Connect with us

Dincolo de Uman: Securizarea AI Agentic și a Identităților Non-Umane într-o Lume Condusă de Încălcări

Lideri de opinie

Dincolo de Uman: Securizarea AI Agentic și a Identităților Non-Umane într-o Lume Condusă de Încălcări

mm mm
Published
Updated

Dacă ați fost undeva lângă un SOC de întreprindere în ultimele 18 luni, ați văzut asta. Alertele care nu se pot mapă pe o persoană. Credențialele care aparțin “ceva”, nu “cineva”. Automatizarea care se deplasează mai repede decât poate ține pasul playbook-ul dvs. de răspuns la incidente.

Și recent, nu este doar zgomot, ci și cauza principală a celor mai mari titluri din industria noastră. De la incidentul cibernetic Victoria’s Secret care a perturbat vânzările și a declanșat un proces colectiv, la compromisurile cloud multi-tenant care au expus date sensibile la nivel de clienți, un număr tot mai mare de încălcări au loc din identități pe care nu le putem vedea, nu le urmărim sau abia le înțelegem.

Creșterea AI agentic, sisteme autonome care pot acționa în aplicații, API și infrastructură, a coliziuneat cu explozia identităților non-umane (NHIs), incluzând conturi de servicii, roboți, chei API și credențiale de mașină. Împreună, au creat o nouă suprafață de atac care se extinde mai repede decât majoritatea organizațiilor o pot securiza.

Ce Înțelegem prin “Agentic AI”

Agentic AI se referă la “agenți” AI care pot lua obiective și executa autonom task-uri multi-pași, adesea în mai multe sisteme, fără supraveghere umană.

  • Pot apela API, actualiza baze de date sau declanșa fluxuri de lucru.

  • Funcționează la viteza mașinii – secunde, nu minute.

  • Riscuri: injectarea de prompturi, date de antrenament otrăvite, credențiale furate.

Scara cu Care Ne Confruntăm

Identitățile mașinilor deja depășesc numărul oamenilor în majoritatea întreprinderilor, în unele cazuri cu 20:1 sau mai mult. Până în 2026, acest raport este proiectat să se dubleze. Aceste NHIs se află în încărcăturile dvs. cloud, pipe-line-urile CI/CD și integrările API, și acum ele conduc automatizarea bazată pe LLM.

Provocarea: Majoritatea sistemelor IAM au fost create pentru a gestiona oameni, nu mașini.

  • Conturi fără un proprietar clar.

  • Credențiale statice care nu expiră niciodată.

  • Privilegii mult mai mari decât cele necesare.

Nu este ipotetic. Încălcări la Uber și Cloudflare au fost urmărite până la conturi de mașini compromise – tipul care nu primește simulări de phishing, dar poate debloca infrastructura critică.

Agentic AI: Un Multiplicator de Risc

Pe de o parte, agentic AI este un schimbător de joc operațional. Pe de altă parte, dacă accesul său este compromis, aveți automatizare care rulează pentru adversar.

Luați în considerare:

  • Un agent AI cu drepturi de citire și scriere în aplicații SaaS poate automatiza furtul de date fără a declanșa detectarea anomaliilor centrată pe oameni.

  • Dacă același agent poate altera rolurile IAM sau distribui resurse cloud, aveți escaladare de privilegii pe pilot automat.

  • Atacuri de injectare de prompturi și otrăvirea modelului înseamnă că atacatorii pot redirecționa un agent AI fără a fura credențialele sale.

Am văzut cât de periculos poate fi un cont de serviciu prost gestionat. Acum dați acestui cont capacitatea de a lua decizii, și pariul se multiplică.

Studii de Caz: Forensica Încălcărilor în Era AI + NHI

Victoria’s Secret (mai 2025)
În weekendul de Memorial Day, Victoria’s Secret a închis site-ul său web din SUA și unele servicii din magazine în ceea ce părea a fi un incident de tip ransomware (The Hacker News, Bitdefender). Închiderea a durat zile și a contribuit la o scădere estimată de 20 de milioane de dolari în veniturile din trimestrul II. Un proces colectiv ulterioară pretinde că retailerul a eșuat în a cripta date sensibile, a sărit peste audituri de securitate critice și a neglijat instruirea angajaților în materie de securitate cibernetică (Top Class Actions), toate lacunele care oglindesc slăbiciunile adesea văzute în identitățile non-umane (NHIs) cu acces privilegiat.

Încălcarea securității Google Salesforce (iunie 2025)
În iunie, atacatorii legați de grupul ShinyHunters (UNC6040) au obținut acces la o instanță CRM Salesforce corporativă prin tehnici de vishing (ITPro). Odată ajunși în interior, au extras date de contact care aparțineau clienților mici și mijlocii. Deși acest lucru a început cu inginerie socială centrată pe oameni, punctul de pivotare a fost o aplicație conectată — o formă de identitate a mașinii — care le-a permis intrușilor să se deplaseze lateral fără a declanșa analitica comportamentală a utilizatorilor.

Închideri de Retail & Luxury Brand (M&S, Cartier, The North Face)
O undă de atacuri asupra retailerilor majori, incluzând The North Face și Cartier, a expus nume de clienți, adrese de e-mail și selectivă metadata a conturilor (Sangfor, WSJ). Marks & Spencer a fost lovit în special, un atac de ransomware și lanț de aprovizionare atribuit grupului “Scattered Spider” a perturbat serviciile de click-and-collect timp de peste 15 săptămâni și se estimează că a costat retailerul până la 300 de milioane de lire sterline. În fiecare caz, integrările terțe și conexiunile API, adesea susținute de NHIs, au devenit promotori silențioși pentru atacatori.

Ce Este o Identitate Non-Umană (NHI)?

NHIs sunt credențiale și conturi utilizate de mașini, nu de oameni. Exemple:

  • Conturi de servicii pentru baze de date sau aplicații.

  • Chei API pentru integrare cloud-la-cloud.

  • Credențiale de robot pentru scripturi de automatizare.

Riscuri: Supra-privilegiate, sub-supravegheate și adesea lăsate active mult timp după utilizare.

De Ce Guvernanța Este În Urma

Chiar și programele IAM mature lovesc blocaje aici:

  • Lacune de Descoperire — Multe organizații nu pot produce un inventar complet NHI.

  • Neglijare Ciclului de Viață — NHIs adesea persistă timp de ani, fără o revizuire regulată.

  • Vid de Responsabilitate — Fără un proprietar uman, curățarea cădea printr-un vid.

  • Câștig de Privilegii — Permisiuni se acumulează pe măsură ce rolurile se schimbă, dar revocarea întârzie.

Acesta este același problemă pe care am luptat-o cu conturile umane timp de decenii — doar acum, fiecare NHI poate opera 24/7, la scară, fără a declanșa controalele de risc “umane”.

Un Ghid de Joc Neutral al Furnizorilor pentru Securizarea NHIs și Agenta AI

  1. Descoperire Cuprinzătoare — Hărțiți fiecare NHI și agent AI, incluzând privilegii, proprietari și integrări.

  2. Atribuiți Proprietari Umani — Faceți pe cineva responsabil pentru ciclul de viață al fiecărui NHI.

  3. Impuneți Principiul Privilegiilor Minime — Asociați permisiuni cu utilizarea reală; înlăturați excesul.

  4. Automatizați Igiena Credențialelor — Rotați chei, utilizați tokenuri cu durată de viață scurtă, expirați automat conturile inactive.

  5. Monitorizare Continuă — Detectați anomalii precum apeluri API neașteptate sau escaladări de privilegii.

  6. Integrați Guvernanța AI — Tratați agenții AI ca administrați cu privilegii înalte: înregistrați activitatea, impuneți politica, permiteți accesul just-in-time.

(Aceste pași se aliniază cu NIST CSF, CIS Control 5, și cele mai bune practici emergente Gartner IVIP.)

De Ce Trebuie Să Se Întâmple Acest Lucru Acum

Acesta nu este doar despre a urmări o tendință AI. Este despre recunoașterea faptului că perimetrul identității s-a mutat de la oameni la procese. Atacatorii știu asta. Dacă vom continua să tratăm identitățile mașinilor ca pe o gândire de după, le oferim adversarilor punctul orb de care au nevoie pentru a opera nedetectați.

Echipele care vor rămâne în față sunt cele care fac guvernanța NHI și a agenților o componentă de clasă întâi a securității identității, cu vizibilitate, proprietate și disciplină de ciclu de viață înainte de a fi forțate de următoarea încălcare.

mm

Mike Towers este Chief Security & Trust Officer la Veza, unde conduce strategia de securitate cibernetică și protecție a datelor a companiei. El supraveghează Consiliul Consultativ al Veza, avansează capacitățile sale de securitate a identității și asigură că clienții înțeleg valoarea unică a platformei de securitate a identității și acces inteligent de lider din industrie a Veza. Echipa lui Mike lucrează pentru a proteja platforma Veza și pentru a ajuta clienții să abordeze provocările complexe de control al accesului care vin odată cu expansiunea digitală și în cloud.

Ca fondator al Digital Trust Group LLC și ca executiv experimentat, Mike se specializează în securitate digitală, încredere și reziliență a afacerilor. Înainte de Veza, el a servit ca Chief Digital Trust Officer la Takeda și a deținut roluri de conducere la Allergan și GSK, unde a construit cadre de securitate robuste. De-a lungul carierei sale, el a influențat peste 50 de tranzacții de fuziuni și achiziții și a fost inclus în CSO Hall of Fame. Ca vorbitor respectat, autor și consilier al consiliului de administrație, Mike continuă să promoveze inovația responsabilă, protecția datelor și schimbul de cunoștințe. Cu sediul în Boston, el rămâne o voce de lider în promovarea încrederii și securității digitale.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.