Connect with us

рдорд╛рдирд╡ рд╕реЗ рдкрд░реЗ: рд╕реБрд░рдХреНрд╖рд┐рдд рдПрдЬреЗрдВрдЯрд┐рдХ рдПрдЖрдИ рдФрд░ рдЧреИрд░-рдорд╛рдирд╡ рдкрд╣рдЪрд╛рди рдПрдХ рдЙрд▓реНрд▓рдВрдШрди-рд╕рдВрдЪрд╛рд▓рд┐рдд рджреБрдирд┐рдпрд╛ рдореЗрдВ

рд╡рд┐рдЪрд╛рд░ рдиреЗрддрд╛

рдорд╛рдирд╡ рд╕реЗ рдкрд░реЗ: рд╕реБрд░рдХреНрд╖рд┐рдд рдПрдЬреЗрдВрдЯрд┐рдХ рдПрдЖрдИ рдФрд░ рдЧреИрд░-рдорд╛рдирд╡ рдкрд╣рдЪрд╛рди рдПрдХ рдЙрд▓реНрд▓рдВрдШрди-рд╕рдВрдЪрд╛рд▓рд┐рдд рджреБрдирд┐рдпрд╛ рдореЗрдВ

mm mm
Published
Updated

यदि आप पिछले 18 महीनों में एक उद्यम एसओसी के पास रहे हैं, तो आपने इसे देखा है। एक व्यक्ति के लिए मैप नहीं किए जाने वाले अलर्ट। जो “कुछ”, न कि “किसी” के लिए क्रेडेंशियल्स हैं। जो आपके आईआर प्लेबुक की तुलना में तेजी से आगे बढ़ने वाले स्वचालन।

और हाल ही में, यह केवल शोर नहीं है, यह हमारे उद्योग में सबसे बड़े हेडलाइन्स का मूल कारण है। विक्टोरिया के राज कибर घटना जिसने बिक्री को बाधित किया और एक वर्ग-कार्रवाई मुकदमा शुरू किया, से मल्टी-टेनेंट क्लाउड समझौतों तक जो ग्राहकों के पारितंत्र में संवेदनशील डेटा को उजागर करते हैं, एक बढ़ती संख्या में उल्लंघन अब दृश्य नहीं होने वाली पहचान, ट्रैक नहीं की जाने वाली पहचान, या कम समझी जाने वाली पहचान से उत्पन्न होते हैं।

एजेंटिक एआई, एप्लिकेशन, एपीआई और बुनियादी ढांचे के पार संचालित होने में सक्षम स्वायत्त प्रणालियों का उदय, गैर-मानव पहचान (एनएचआई) के विस्फोट के साथ टकराया है, जिसमें सेवा खाते, बॉट, एपीआई कुंजी और मशीन क्रेडेंशियल शामिल हैं। साथ में, उन्होंने एक नई हमला सतह बनाई है जो अधिकांश संगठनों की तुलना में तेजी से बढ़ रही है।

हम “एजेंटिक एआई” से क्या मतलब है

एजेंटिक एआई उन एआई “एजेंट” को संदर्भित करता है जो लक्ष्य ले सकते हैं और मानव पर्यवेक्षण के बिना बहु-चरण कार्यों को स्वचालित रूप से निष्पादित कर सकते हैं, अक्सर कई प्रणालियों में।

  • एपीआई को कॉल कर सकते हैं, डेटाबेस को अपडेट कर सकते हैं, या वर्कफ्लो को ट्रिगर कर सकते हैं।

  • मशीन की गति पर संचालित होता है – सेकंड, न कि मिनट।

  • जोखिम: प्रॉम्प्ट इंजेक्शन, जहरीले प्रशिक्षण डेटा, चोरी किए गए क्रेडेंशियल।

हम जिस स्तर का सामना कर रहे हैं

मशीन पहचान पहले से ही अधिकांश उद्यमों में मानवों की तुलना में अधिक है, कुछ मामलों में 20:1 या अधिक। 2026 तक, यह अनुपात लगभग दोगुना होने का अनुमान है। ये एनएचआई आपके क्लाउड वर्कलोड, सीआई/सीडी पाइपलाइन और एपीआई एकीकरण में हैं, और अब वे एलएलएम-आधारित स्वचालन को चला रहे हैं।

चुनौती: अधिकांश आईएएम प्रणाली लोगों को प्रबंधित करने के लिए बनाई गई थीं, न कि मशीनों को।

  • कोई स्पष्ट मालिक नहीं है।

  • स्थिर क्रेडेंशियल जो कभी समाप्त नहीं होते हैं।

  • आवश्यकता से अधिक विशेषाधिकार।

यह काल्पनिक नहीं है। उबर और क्लाउडफ्लेयर पर साइबर हमले मशीन खातों से जुड़े हुए हैं – जो कभी फ़िशिंग सिमुलेशन नहीं प्राप्त करते हैं लेकिन महत्वपूर्ण बुनियादी ढांचे को अनलॉक कर सकते हैं।

एजेंटिक एआई: जोखिम के लिए एक बल गुणक

एक ओर, एजेंटिक एआई एक संचालन खेल-changer है। दूसरी ओर, यदि इसकी पहुंच समझौता हो जाती है, तो आपके पास विरोधी के लिए स्वचालन चल रहा है।

विचार करें:

  • एक एआई एजेंट जो एसएएएस एप्लिकेशन में पढ़ने/लिखने के अधिकारों के साथ डेटा चोरी को स्वचालित कर सकता है मानव-केंद्रित विचित्रता का पता नहीं लगा सकता है।

  • यदि उसी एजेंट को आईएएम भूमिकाओं को बदलने या क्लाउड संसाधनों को तैनात करने की अनुमति दी जा सकती है, तो आपके पास ऑटोपायलट पर विशेषाधिकार वृद्धि है।

  • प्रॉम्प्ट इंजेक्शन हमले और मॉडल जहरीलापन मतलब है कि हमलावर एआई एजेंट को उसके क्रेडेंशियल चोरी किए बिना पुनर्निर्देशित कर सकते हैं।

हमने देखा है कि एक दुर्भाग्यपूर्ण सेवा खाता कितना खतरनाक हो सकता है। अब उस खाते को निर्णय लेने की क्षमता दें, और दांव बढ़ जाते हैं।

मामला अध्ययन: उल्लंघन फोरेंसिक्स एआई + एनएचआई युग में

विक्टोरिया का राज (मई 2025)
मेमोरियल डे के सप्ताहांत पर, विक्टोरिया का राज अपनी यूएस वेबसाइट और कुछ स्टोर सेवाओं को नीचे ले गया जो एक रैंसमवेयर-शैली की घटना की तरह लग रहा था (द हैकर न्यूज, बिटडिफेंडर)। आउटेज कई दिनों तक चला और अनुमानित $20 मिलियन की Q2 राजस्व में गिरावट में योगदान दिया। एक बाद के वर्ग-कार्रवाई मुकदमा यह आरोप लगाता है कि खुदरा विक्रेता ने संवेदनशील डेटा को एन्क्रिप्ट करने में विफल रहा, महत्वपूर्ण सुरक्षा लेखा परीक्षा को छोड़ दिया, और कर्मचारी साइबर सुरक्षा प्रशिक्षण की उपेक्षा की (टॉप क्लास एक्शन), सभी अंतराल जो अक्सर अनप्रबंधित गैर-मानव पहचान (एनएचआई) के साथ विशेषाधिकार प्राप्त पहुंच में देखे जाते हैं।

गूगल सेल्सफोर्स उल्लंघन (जून 2025)
जून में, हमलावरों ने शाइनीहंटर्स (यूएनसी6040) समूह से जुड़े वॉयस-फ़िशिंग (विशिंग) तकनीकों के माध्यम से एक कॉर्पोरेट सेल्सफोर्स सीआरएम इंस्टेंस में पहुंच प्राप्त की (आईटीपीआरओ)। एक बार अंदर, उन्होंने छोटे और मध्यम आकार के व्यवसाय ग्राहकों के संपर्क डेटा को निकाला। जबकि यह मानव-लक्षित सोशल इंजीनियरिंग से शुरू हुआ, पिवोट बिंदु एक जुड़े हुए अनुप्रयोग – मशीन पहचान का एक रूप – था जिसने अंदरूनी लोगों को उपयोगकर्ता-व्यवहार विश्लेषिकी को ट्रिप किए बिना लेटरली जाने की अनुमति दी।

रिटेल और लक्जरी ब्रांड आउटेज (एमएंडएस, कार्टियर, द नॉर्थ फेस)
मेजर रिटेलर्स, द नॉर्थ फेस और कार्टियर पर हमलों की एक लहर ने ग्राहक नाम, ईमेल और चयनित खाता मेटाडेटा को उजागर किया (सांगफोर, डब्ल्यूएसजे)। मार्क्स और स्पेंसर को विशेष रूप से कठिनाई हुई, एक रैंसमवेयर और सप्लाई-चेन हमले को ‘स्कैटर्ड स्पाइडर’ समूह के लिए जिम्मेदार ठहराया गया, जिसने 15 सप्ताह से अधिक समय तक क्लिक-एंड-कलेक्ट सेवाओं को बाधित कर दिया और अनुमानित £300 मिलियन की लागत आई। प्रत्येक मामले में, तृतीय-पक्ष एकीकरण और एपीआई कनेक्शन, अक्सर एनएचआई द्वारा समर्थित, हमलावरों के लिए मौन संचालक बन गए।

गैर-मानव पहचान (एनएचआई) क्या है?

एनएचआई मशीनों द्वारा उपयोग किए जाने वाले क्रेडेंशियल और खाते हैं, न कि लोगों द्वारा। उदाहरण:

  • डेटाबेस या ऐप्स के लिए सेवा खाते।

  • क्लाउड-से-क्लाउड एकीकरण के लिए एपीआई कुंजी।

  • स्वचालन स्क्रिप्ट के लिए बॉट क्रेडेंशियल।

जोखिम: अधिक विशेषाधिकार प्राप्त, कम निगरानी की जाती है, और अक्सर उपयोग के बाद लंबे समय तक सक्रिय रहते हैं।

क्यों शासन पिछड़ रहा है

यहां तक कि परिपक्व आईएएम कार्यक्रम भी रोडब्लॉक्स मारा:

  • खोज अंतराल – कई संगठन एक पूर्ण एनएचआई इन्वेंट्री का उत्पादन नहीं कर सकते हैं।

  • जीवनचक्र उपेक्षा – एनएचआई अक्सर वर्षों तक रहते हैं, नियमित समीक्षा के साथ नहीं।

  • जिम्मेदारी खाली – एक मानव मालिक के बिना, सफाई दरारों से गिर जाती है।

  • विशेषाधिकार रेंगना – अनुमतियां भूमिकाओं के बदलने के रूप में जमा होती हैं, लेकिन वापसी पिछड़ जाती है।

यह वही समस्या है जिसका हम दशकों से मानव खातों के साथ सामना कर रहे हैं – केवल अब, प्रत्येक एनएचआई 24/7, पैमाने पर, मानव जोखिम नियंत्रण को ट्रिगर किए बिना संचालित कर सकता है।

एनएचआई और एआई एजेंटों को सुरक्षित करने के लिए एक विक्रेता-तटस्थ प्लेबुक

  1. व्यापक खोज – प्रत्येक एनएचआई और एआई एजेंट, विशेषाधिकार, मालिकों और एकीकरण को मैप करें।

  2. मानव मालिकों को सौंपें – प्रत्येक एनएचआई के जीवनचक्र के लिए किसी को जिम्मेदार बनाएं।

  3. न्यूनतम विशेषाधिकार लागू करें – अनुमतियों को वास्तविक उपयोग से मेल खाएं; अधिक को हटाएं।

  4. क्रेडेंशियल स्वच्छता को स्वचालित करें – कुंजी को घुमाएं, अल्पकालिक टोकन का उपयोग करें, निष्क्रिय खातों को स्वचालित रूप से समाप्त करें।

  5. निरंतर निगरानी – अप्रत्याशित एपीआई कॉल या विशेषाधिकार वृद्धि जैसी विचित्रता का पता लगाएं।

  6. एआई शासन एकीकरण – एआई एजेंटों को उच्च-विशेषाधिकार वाले प्रशासकों की तरह व्यवहार करें: गतिविधि लॉग करें, नीति को लागू करें, जस्ट-इन-टाइम पहुंच को सक्षम करें।

(इन चरणों को एनआईएसटी सीएसएफ, सीआईएस नियंत्रण 5, और उभरते गार्टनर आईवीआईपी सर्वोत्तम प्रथाओं के साथ संरेखित हैं।)

यह क्यों होना चाहिए

यह केवल एक एआई प्रवृत्ति का पालन करने के बारे में नहीं है। यह पहचानने के बारे में है कि पहचान परिधि लोगों से प्रक्रियाओं में स्थानांतरित हो गई है। हमलावर जानते हैं कि यह है। यदि हम मशीन पहचानों को एक उपेक्षा के रूप में मानते रहते हैं, तो हम विरोधियों को उस अंधे धब्बे को दे रहे हैं जिसकी उन्हें संचालित करने की आवश्यकता है।

वे टीमें जो आगे रहेंगी वे एनएचआई और एजेंट शासन को पहचान सुरक्षा का एक प्रथम-श्रेणी का तत्व बनाने वाली होंगी, जिसमें दृश्यता, स्वामित्व और जीवनचक्र अनुशासन पहले से ही अगले उल्लंघन को मजबूर करने से पहले स्थान पर है।

Related Topics:
mm

рдорд╛рдЗрдХ рдЯрд╛рд╡рд░реНрд╕ рд╡реЗрдЬрд╝рд╛ рдореЗрдВ рдЪреАрдл рд╕рд┐рдХреНрдпреЛрд░рд┐рдЯреА рдФрд░ рдЯреНрд░рд╕реНрдЯ рдСрдлрд┐рд╕рд░ рд╣реИрдВ, рдЬрд╣рд╛рдВ рд╡реЗ рдХрдВрдкрдиреА рдХреА рд╕рд╛рдЗрдмрд░ рд╕реБрд░рдХреНрд╖рд╛ рдФрд░ рдбреЗрдЯрд╛ рд╕реБрд░рдХреНрд╖рд╛ рд░рдгрдиреАрддрд┐ рдХрд╛ рдиреЗрддреГрддреНрд╡ рдХрд░рддреЗ рд╣реИрдВред рд╡рд╣ рд╡реЗрдЬрд╝рд╛ рдХреЗ рд╕рд▓рд╛рд╣рдХрд╛рд░ рдмреЛрд░реНрдб рдХреА рджреЗрдЦрд░реЗрдЦ рдХрд░рддреЗ рд╣реИрдВ, рдЗрд╕рдХреА рдкрд╣рдЪрд╛рди рд╕реБрд░рдХреНрд╖рд╛ рдХреНрд╖рдорддрд╛рдУрдВ рдХреЛ рдЖрдЧреЗ рдмрдврд╝рд╛рддреЗ рд╣реИрдВ, рдФрд░ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рддреЗ рд╣реИрдВ рдХрд┐ рдЧреНрд░рд╛рд╣рдХ рд╡реЗрдЬрд╝рд╛ рдХреЗ рдЙрджреНрдпреЛрдЧ-рдЕрдЧреНрд░рдгреА рдкрд╣рдЪрд╛рди рд╕реБрд░рдХреНрд╖рд╛ рдФрд░ рдмреБрджреНрдзрд┐рдорд╛рди рдкрд╣реБрдВрдЪ рдкреНрд▓реЗрдЯрдлрд╝реЙрд░реНрдо рдХреЗ рдЕрдиреЛрдЦреЗ рдореВрд▓реНрдп рдХреЛ рд╕рдордЭреЗрдВред рдорд╛рдЗрдХ рдХреА рдЯреАрдо рд╡реЗрдЬрд╝рд╛ рдХреЗ рдкреНрд▓реЗрдЯрдлрд╝реЙрд░реНрдо рдХреЛ рд╕реБрд░рдХреНрд╖рд┐рдд рд░рдЦрдиреЗ рдФрд░ рдЧреНрд░рд╛рд╣рдХреЛрдВ рдХреЛ рдбрд┐рдЬрд┐рдЯрд▓ рдФрд░ рдХреНрд▓рд╛рдЙрдб рд╡рд┐рд╕реНрддрд╛рд░ рдХреЗ рд╕рд╛рде рдЖрдиреЗ рд╡рд╛рд▓реА рдЬрдЯрд┐рд▓ рдкрд╣реБрдВрдЪ рдирд┐рдпрдВрддреНрд░рдг рдЪреБрдиреМрддрд┐рдпреЛрдВ рдХрд╛ рд╕рд╛рдордирд╛ рдХрд░рдиреЗ рдореЗрдВ рдорджрдж рдХрд░рдиреЗ рдХрд╛ рдХрд╛рдо рдХрд░рддреА рд╣реИред

рдЬреИрд╕рд╛ рдХрд┐ рдбрд┐рдЬрд┐рдЯрд▓ рдЯреНрд░рд╕реНрдЯ рдЧреНрд░реБрдк рдПрд▓рдПрд▓рд╕реА рдХреЗ рд╕рдВрд╕реНрдерд╛рдкрдХ рдФрд░ рдПрдХ рдЕрдиреБрднрд╡реА рдХрд╛рд░реНрдпрдХрд╛рд░реА рдХреЗ рд░реВрдк рдореЗрдВ, рдорд╛рдЗрдХ рдбрд┐рдЬрд┐рдЯрд▓ рд╕реБрд░рдХреНрд╖рд╛, рд╡рд┐рд╢реНрд╡рд╛рд╕ рдФрд░ рд╡реНрдпрд╡рд╕рд╛рдп рд▓рдЪреАрд▓рд╛рдкрди рдореЗрдВ рдорд╛рд╣рд┐рд░ рд╣реИрдВред рд╡реЗрдЬрд╝рд╛ рд╕реЗ рдкрд╣рд▓реЗ, рдЙрдиреНрд╣реЛрдВрдиреЗ рдЯрд╛рдХреЗрдбрд╛ рдХреЗ рдЪреАрдл рдбрд┐рдЬрд┐рдЯрд▓ рдЯреНрд░рд╕реНрдЯ рдСрдлрд┐рд╕рд░ рдХреЗ рд░реВрдк рдореЗрдВ рдХрд╛рд░реНрдп рдХрд┐рдпрд╛ рдФрд░ рдПрд▓рд░реНрдЧрди рдФрд░ рдЬреАрдПрд╕рдХреЗ рдореЗрдВ рдиреЗрддреГрддреНрд╡ рднреВрдорд┐рдХрд╛рдПрдВ рдирд┐рднрд╛рдИрдВ, рдЬрд╣рд╛рдВ рдЙрдиреНрд╣реЛрдВрдиреЗ рдордЬрдмреВрдд рд╕реБрд░рдХреНрд╖рд╛ рдврд╛рдВрдЪреЗ рдмрдирд╛рдПред рдЕрдкрдиреЗ рдХрд░рд┐рдпрд░ рдореЗрдВ, рдЙрдиреНрд╣реЛрдВрдиреЗ 50 рд╕реЗ рдЕрдзрд┐рдХ рдПрдордПрдВрдбрдП рд╕реМрджреЛрдВ рдХреЛ рдкреНрд░рднрд╛рд╡рд┐рдд рдХрд┐рдпрд╛ рд╣реИ рдФрд░ рд╕реАрдПрд╕рдУ рд╣реЙрд▓ рдСрдл рдлрд╝реЗрдо рдореЗрдВ рд╢рд╛рдорд┐рд▓ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдПрдХ рд╕рдореНрдорд╛рдирд┐рдд рд╡рдХреНрддрд╛, рд▓реЗрдЦрдХ рдФрд░ рдмреЛрд░реНрдб рд╕рд▓рд╛рд╣рдХрд╛рд░, рдорд╛рдЗрдХ рдЬрд┐рдореНрдореЗрджрд╛рд░ рдирд╡рд╛рдЪрд╛рд░, рдбреЗрдЯрд╛ рд╕реБрд░рдХреНрд╖рд╛ рдФрд░ рдЬреНрдЮрд╛рди рд╕рд╛рдЭрд╛ рдХрд░рдирд╛ рдЬрд╛рд░реА рд░рдЦрддреЗ рд╣реИрдВред рдмреЛрд╕реНрдЯрди рдореЗрдВ рд╕реНрдерд┐рдд, рд╡рд╣ рдбрд┐рдЬрд┐рдЯрд▓ рд╡рд┐рд╢реНрд╡рд╛рд╕ рдФрд░ рд╕реБрд░рдХреНрд╖рд╛ рдХреЛ рдЖрдЧреЗ рдмрдврд╝рд╛рдиреЗ рдореЗрдВ рдПрдХ рдкреНрд░рдореБрдЦ рдЖрд╡рд╛рдЬрд╝ рдмрдиреЗ рд╣реБрдП рд╣реИрдВред

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitionerтАЩs mindsetтАФwriting for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security:┬аwho can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.