Почти половина всей активности, связанной с учётными записями в крупных компаниях, происходит за пределами видимости централизованных систем управления доступом. Цифра — 46% — получена аналитиками Orchid Security, и она заслуживает того, чтобы над ней задуматься. Это не просто статистическая аномалия. Это огромный слепой участок, в котором живут неуправляемые приложения, локальные аккаунты, непрозрачные потоки аутентификации, чрезмерно привилегированные машинные идентичности и автономные ИИ-агенты. Для всего этого массива появился термин — «тёмная материя идентичностей» (Identity Dark Matter).
Масштаб проблемы становится понятнее, если посмотреть на детализированные данные. 85% корпоративных приложений содержат учётные записи из устаревших или внешних доменов. В 20% приложений используются потребительские почтовые домены, что создаёт прямой риск утечки данных. 70% приложений содержат избыточные привилегии. 60% приложений предоставляют третьим сторонам широкий административный или API-доступ. И 40% всех аккаунтов — сироты, то есть учётные записи, за которыми не стоит ни одного живого владельца. В отдельных унаследованных средах доля таких «сирот» доходит до 60%.
Между тем, что команда безопасности думает о своём ландшафте доступа, и тем, что реально существует, зияет пропасть. По мере масштабирования организаций идентичности расползаются: децентрализованные команды заводят собственные сервисы, множатся машинные аккаунты, появляются автономные системы. Классическое управление доступом (IAM) видит лишь то, что к нему подключено, — и этого категорически мало.
Ответ на эту проблему предложила компания Gartner, введя концепцию IVIP — Identity Visibility and Intelligence Platform. В рамках модели Identity Fabric это пятый уровень (Layer 5), отвечающий за видимость и наблюдаемость. Gartner описывает IVIP как «систему систем», которая быстро собирает и унифицирует данные из разрозненных IAM-источников, а затем применяет аналитику на основе ИИ. Ключевое отличие от традиционного IAM: если старый подход видит только интегрированные приложения, опирается на ручную документацию владельцев, использует статический анализ конфигураций и работает на основе правил, то IVIP обеспечивает сквозную видимость — управляемых, неуправляемых, отключённых систем. Источник данных — непрерывная телеметрия на уровне приложений и рантайма. Анализ — не статический, а постоянно обновляемый и доказательный. Интеллект — не шаблонные правила, а LLM-модели, анализирующие намерения и поведение.
Конкретную реализацию подхода IVIP демонстрирует Orchid Security. Их методология основана на бинарном анализе и динамической инструментации: платформа инспектирует нативную логику аутентификации и авторизации прямо внутри приложений, без необходимости в API или модификации исходного кода. Это позволяет обнаруживать кастомные приложения, коробочные продукты (COTS), унаследованные системы и теневое ИТ. Данные, полученные из приложений, объединяются с логами центральных IAM-систем в единый «слой доказательств идентичности» (Identity Evidence Layer). Телеметрия трансформируется в конкретные, подкреплённые фактами рекомендации — вместо умозрительных выводов из статических конфигураций.
Отдельная и довольно тревожная тема — автономные ИИ-агенты. Они действуют как независимые цифровые идентичности, находящиеся вне традиционных моделей управления. Orchid Security формулирует пять принципов для их безопасного внедрения. Первый: атрибуция «человек — агент», то есть привязка каждого действия агента к конкретному человеку-владельцу. Второй: полный аудит цепочки действий — от агента через инструмент или API к конкретному действию и целевому ресурсу. Третий: контекстно-зависимые ограничения, где решения о доступе принимаются динамически в зависимости от чувствительности ресурса. Четвёртый: минимальные привилегии с использованием Just-in-Time доступа вместо постоянных учётных данных. Пятый: автоматическое реагирование на рискованное поведение, вплоть до немедленного завершения сессии.
Как измерить, работает ли всё это? Gartner предлагает перейти от подсчёта внедрённых инструментов к метрикам, ориентированным на результат (Outcome-Driven Metrics, ODM). Пример: снижение доли неиспользуемых или спящих привилегий с 70% до 10% в течение одного фискального квартала. Ещё один механизм — «соглашения об уровне защиты» (Protection-Level Agreements, PLA), которые фиксируют конкретные обязательства перед бизнесом. Скажем, критический доступ увольняющегося сотрудника должен быть отозван в течение 24 часов — не позже.
Практические шаги выглядят так: начинать стоит с анализа разрывов, квантифицированного по рискам, и в первую очередь обратить внимание на машинные идентичности — у них самый высокий риск при самой низкой видимости. Платформы IVIP позволяют применять безкодовое устранение дрейфа конфигураций: например, автоматическую приостановку осиротевших учётных записей. Отдельно стоит упомянуть использование телеметрии IVIP при слияниях и поглощениях (M&A) — аудит приобретённых активов в таких ситуациях становится критичным, и ручными методами его провести практически невозможно.
Технологически IVIP опирается на стандарт CAEP (Continuous Access Evaluation Profile), который обеспечивает обмен сигналами безопасности в реальном времени между системами. Это принципиально отличается от традиционной модели, где решение о доступе принимается один раз при аутентификации, а дальше пользователь или сервис действуют бесконтрольно до истечения сессии.
Главный парадокс нынешней ситуации в корпоративной безопасности: компании тратят миллионы на системы управления доступом, но почти половина реальной активности остаётся за кадром. Идея «тёмной материи идентичностей» звучит метафорически, но по сути описывает вполне конкретную и измеримую угрозу. Платформы вроде IVIP не обещают магического решения, однако они хотя бы позволяют увидеть то, что раньше было скрыто, — а уже это меняет расклад довольно сильно.
Изображение носит иллюстративный характер
Масштаб проблемы становится понятнее, если посмотреть на детализированные данные. 85% корпоративных приложений содержат учётные записи из устаревших или внешних доменов. В 20% приложений используются потребительские почтовые домены, что создаёт прямой риск утечки данных. 70% приложений содержат избыточные привилегии. 60% приложений предоставляют третьим сторонам широкий административный или API-доступ. И 40% всех аккаунтов — сироты, то есть учётные записи, за которыми не стоит ни одного живого владельца. В отдельных унаследованных средах доля таких «сирот» доходит до 60%.
Между тем, что команда безопасности думает о своём ландшафте доступа, и тем, что реально существует, зияет пропасть. По мере масштабирования организаций идентичности расползаются: децентрализованные команды заводят собственные сервисы, множатся машинные аккаунты, появляются автономные системы. Классическое управление доступом (IAM) видит лишь то, что к нему подключено, — и этого категорически мало.
Ответ на эту проблему предложила компания Gartner, введя концепцию IVIP — Identity Visibility and Intelligence Platform. В рамках модели Identity Fabric это пятый уровень (Layer 5), отвечающий за видимость и наблюдаемость. Gartner описывает IVIP как «систему систем», которая быстро собирает и унифицирует данные из разрозненных IAM-источников, а затем применяет аналитику на основе ИИ. Ключевое отличие от традиционного IAM: если старый подход видит только интегрированные приложения, опирается на ручную документацию владельцев, использует статический анализ конфигураций и работает на основе правил, то IVIP обеспечивает сквозную видимость — управляемых, неуправляемых, отключённых систем. Источник данных — непрерывная телеметрия на уровне приложений и рантайма. Анализ — не статический, а постоянно обновляемый и доказательный. Интеллект — не шаблонные правила, а LLM-модели, анализирующие намерения и поведение.
Конкретную реализацию подхода IVIP демонстрирует Orchid Security. Их методология основана на бинарном анализе и динамической инструментации: платформа инспектирует нативную логику аутентификации и авторизации прямо внутри приложений, без необходимости в API или модификации исходного кода. Это позволяет обнаруживать кастомные приложения, коробочные продукты (COTS), унаследованные системы и теневое ИТ. Данные, полученные из приложений, объединяются с логами центральных IAM-систем в единый «слой доказательств идентичности» (Identity Evidence Layer). Телеметрия трансформируется в конкретные, подкреплённые фактами рекомендации — вместо умозрительных выводов из статических конфигураций.
Отдельная и довольно тревожная тема — автономные ИИ-агенты. Они действуют как независимые цифровые идентичности, находящиеся вне традиционных моделей управления. Orchid Security формулирует пять принципов для их безопасного внедрения. Первый: атрибуция «человек — агент», то есть привязка каждого действия агента к конкретному человеку-владельцу. Второй: полный аудит цепочки действий — от агента через инструмент или API к конкретному действию и целевому ресурсу. Третий: контекстно-зависимые ограничения, где решения о доступе принимаются динамически в зависимости от чувствительности ресурса. Четвёртый: минимальные привилегии с использованием Just-in-Time доступа вместо постоянных учётных данных. Пятый: автоматическое реагирование на рискованное поведение, вплоть до немедленного завершения сессии.
Как измерить, работает ли всё это? Gartner предлагает перейти от подсчёта внедрённых инструментов к метрикам, ориентированным на результат (Outcome-Driven Metrics, ODM). Пример: снижение доли неиспользуемых или спящих привилегий с 70% до 10% в течение одного фискального квартала. Ещё один механизм — «соглашения об уровне защиты» (Protection-Level Agreements, PLA), которые фиксируют конкретные обязательства перед бизнесом. Скажем, критический доступ увольняющегося сотрудника должен быть отозван в течение 24 часов — не позже.
Практические шаги выглядят так: начинать стоит с анализа разрывов, квантифицированного по рискам, и в первую очередь обратить внимание на машинные идентичности — у них самый высокий риск при самой низкой видимости. Платформы IVIP позволяют применять безкодовое устранение дрейфа конфигураций: например, автоматическую приостановку осиротевших учётных записей. Отдельно стоит упомянуть использование телеметрии IVIP при слияниях и поглощениях (M&A) — аудит приобретённых активов в таких ситуациях становится критичным, и ручными методами его провести практически невозможно.
Технологически IVIP опирается на стандарт CAEP (Continuous Access Evaluation Profile), который обеспечивает обмен сигналами безопасности в реальном времени между системами. Это принципиально отличается от традиционной модели, где решение о доступе принимается один раз при аутентификации, а дальше пользователь или сервис действуют бесконтрольно до истечения сессии.
Главный парадокс нынешней ситуации в корпоративной безопасности: компании тратят миллионы на системы управления доступом, но почти половина реальной активности остаётся за кадром. Идея «тёмной материи идентичностей» звучит метафорически, но по сути описывает вполне конкретную и измеримую угрозу. Платформы вроде IVIP не обещают магического решения, однако они хотя бы позволяют увидеть то, что раньше было скрыто, — а уже это меняет расклад довольно сильно.
