Ajatusjohtajat

Ihmisen ulottuvilla: Agentic AI:n ja ei-ihmisten identiteettien turvallisuus murron vaarassa olevassa maailmassa

mm mm
Published
Updated

Jos olet ollut missään lähellä yrityksen SOC:ia (turvallisuuskeskus) viimeisen 18 kuukauden aikana, olet varmasti nähnyt sen. Hälytykset, jotka eivät vastaa henkilöä. Tunnistetiedot, jotka kuuluvat “jollekin”, ei “jollekulle”. Automaatio, joka liikkuu nopeammin kuin IR-ohjekirja (vaikutusten hallinta) pystyy seuraamaan.

Ja viime aikoina se ei ole vain melua, vaan se on ollut syynä alan suurimpiin otsikoihin. Victorias Secretin kyberhyökkäyksestä, joka keskeytti myynnin ja laukaisi loukkausluokan oikeudenkäynnin, monen vuokralaisen pilvipalvelujen uhrauksiin, jotka paljastivat arkaluontoista tietoa asiakkaille, kasvava määrä murtoja johtuu identiteeteistä, joita emme voi nähdä, seurata tai ymmärtää.

Agentic AI:n nousu, joka koostuu autonomisista järjestelmistä, jotka voivat toimia sovellusten, API:en ja infrastruktuurin yli, on törmännyt ei-ihmisten identiteettien (NHI) räjähdysmäiseen kasvuun, mukaan lukien palvelutunnukset, botit, API-avaimet ja koneen tunnistetiedot. Yhdessä he ovat luoneet uuden hyökkäyspinnan, joka laajenee nopeammin kuin useimmat organisaatiot voivat turvata.

Mitä tarkoitan “Agentic AI”:lla

Agentic AI viittaa AI-“agenteihin”, jotka voivat ottaa tavoitteet ja suorittaa monivaiheisia tehtäviä autonomisesti useiden järjestelmien yli ilman ihmisen valvontaa.

  • Voivat kutsua API:ia, päivittää tietokantoja tai laukaista työnkulkuja.

  • Toimivat koneen nopeudella – sekunteja, ei minuutteja.

  • Riskejä: ohjelmointipisteen injektio, myrkytetty koulutusdata, varastetut tunnistetiedot.

Mihin mittakaavaan olemme törmännyt

Koneiden identiteetit ovat jo nyt useimmissa yrityksissä ylittäneet ihmisten määrän, joissakin tapauksissa jopa 20:1 tai enemmän. Vuoteen 2026 mennessä tämä suhde on arvioitu lähes kaksinkertaistuvan. Nämä NHI:t ovat pilviin kuormitettujen työkuormien, CI/CD-työnkulkujen ja API-integrointien parissa, ja nyt ne ajavat LLM-pohjaista automaatiota.

Haaste: Useimmat IAM-järjestelmät on suunniteltu hallinnoimaan ihmisiä, ei koneita.

  • Tunnukset, joilla ei ole selvää omistajaa.

  • Staattiset tunnistetiedot, jotka eivät vanhene koskaan.

  • Oikeuksia, jotka ylittävät tarpeen.

Se ei ole hypoteettinen. Uberin ja Cloudflaren tietoturvaloukkaukset on johdettu murrettuihin koneen tileihin – sellaisiin, jotka eivät saa kalastelusimulaatioita, mutta voivat avata kriittistä infrastruktuuria.

Agentic AI: Riskin kertova voima

Toisaalta agentic AI on operatiivinen pelinmuuttaja. Toisaalta, jos sen pääsy on murrettu, sinulla on automaatio, joka toimii vihollisen hyväksi.

Tarkastele:

  • AI-agentti, jolla on luku- ja kirjoitusoikeudet SaaS-sovelluksiin, voi automatisoida tietojen varastamisen ilman, että se laukaisee ihmiskeskeistä poikkeamien havaitsemista.

  • Jos sama agentti voi muuttaa IAM-rooleja tai ottaa käyttöön pilviresursseja, sinulla on etuoikeuksien eskalaatio autopilootilla.

  • Ohjelmointipisteen injektiohyökkäykset ja mallin myrkyttäminen tarkoittavat, että hyökkääjät voivat ohjata AI-agenttia ilman sen tunnistetietojen varastamista.

Olemme nähneet, kuinka vaarallinen huonosti hallittu palvelutili voi olla. Nyt anna sille tili, jolla on kyky tehdä päätöksiä, ja panokset moninkertaistuvat.

Keskitapaukset: Murron jälkeinen tutkinta AI + NHI -aikakaudella

Victorias Secret (toukokuu 2025)
Yhdysvaltain muistopäivän viikonloppuna Victorias Secret sulki Yhdysvaltain verkkosivustonsa ja joitakin myymäläpalveluita, mikä näytti olevan ransomware-tyyppinen tapaus (The Hacker News, Bitdefender). Katkos kesti useita päiviä ja vaikutti arvioituun 20 miljoonan dollarin laskuun toisen neljänneksen tulokseen. Myöhempi loukkausluokan oikeudenkäynti väittää, että vähittäismyyjä epäonnistui salaamasta arkaluontoista tietoa, ohitti kriittisiä tietoturva-auditorioita ja laiminlöi työntekijöiden tietoturvakoulutuksen (Top Class Actions), kaikki aukot, jotka heijastavat heikkouksia, joita usein nähdään ei-ihmisten identiteeteissä, joilla on etuoikeudet.

Google Salesforce -murto (kesäkuu 2025)
Kesäkuussa hyökkääjät, jotka liittyvät ShinyHunters (UNC6040) -ryhmään, pääsivät käsiksi yrityksen Salesforce CRM-ekземпляriin äänipuhelimen (vishing) avulla (ITPro). Kun he olivat sisällä, he varastivat yhteystietoja, jotka kuuluvat pienille ja keskisuurille liiketoimintakumppaneille. Vaikka tämä alkoi ihmisten kohdistamalla sosiaalisella insinöörityllä, kääntöpiste oli yhdistetty sovellus – tyyppi koneen identiteetti – joka salli hyökkääjien siirtyä sivusuunnassa ilman, että se laukaisi käyttäjän käyttäytymisen analytiikkaa.

Retail & Luxury Brand -katkokset (M&S, Cartier, The North Face)
Aalto hyökkäyksiä suurten vähittäismyyjien, kuten The North Face ja Cartier, paljasti asiakkaiden nimet, sähköpostit ja valikoidut tileiden metatiedot (Sangfor, WSJ). Marks & Spencer kärsi erityisen pahasti, ransomware- ja toimitusketjun hyökkäys, jota pidettiin ‘Scattered Spider’ -ryhmän tekemänä, keskeytti klikkaa-ja-nouda-palvelut yli 15 viikkoa ja arvioitiin maksavan vähittäismyyjälle jopa 300 miljoonaa puntaa. Jokaisessa tapauksessa kolmannen osapuolen integraatiot ja API-yhteydet, usein taustalla NHI, tulivat hiljaisiksi hyökkääjien mahdollistajiksi.

Mitä on ei-ihmisen identiteetti (NHI)?

NHI:t ovat tunnistetiedot ja tilejä, joita käytetään koneissa, ei ihmisissä. Esimerkkejä:

  • Palvelutunnukset tietokannoille tai sovelluksille.

  • API-avaimet pilvi-pilvi-integrointiin.

  • Bottitunnisteet automaatio-ohjelmille.

Riskejä: Yliedustettu, vähän valvottu ja usein jätetty aktiiviseksi pitkään käytön jälkeen.

Miksi hallinto on jäljessä

Jopa kypsiä IAM-ohjelmia kohtaavat esteitä täällä:

  • Havaitsemisen aukot – Monet organisaatiot eivät voi tuottaa täydellistä NHI-inventointia.

  • Elinkaaren laiminlyönti – NHI:t usein säilytetään vuosia, ilman säännöllistä tarkastelua.

  • Vastuun tyhjiöt – Ilman ihmistä omistajana, puhdistus menee rikki.

  • Etuoikeuksien ryöppy – Oikeudet kertyvät, kun roolit muuttuvat, mutta peruutus viivästyy.

Tämä on sama ongelma, jonka olemme taistelleet ihmisten tilejä vastaan vuosikymmenien ajan – vain nyt jokainen NHI voi toimia 24/7, mittakaavassa, ilman, että se laukaisee “ihmisen” riskienhallintaa.

Toimittajariippumaton pelikirja NHI:iden ja AI-virkailijoiden turvallisuudesta

  1. Kattava havaitseminen – Kartoita jokainen NHI ja AI-virkailija, mukaan lukien etuoikeudet, omistajat ja integraatiot.

  2. Määritä ihmisten omistajat – Tee joku vastuulliseksi jokaisen NHI:n elinkaaresta.

  3. Pakota vähimmäisetuoikeudet – Vastaa oikeuksia todelliseen käyttöön; poista ylimääräinen.

  4. Automaattinen tunnistetietojen hygienia – Kierrä avaimia, käytä lyhytaikaisia tunnisteita, autovanhene kuolleita tilejä.

  5. Jatkuva valvonta – Havaitse poikkeamia, kuten odottamattomia API-puheluita tai etuoikeuksien eskalaatioita.

  6. Integroi AI-hallinto – Käsittele AI-virkailijoita kuin korkeiden etuoikeuksien järjestelmänvalvojat: kirjaa toimintaa, pakota käytäntöä, mahdollista vain tarpeen mukaan pääsy.

(Nämä vaiheet ovat linjassa NIST CSF:n, CIS Control 5:n ja kehittyvän Gartner IVIP:n parhaiden käytäntöjen kanssa.)

Miksi tämä on tehtävä nyt

Tämä ei ole vain seuraamista AI-trendiä. Se on tunnustamista siitä, että identiteetin reunaa on siirretty ihmisistä prosesseihin. Hyökkääjät tietävät tämän. Jos jatkamme koneen identiteetin käsittelyä vain ajatuksena, annamme vihollisille sokean pisteen, jota he tarvitsevat toimimaan havaitsemattomasti.

Tiimit, jotka pysyvät edellä, ovat niitä, jotka tekevät NHI:iden ja agenttien hallinnon ensiluokkaisen osan identiteetin turvallisuudesta, jossa on näkyvyys, omistajuus ja elinkaaren kurinpidon paikalla ennen kuin seuraava murto pakottaa asian.

mm

n Chief Security & Trust Officer, jossa hÀn johtaa yrityksen kyberTurvallisuuden ja tietosuojastrategiaa. HÀn valvoo Veza:n neuvottelukuntaa, kehittÀÀ sen identiteettiturvallisuuden ominaisuuksia ja varmistaa, ettÀ asiakkaat ymmÀrtÀvÀt Veza:n johtavan identiteettiturvallisuuden ja ÀlykkÀÀn pÀÀsyn alustan ainutlaatuisen arvon. Mike:n tiimi työskentelee Veza:n alustan turvallisuuden varmistamiseksi ja auttaa asiakkaita ratkaisemaan monimutkaisia pÀÀsyvalvontahaasteita, jotka liittyvÀt digitaaliseen ja pilviin laajentamiseen.

Koska Digital Trust Group LLC:n perustaja ja kokenut johtaja, Mike erikoistuu digitaaliseen turvallisuuteen, luottamukseen ja liiketoiminnan kestÀvyyteen. Ennen Veza:a hÀn toimi Takeda:n Chief Digital Trust Officerina ja johti johtotehtÀviÀ Allerganilla ja GSK:lla, jossa hÀn rakensi vahvat turvallisuuskehykset. Uransa aikana hÀn on vaikuttanut yli 50 M&A-kauppaan ja valittiin CSO Hall of Fameen. Arvostettu puhuja, kirjailija ja hallituksen neuvonantaja, Mike jatkaa vastuullisen innovaation, tietosuojan ja tietojen jakamisen edistÀmistÀ. Bostonissa oleva hÀn on edelleen johtava ÀÀni digitaalisen turvallisuuden ja luottamuksen edistÀmisessÀ.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.