Cloud Security Alliance: ИИ наводняет системы управления идентификацией и доступом новыми учетными записями
Изображение: recraft
Компания Cloud Security Alliance опубликовала аналитический отчёт, посвящённый состоянию защиты нечеловеческих идентификаторов и роли искусственного интеллекта в современных системах управления доступом. Документ описывает, как ИИ всё активнее формирует новые учётные записи и меняет привычные модели контроля, к которым организации привыкли за последние годы.
В отчёте говорится, что большинство компаний продолжают воспринимать идентификаторы, создаваемые алгоритмами, через ту же призму, что и иные нечеловеческие сущности, например, сервисные аккаунты, программные ключи и автоматизированные агенты.
Такой взгляд приводит к переносу старых проблем в новую технологическую среду, где масштабы и скорость процессов уже иные.
Отнесение ИИ-идентификаторов к привычным категориям означает унаследованные слабые места программ управления доступом. В корпоративных средах давно накапливаются сложности, связанные с разрастанием учётных данных, размытым пониманием ответственности и фрагментарным контролем жизненного цикла. Появление систем искусственного интеллекта резко увеличивает объём таких идентификаторов и сокращает интервал между их созданием и фактическим применением, создавая дополнительную нагрузку на существующие механизмы надзора.
Многие процессы идентификации по-прежнему опираются на модели, рассчитанные на более медленные и предсказуемые ИТ-системы. В случае с ИИ всё происходит иначе. Учётные записи формируются программно, распределяются сразу по нескольким средам и используются без перерывов. Это увеличивает массив данных, который требуется учитывать, проверять и поддерживать в актуальном состоянии.
Практики управления рисками в организациях чаще всего сосредоточены на самом факте предоставления доступа. При этом поведение ИИ-систем после получения разрешений остаётся слабо описанным. Во множестве компаний такие аккаунты оказываются в своеобразной серой зоне. Единых правил их создания, сопровождения и вывода из эксплуатации часто нет, а разные команды действуют по собственным схемам, исходя из конкретного продукта или сценария применения.
Даже автоматизация, на которую возлагаются большие ожидания, даёт ограниченный эффект. Учётные записи, связанные с ИИ, продолжают появляться и исчезать с участием ручных операций. Это мешает поддерживать единообразие процессов по мере того, как алгоритмы всё чаще получают постоянный доступ к системам. Полной ответственности за идентификатор на всём протяжении его жизненного пути, как правило, не существует, а права доступа постепенно расширяются и редко пересматриваются.
При возникновении инцидента или срабатывании системы оповещения службы безопасности, нередко теряют время на поиск ответственных специалистов. Лишь после этого появляются возможности для реагирования. В результате в инфраструктуре увеличивается число учётных записей с широкими полномочиями и слабым надзором, а контроль за ними становится всё более трудоёмким по мере распространения ИИ-решений.
