Как теневой ИИ создает кризис неуправляемой идентичности

Сотрудники внедряют инструменты искусственного интеллекта, агентов и автоматизации быстрее, чем организации могут ими управлять. Настоящая опасность возникает, когда эти инструменты напрямую подключаются к внутренним системам и конфиденциальным данным под предлогом повышения производительности. Среди сотрудников, использующих ИИ на работе, значительная часть делает это без официального одобрения ИТ-отдела или службы безопасности, что обычно называют теневым ИИ.

Многие организации до сих пор рассматривают теневой ИИ как проблему утечки данных, в то время как на самом деле это становится проблемой управления идентификацией. Каждая несанкционированная интеграция ИИ незаметно создает новые учетные записи, учетные данные и идентификаторы, которые действуют вне рамок традиционных средств контроля доступа. Организации должны расширить контроль безопасности, ориентированный на идентичность, для всех человеческих и нечеловеческих идентичностей (NHI), подключенных к их системам, чтобы восстановить видимость, обеспечить управление и снизить общие риски безопасности.

Что на самом деле создает теневой ИИ

Shadow AI быстро распространяется, потому что современные инструменты искусственного интеллекта практически не требуют настройки. Сотрудники могут подключать приложения, автоматизировать рабочие процессы и обрабатывать данные практически мгновенно, без привлечения ИТ-специалистов. Сами инструменты редко являются причиной проблем. Риск возникает из-за того, с чем именно сотрудники их связывают. Как только платформы искусственного интеллекта получают доступ к платформам SaaS, облачным средам и внутренним базам данных, они вводят учетные данные и идентификаторы, о существовании которых большинство групп безопасности не знают и для управления которыми у них нет соответствующей структуры.

Каждая несанкционированная интеграция ИИ создает новые идентификационные данные и учетные данные, которые никто не проверяет. Каждый из них пополняет растущий список учетных записей, точек доступа и секретов, которые ИТ-отдел никогда не создавал и, следовательно, не может отозвать. Когда сотрудники создают учетные записи для инструментов ИИ, они создают идентичности с собственным объемом доступа, правами на данные и историей сессий. Их количество быстро растет. ИТ в итоге оказывается в невидимом кластере неуправляемых идентичностей, разбросанных по внешним платформам, отсутствует видимость того, к чему они могут получить доступ, нет возможности проверить использование и отсутствует процесс деактивации при уходе сотрудника.

Когда сотрудники идут дальше и подключают инструменты ИИ к внутренним системам, они внедряют служебные учетные записи в организационную среду. Эти NHI обычно работают исключительно за пределами управления жизненным циклом, ротации учетных данных и управления доступом. И каждая интеграция генерирует учетные данные, такие как ключи API, токены и секреты, которые часто сохраняются в расширениях браузера или файлах конфигурации за пределами периметра безопасности. Эти учетные данные редко меняются и почти никогда не проверяются.

Создаваемый этим пробел в управлении идентификацией

Традиционная система безопасности идентичности была создана для человеческих пользователей, доступа, предоставляемого ИТ, и определенных сетевых периметров. Shadow AI одновременно подрывает все три предположения.

Во многих корпоративных средах нечеловеческие идентичности (NHI) уже превышают количество человеческих идентичностей. ИИ-агенты, имеющие доступ к производственной базе данных, представляют тот же уровень риска, связанного с привилегированным доступом, что и администратор-человек с аналогичными правами, но их предоставление доступа часто осуществляется без такой же тщательности, мониторинг проводится без такой же согласованности, а удаление доступа — без соблюдения той же процедуры.

Наши собственные исследования подтверждают это. Отчет Keeper Security «Безопасность идентификации на скорости машин», в котором говорится, что 43% лиц, принимающих решения в области кибербезопасности по всему миру, считают управление нечеловеческими идентичностями, связанными с ИИ, одним из главных пробелов в своих программах управления идентификацией. Организации, которые осознают этот пробел, опережают тех, кто еще не обратил на него внимания.

Что организациям нужно делать иначе

Ответ на теневой искусственный интеллект заключается не в ужесточении политики или более широких запретах. Она расширяет контроль безопасности, ориентированный на идентичность, чтобы учитывать каждую идентичность, которую создают инструменты ИИ — как человеческие, так и машинные, и делает управление непрерывным, а не периодическим.

Получите полную информацию об использовании искусственного интеллекта

Организации не могут управлять тем, чего не видят; им необходимо постоянно выявлять все разрешенные и неразрешенные инструменты искусственного интеллекта, агенты, средства автоматизации и интеграции, используемые в их средах. Отслеживая свои сети, организации могут контролировать использование приложений и разрабатывать меры для ограничения несанкционированных инструментов ИИ, одновременно выявляя все NHI, которые эти инструменты создают и которые изначально не были предусмотрены службой ИТ. Помимо обнаружения, организации должны внедрять мониторинг и запись привилегированных сеансов в реальном времени для поддержания полной видимости рабочих процессов, управляемых искусственным интеллектом, для непрерывного аудита, а не периодических ретроспективных проверок.

Обеспечьте безопасность идентичности как для людей, так и для машин

Каждый NHI должен подвергаться той же аутентификации, авторизации и управлению жизненным циклом, что и человеческая идентичность: доступ с наименьшими привилегиями, автоматическая ротация учетных данных и определенное отключение, связанное с жизненным циклом соответствующего человека-владельца или рабочей нагрузки. Те же самые меры контроля, которые применяются к привилегированным учетным записям пользователей, должны применяться и к агентам искусственного интеллекта и служебным учетным записям, работающим параллельно с ними.

Предоставьте сотрудникам подходящий вариант развития

Сотрудники, которые вносят вклад в теневой ИИ, часто делают это не потому, что обходят безопасность, а потому, что не знают, что существует управляемая альтернатива. Четкое руководство о том, какие инструменты одобрены, для каких случаев использования и при каких условиях, а также в сочетании с доступными, одобренными альтернативами, решает первопричину, а не симптом.

Повышение безопасности личности для управления теневым ИИ

Традиционные модели безопасности были созданы для человеческих пользователей, доступа, предоставляемого ИТ, и определенных сетевых границ. Shadow AI подрывает эти предположения, вводя неуправляемые машинные идентичности, учетные данные и интеграции в облачных и SaaS-средах каждый раз, когда сотрудник подключает к инфраструктуре неодобренный инструмент ИИ. Организации, рассматривающие теневой ИИ исключительно как проблему утечки данных, упустят из виду основную опасность: неконтролируемое расширение идентичности. Для более эффективного управления теневой ИИ организациям необходимо иметь полную видимость доступа, управлять как человеческими, так и машинными идентичностями, а также обеспечивать автоматизированный контроль учетных данных и привилегированного доступа. Чтобы узнать, как организации адаптируют свои стратегии защиты идентификации в средах, управляемых искусственным интеллектом, ознакомьтесь с нашим последним отчетом.