смене владельца. Ключи и токены остаются активными, так как никто не несет ответственности за их удаление.
• Часто при автоматизации резервируются избыточные ресурсы для предотвращения сбоев, и эти разрешения сохраняются долго после завершения задачи. Постоянные привилегии незаметно становятся вариантом по умолчанию.
• Общие учетные данные и секреты, жестко запрограммированные в коде, файлах конфигурации и процессах, затрудняют отслеживание доступа и упрощают повторное использование.
• Когда агент или автоматизация взаимодействуют с конфиденциальными системами, команды сталкиваются с трудностями при ответе на базовые вопросы, такие как: к чему они получили доступ, что изменили и почему у них был такой уровень доступа.

Эти технические сбои быстро превращаются в реальный операционный риск:

• Кража учетных данных облегчает боковое перемещение и упрощает повышение привилегий, поскольку длительно хранящиеся секреты и постоянные разрешения предоставляют злоумышленникам время и возможности для расширения доступа.
• Реагирование на инциденты замедляется, когда права собственности неясны, а пути доступа фрагментированы между инструментами, командами и средами.
• Готовность к аудиту страдает, когда одобрения непоследовательны, а доказательства неполны, особенно если вы не можете составить четкие логи или активность сессии, привязанную к конкретной идентичности.

Как Keeper помогает уменьшить разрастание идентичностей

Уменьшение количества идентификаций не сводится к поиску каждой новой идентификации по мере ее появления. Речь идет о необходимости изменения системы таким образом, чтобы привилегированный доступ управлялся последовательно, даже при увеличении числа удостоверений. Вот как Keeper может помочь:

1. Обеспецивает централизованный контроль привилегированного доступа

Когда привилегированный доступ разбросан по облачным консолям, инструментам CI, промежуточным узлам и общим секретам, Вы не можете увидеть полную картину. Централизация рабочих процессов с привилегированным доступом помогает быстро ответить на основные вопросы:

• Какие учетные записи имеют привилегированный доступ?
• Где они проходят аутентификацию?
• Кто одобрил доступ и на какое время?
• Что произошло во время занятия?

KeeperPAM^® централизирует привилегированный доступ к серверам, базам данных, веб-приложениям и другим в облачных и локальных средах, с встроенной поддержкой таких протоколов, как SSH, RDP, VNC, HTTPS и общих баз данных.

2. Обеспечивает минимальные привилегии с доступом, ограниченным по времени

Привилегия постоянного статуса является одним из основных факторов, способствующих распространению идентичности. Агенты ИИ и другие NHI, как правило, работают непрерывно, а команды часто предоставляют широкие разрешения, чтобы автоматизация не прерывалась. Со временем эти «временные» разрешения превращаются в постоянные пути доступа, к которым никто не возвращается.

KeeperPAM помогает вам перейти к доступу «точно в срок» и сократить постоянные привилегии, разрешая доступ к ресурсам на ограниченное время. По окончании разрешенного периода доступ автоматически отзывается, поэтому привилегии не сохраняются надолго после завершения задачи.

3. Избегает раскрытия учетных данных по возможности

Чтобы агенты ИИ могли выполнять свои задачи, команды часто предоставляют им секреты, такие как ключи API или токены. Эти секреты быстро распространяются, и именно тогда разрастание идентификаторов становится опасным.

KeeperPAM снижает эту уязвимость, предоставляя привилегированный доступ как для людей, так и для автоматизации на базе искусственного интеллекта. В привилегированных удаленных сессиях пользователи и агенты никогда не имеют доступа к учетным данным или ключам SSH. Вместо распределения секретов между людьми, агентами и рабочими нагрузками доступ осуществляется через платформу, поэтому учетные данные остаются защищенными, а каждое действие — видимым и поддающимся аудиту.

4. Автоматизирует ротацию и управление жизненным циклом.

Даже надежное обнаружение не устраняет основную проблему, если утечка секретных данных остается действительной. Чем дольше существуют учетные данные, тем выше вероятность их повторного использования, копирования и забывания, особенно если учетные данные NHI создаются для кратковременных рабочих нагрузок, но лежащие в их основе секреты остаются действительными на протяжении длительного времени. GitGuardian сообщает, что 70 % секретов, раскрытых в общедоступных репозиториях в 2022 году, остаются актуальными и сегодня, что указывает на пробел в ротации и устранении.

KeeperPAM поддерживает автоматическую ротацию учетных данных. Таким образом, привилегированные учетные данные не остаются неизменными. Это сокращает период раскрытия информации и снижает риск того, что одна утечка учетных данных станет надежным каналом доступа.

5. Фиксирует активности сеанса и журналов для обеспечения подотчетности и аудита

Если агент искусственного интеллекта или конвейер автоматизации затрагивает конфиденциальную систему, вам нужны доказательства.

KeeperPAM обеспечивает запись и воспроизведение сеансов для привилегированного доступа. Удаленные сессии могут записывать активность экрана и клавиатуры в различных протоколах, включая SSH, RDP, VNC, сессии баз данных и веб-браузеров, создавая надежные доказательства даже в гибридных средах.

Для обеспечения соответствия нормативным требованиям и реагирования на инциденты KeeperPAM объединяет записи с подробными журналами и автоматизированными отчетами, помогая быстро отвечать на вопросы аудита, такие как: кто инициировал доступ, когда это произошло, к какому ресурсу был осуществлен доступ и какие действия были выполнены. KeeperAI предоставляет зашифрованные сводки действий и автоматически завершает сеансы с высоким риском. События также могут регистрироваться в основных платформах управления информационной безопасностью и событиями (SIEM), что помогает сопоставлять активность привилегированных сеансов с оповещениями из инструментов для конечных точек, облака и сети.

Возьмите под контроль расползание идентификаторов

Агенты искусственного интеллекта ускоряют автоматизацию на предприятии, а также ускоряют создание NHI, таких как учетные записи служб, идентификаторы рабочих нагрузок, облачные роли и сертификаты — и секреты, которые эти идентификаторы используют, такие как ключи API и токены. Когда идентичности растут быстрее, чем управление, привилегированный доступ распространяется, постоянные разрешения сохраняются, а службы безопасности теряют возможность отслеживать, что было доступно и почему.

KeeperPAM помогает контролировать разрастание идентификационных данных, централизуя привилегированный доступ, обеспечивая минимальные привилегии с ограничением по времени, снижая риск утечки учетных данных и собирая доказательства сессий, готовые к аудиту.

Запросите демонстрацию, чтобы узнать, как KeeperPAM может помочь взять под контроль разрастание идентификационных данных.