Нечеловеческие идентификаторы (Non-Human Identities, NHI), включающие сервисные аккаунты, API-токены и автономных ИИ-агентов, представляют собой стремительно растущую угрозу для корпоративной безопасности. Эти сущности, предназначенные для доступа к системам, перемещения данных и выполнения задач в круглосуточном режиме, во многих организациях превосходят по численности людей-пользователей в соотношении более чем 80 к 1. Их количество экспоненциально растет из-за облачных архитектур и усложнения инфраструктуры.
Большинство традиционных нечеловеческих идентификаторов, таких как сервисные аккаунты, изначально создавались без учета требований безопасности. Они часто генерируются автоматически в процессе развертывания или предоставления ресурсов, в результате чего становятся неучтенными, бесхозными и наделенными избыточными правами. Такое неконтролируемое распространение делает их «идеальными инструментами для горизонтального перемещения и эскалации привилегий» внутри корпоративной сети.
Новый и непредсказуемый уровень риска создают автономные ИИ-агенты. В отличие от других машинных идентификаторов, они способны самостоятельно инициировать действия: взаимодействовать с API, запрашивать данные и принимать независимые решения. Для выполнения своих функций им зачастую требуется широкий доступ к конфиденциальной информации и системным интерфейсам, что значительно увеличивает цену их автономности для безопасности компании.
ИИ-агенты могут быть развернуты разработчиками, встроены в инструменты или вызваны через внешние API, работая неопределенно долго с постоянными учетными данными и высокими привилегиями. Поскольку они не привязаны к конкретному пользователю или сеансу, традиционные сигналы безопасности, такие как IP-адрес, геолокация или устройство, оказываются бесполезными для их мониторинга и выявления аномальной активности.
Основная проблема заключается в том, что процессы и инструменты, созданные для управления человеческими идентификаторами, неэффективны для NHI. Большинство команд безопасности не имеют полного реестра всех нечеловеческих идентификаторов в своей среде. Создаваемые динамически, они превращаются в «теневые» сущности — активные, но невидимые, формируя поверхность атаки неизвестного размера. Принцип «нельзя защитить то, чего не видишь» здесь проявляется в полной мере.
В погоне за скоростью и удобством принцип наименьших привилегий часто приносится в жертву. Разработчики предоставляют сервисам широкие права доступа, чтобы гарантировать их бесперебойную работу, создавая тем самым уязвимости, которые могут существовать месяцами или даже годами. Такие идентификаторы с избыточными правами становятся ценными целями для злоумышленников, стремящихся к боковому перемещению по сети и краже данных.
Нечеловеческие идентификаторы лишены контекста, необходимого для современных средств контроля, таких как многофакторная аутентификация (MFA). Они полагаются на статические, долгоживущие учетные данные. В случае кражи такого секрета у атакующего не будет второго барьера, что затрудняет различие между легитимной и вредоносной активностью. Когда разработчик увольняется или приложение выводится из эксплуатации, связанные с ними NHI часто остаются активными, превращаясь в «осиротевшие» или «цифровые призрачные» идентификаторы — неуправляемый черный ход для злоумышленников.
Чтобы восстановить контроль, требуется переход от реактивного подхода к проактивному управлению, рассматривая каждую систему с учетными данными, каждый скрипт и каждого агента как полноценный идентификатор. Первым шагом является обнаружение и инвентаризация всех NHI. Современные платформы идентификации сканируют среды, включая AWS, GCP и локальную инфраструктуру, для создания единого реестра как человеческих, так и нечеловеческих идентификаторов в реальном времени.
После инвентаризации необходимо приоритизировать устранение рисков, начав с наиболее опасных идентификаторов. Используя управление привилегиями на основе рисков, компании могут выявлять сущности с избыточными правами и корректировать их доступ в соответствии с принципом наименьших привилегий. Для мощных NHI, таких как ИИ-агенты, внедряются средства контроля, включая «аварийные выключатели» для немедленного прекращения сеанса, а также автоматическая ротация секретов и учетных данных.
Завершающим этапом является автоматизация управления жизненным циклом NHI с той же строгостью, что и для человеческих пользователей. Процессы создания, назначения владельца, определения области действия прав и вывода из эксплуатации должны быть полностью автоматизированы. Это гарантирует, что при списании инструмента или уходе разработчика связанные идентификаторы будут немедленно деактивированы.
Риски усугубляются фрагментацией систем: облачные провайдеры, CI/CD-инструменты и ИИ-платформы по-разному управляют идентификаторами. Решением этой проблемы является внедрение единой «фабрики безопасности идентификаторов» (Identity Security Fabric). Такая платформа консолидирует все идентификаторы под единой плоскостью контроля, позволяя определять общие правила владения, назначать разрешения и применять защитные механизмы.
Компания Okta реализует этот подход через свое решение Identity Security Posture Management (ISPM). Оно автоматически выявляет идентификаторы и пробелы в безопасности, применяет принцип наименьших привилегий с ротацией и хранением секретов, а также определяет политики жизненного цикла для каждой сущности. Эта система позволяет централизованно управлять доступом к сервисам AWS, таким как Bedrock и Amazon Q, в то время как AWS IAM продолжает выпускать и применять базовые учетные данные. Такой подход позволяет определить контроль один раз и применять его повсеместно, сокращая слепые зоны и уменьшая поверхность атаки.
Изображение носит иллюстративный характер
Большинство традиционных нечеловеческих идентификаторов, таких как сервисные аккаунты, изначально создавались без учета требований безопасности. Они часто генерируются автоматически в процессе развертывания или предоставления ресурсов, в результате чего становятся неучтенными, бесхозными и наделенными избыточными правами. Такое неконтролируемое распространение делает их «идеальными инструментами для горизонтального перемещения и эскалации привилегий» внутри корпоративной сети.
Новый и непредсказуемый уровень риска создают автономные ИИ-агенты. В отличие от других машинных идентификаторов, они способны самостоятельно инициировать действия: взаимодействовать с API, запрашивать данные и принимать независимые решения. Для выполнения своих функций им зачастую требуется широкий доступ к конфиденциальной информации и системным интерфейсам, что значительно увеличивает цену их автономности для безопасности компании.
ИИ-агенты могут быть развернуты разработчиками, встроены в инструменты или вызваны через внешние API, работая неопределенно долго с постоянными учетными данными и высокими привилегиями. Поскольку они не привязаны к конкретному пользователю или сеансу, традиционные сигналы безопасности, такие как IP-адрес, геолокация или устройство, оказываются бесполезными для их мониторинга и выявления аномальной активности.
Основная проблема заключается в том, что процессы и инструменты, созданные для управления человеческими идентификаторами, неэффективны для NHI. Большинство команд безопасности не имеют полного реестра всех нечеловеческих идентификаторов в своей среде. Создаваемые динамически, они превращаются в «теневые» сущности — активные, но невидимые, формируя поверхность атаки неизвестного размера. Принцип «нельзя защитить то, чего не видишь» здесь проявляется в полной мере.
В погоне за скоростью и удобством принцип наименьших привилегий часто приносится в жертву. Разработчики предоставляют сервисам широкие права доступа, чтобы гарантировать их бесперебойную работу, создавая тем самым уязвимости, которые могут существовать месяцами или даже годами. Такие идентификаторы с избыточными правами становятся ценными целями для злоумышленников, стремящихся к боковому перемещению по сети и краже данных.
Нечеловеческие идентификаторы лишены контекста, необходимого для современных средств контроля, таких как многофакторная аутентификация (MFA). Они полагаются на статические, долгоживущие учетные данные. В случае кражи такого секрета у атакующего не будет второго барьера, что затрудняет различие между легитимной и вредоносной активностью. Когда разработчик увольняется или приложение выводится из эксплуатации, связанные с ними NHI часто остаются активными, превращаясь в «осиротевшие» или «цифровые призрачные» идентификаторы — неуправляемый черный ход для злоумышленников.
Чтобы восстановить контроль, требуется переход от реактивного подхода к проактивному управлению, рассматривая каждую систему с учетными данными, каждый скрипт и каждого агента как полноценный идентификатор. Первым шагом является обнаружение и инвентаризация всех NHI. Современные платформы идентификации сканируют среды, включая AWS, GCP и локальную инфраструктуру, для создания единого реестра как человеческих, так и нечеловеческих идентификаторов в реальном времени.
После инвентаризации необходимо приоритизировать устранение рисков, начав с наиболее опасных идентификаторов. Используя управление привилегиями на основе рисков, компании могут выявлять сущности с избыточными правами и корректировать их доступ в соответствии с принципом наименьших привилегий. Для мощных NHI, таких как ИИ-агенты, внедряются средства контроля, включая «аварийные выключатели» для немедленного прекращения сеанса, а также автоматическая ротация секретов и учетных данных.
Завершающим этапом является автоматизация управления жизненным циклом NHI с той же строгостью, что и для человеческих пользователей. Процессы создания, назначения владельца, определения области действия прав и вывода из эксплуатации должны быть полностью автоматизированы. Это гарантирует, что при списании инструмента или уходе разработчика связанные идентификаторы будут немедленно деактивированы.
Риски усугубляются фрагментацией систем: облачные провайдеры, CI/CD-инструменты и ИИ-платформы по-разному управляют идентификаторами. Решением этой проблемы является внедрение единой «фабрики безопасности идентификаторов» (Identity Security Fabric). Такая платформа консолидирует все идентификаторы под единой плоскостью контроля, позволяя определять общие правила владения, назначать разрешения и применять защитные механизмы.
Компания Okta реализует этот подход через свое решение Identity Security Posture Management (ISPM). Оно автоматически выявляет идентификаторы и пробелы в безопасности, применяет принцип наименьших привилегий с ротацией и хранением секретов, а также определяет политики жизненного цикла для каждой сущности. Эта система позволяет централизованно управлять доступом к сервисам AWS, таким как Bedrock и Amazon Q, в то время как AWS IAM продолжает выпускать и применять базовые учетные данные. Такой подход позволяет определить контроль один раз и применять его повсеместно, сокращая слепые зоны и уменьшая поверхность атаки.
