هویت ماشین‌ها 82 برابر انسان: IAM در خطر!

هویت ماشین‌ها 82 برابر انسان: IAM در خطر!

۱۳ دی, ۱۴۰۴ نویسنده: admin دسته: فناوری اطلاعات

تغییرات بنیادین در مدیریت هویت و دسترسی با ظهور گسترش هوش مصنوعی

سیستم‌های احراز هویت قدیمی مانند Active Directory، LDAP و PAM (مدیریت رمز عبور) در ابتدا برای انسان‌ها طراحی شده بودند. ماشین‌ها و عامل‌های هوش مصنوعی تنها استثنا محسوب می‌شدند. اما اکنون، تعداد هویت‌های ماشینی به طور چشمگیری افزایش یافته و از جمعیت انسانی 82 برابر بیشتر شده‌اند؛ این موضوع باعث فرسایش مدل مبتنی بر انسان در مدیریت هویت با سرعتی باورنکردنی شده است.

عامل‌های هوش مصنوعی، سریع‌ترین رشد را دارند و کمترین میزان نظارت را به خود اختصاص داده‌اند – آن‌ها نه تنها احراز هویت می‌کنند، بلکه اقدام نیز انجام می‌دهند. هزینه‌های ServiceNow برای خرید شرکت‌های فعال در حوزه امنیت در سال 2025 تا حدود 11.6 میلیارد دلار افزایش یافت؛ این نشان‌دهنده تغییر رویکرد از مدل‌ها به مدیریت هویت به‌عنوان هسته اصلی کنترل ریسک در سازمان‌ها است.

تحقیقات CyberArk در سال 2025 آنچه که تیم‌های امنیتی و توسعه‌دهندگان هوش مصنوعی مدت‌ها مشکوک به آن بودند را تأیید می‌کند: حالا هویت‌های ماشینی به‌طور گسترده از انسان پیشی گرفته‌اند. کاربران Microsoft Copilot Studio تنها در یک فصل، بیش از یک میلیون عامل هوش مصنوعی ایجاد کرده‌اند که نشان‌دهنده افزایش 130 درصدی نسبت به دوره قبل است. گارتنر (Gartner) پیش‌بینی می‌کند تا سال 2028، 25 درصد از نقض‌های امنیتی سازمانی ریشه در سوءاستفاده از عامل‌های هوش مصنوعی خواهد داشت.

توسعه‌دهندگان عمداً «عامل‌های سایه‌ای» یا حساب‌های کاربری با مجوزهای بیش‌ازحد ایجاد نمی‌کنند؛ بلکه این اتفاق به دلیل کندی سیستم‌های مدیریت دسترسی ابری (Cloud IAM)، عدم تطابق بررسی‌های امنیتی با گردش کار عامل‌ها، و پاداش دادن به سرعت در مقابل دقت رخ می‌دهد. رمزهای عبور ثابت به‌عنوان آسان‌ترین راه حل انتخاب می‌شوند – تا زمانی که به بردار نقض تبدیل شوند.

شکاف در مدیریت (Governance) بسیار فاحش است. بررسی CyberArk در سال 2025 با مشارکت 2600 تصمیم‌گیرنده امنیتی، یک اختلاف خطرناک را نشان می‌دهد: در حالی که هویت‌های ماشینی از انسان‌ها 82 برابر بیشتر هستند، 88 درصد از سازمان‌ها همچنان فقط هویت‌های انسانی را به عنوان «کاربران ممتاز» تعریف می‌کنند. در نتیجه، هویت‌های ماشینی به‌طور واقعی نسبت به انسان‌ها دسترسی بیشتری به منابع حساس دارند.

این آمار 42 درصدی نشان‌دهنده میلیون‌ها کلید API، حساب‌های کاربری سرویس و فرآیندهای خودکار با دسترسی به اطلاعات ارزشمند است که همگی تحت سیاست‌هایی مدیریت می‌شوند که برای کارکنان تمام‌وقت طراحی شده‌اند.

نبود شفافیت (Visibility) این مشکل را تشدید می‌کند. یک نظر سنجی گارتنر از 335 تن از رهبران IAM نشان می‌دهد که تیم‌های IAM تنها مسئول 44 درصد از هویت‌های ماشینی سازمان هستند؛ به عبارت دیگر، بیشتر آن‌ها خارج از دید امنیتی عمل می‌کنند. گارتنر هشدار می‌دهد که بدون یک استراتژی جامع برای مدیریت هویت ماشین، «سازمان‌ها در معرض خطر قرار می‌گیرند و ممکن است امنیت و یکپارچگی زیرساخت IT خود را به‌خطر بیاندازند.»

در برخی از نقض‌های امنیتی بررسی‌شده در سال 2024، مهاجمان مدل‌ها یا نقاط پایانی (Endpoints) را به خطر نینداخته‌اند، بلکه کلیدهای API با طول عمر زیاد مرتبط با گردش کارهای خودکار متروکه را مجدداً استفاده کرده‌اند – کلیدهایی که هیچ‌کس متوجه فعال بودن آن‌ها نشده بود زیرا عامل ایجادکننده آن‌ها دیگر وجود نداشت.

ظهور عامل‌های هوش مصنوعی که به اعتبارنامه‌های (credentials) اختصاصی خود نیاز دارند، دسته‌ای از هویت ماشینی را معرفی می‌کند که سیستم‌های قدیمی هرگز پیش‌بینی یا طراحی شده‌اند تا آن‌ها را مدیریت کنند. تحقیقات گارتنر به‌طور خاص استفاده از AI Agentic را به‌عنوان یک مورد کاربرد حیاتی برجسته می‌کنند: «عامل‌های هوش مصنوعی برای تعامل با سایر سیستم‌ها به اعتبارنامه‌ها نیاز دارند. در برخی موارد، آنها از اعتبارنامه‌های انسانی نمایندگی‌شده استفاده می کنند، در حالی که در موارد دیگر، آنها با اعتبارنامه‌های اختصاصی خود کار می کنند. این اعتبارنامه‌ها باید به‌دقت تعیین محدوده شوند تا اصل حداقل امتیاز (least privilege) رعایت شود.»

محققان همچنین پروتکل مدل Context Protocol (MCP) را به‌عنوان مثالی از این چالش ذکر کرده‌اند؛ همان پروتکلی که محققان امنیت در مورد فقدان احراز هویت ذاتی آن هشدار داده‌اند. MCP نه تنها فاقد احراز هویت است، بلکه با اجازه دادن به عامل‌ها برای پیمایش داده‌ها و ابزارها بدون یک سطح هویت پایدار و قابل ممیزی، مرزهای سنتی هویت را از بین می‌برد.

مشکل مدیریت زمانی تشدید می‌شود که سازمان‌ها به‌طور همزمان چندین ابزار GenAI را مستقر کنند. تیم‌های امنیتی باید دید کاملی نسبت به یکپارچه‌سازی‌های AI داشته باشند که قابلیت‌های اجرایی دارند، از جمله توانایی اجرای وظایف، و اینکه این قابلیت‌ها به‌درستی تعیین محدوده شده‌اند یا خیر.

پلتفرم‌هایی که هویت، نقاط پایانی و تله‌متری ابری را یکپارچه می‌کنند به‌عنوان تنها راه حل قابل اجرا برای شناسایی سوءاستفاده از عامل در زمان واقعی ظهور کرده‌اند. ابزارهای نقطه‌ای پراکنده به‌سادگی نمی‌توانند با سرعت ماشین پیشرفت کنند.

تعاملات دستگاه به دستگاه (Machine-to-machine interactions) از مقیاس و سرعتی برخوردار است که مدل‌های حکمرانی انسانی هرگز برای مدیریت آن طراحی نشده‌اند.

تحقیقات گارتنر نشان‌دهنده این است که هویت سرویس پویا (Dynamic service identities) مسیر پیش رو هستند. آن‌ها به‌عنوان اعتبارنامه‌های کوتاه‌مدت، دقیقاً تعیین شده و مبتنی بر سیاست تعریف می‌شوند که به‌طور چشمگیری سطح حمله را کاهش می‌دهند. از همین روی، گارتنر توصیه می‌کند رهبران امنیتی «به سمت یک مدل هویت سرویس پویا حرکت کنند به جای تکیه بر مدل حساب سرویس قدیمی». هویت‌های خدمات پویا نیازی به ایجاد حساب‌های جداگانه ندارند و در نتیجه بار مدیریتی و سطح حمله را کاهش می‌دهند.

هدف نهایی دستیابی به دسترسی به‌موقع (Just-in-Time) و امتیازات ثابت صفر است. پلتفرم‌هایی که هویت، نقاط پایانی و تله‌متری ابری را یکپارچه می‌کنند، روزبه‌روز بیشتر به‌عنوان تنها راه قابل اجرا برای شناسایی و مهار سوءاستفاده از عامل در سراسر زنجیره حمله هویت در حال ظهور هستند.

سازمان‌هایی که مدیریت هویت agentic را به خوبی انجام می‌دهند، آن را به‌عنوان یک همکاری بین تیم‌های امنیتی و توسعه‌دهندگان هوش مصنوعی تلقی می‌کنند. بر اساس راهنمای رهبران گارتنر (Gartner’s Leaders’ Guide)، دستورالعمل‌های OpenID Foundation و بهترین شیوه‌های ارائه دهندگان، اولویت‌های زیر برای سازمان‌هایی که عامل‌های AI را مستقر می‌کنند در حال ظهور هستند:

  • شناسایی جامع و ممیزی تمام حساب‌ها و اعتبارنامه‌ها: ابتدا یک خط مبنا (baseline) ایجاد کنید تا ببینید چه تعداد حساب کاربری و اعتبارنامه در استفاده است.
  • مدیریت موجودی عامل قبل از تولید: اطمینان حاصل کنید که توسعه‌دهندگان هوش مصنوعی می‌دانند چه چیزی را مستقر می‌کنند و تیم‌های امنیتی می‌دانند چه چیزی باید ردیابی شود. شکاف بین این توابع، ایجاد agent سایه‌ای را آسان‌تر می‌کند. یک ثبت نام مشترک باید مالکیت، مجوزها، دسترسی به داده‌ها و اتصالات API را برای هر هویت agentic قبل از رسیدن عامل‌ها به محیط‌های تولیدی پیگیری کند.
  • تعهد کامل به هویت سرویس پویا: از حساب‌های سرویس استاتیک به گزینه‌های بومی ابری مانند نقش‌های AWS IAM، identities مدیریت‌شده Azure یا حساب‌های سرویس Kubernetes منتقل شوید. این هویت‌ها کوتاه‌مدت هستند و باید به‌طور دقیق تعیین محدوده شده، مدیریت شده و مبتنی بر سیاست باشند.
  • اجرای اعتبارنامه‌ها Just-in-Time به جای secrets استاتیک: یکپارچه‌سازی اعطای اعتبارنامه just-in-time، چرخش خودکار secret و مقادیر پیش‌فرض حداقل امتیاز در خطوط لوله CI/CD و چارچوب‌های agent بسیار مهم است.
  • برقراری زنجیره تفویض قابل ردیابی: هنگامی که عامل‌ها زیر-عامل (sub-agents) ایجاد می‌کنند یا APIهای خارجی را فراخوانی می‌کنند، دنبال کردن زنجیره‌های مجوز دشوار می‌شود. اطمینان حاصل کنید که انسان‌ها مسئولیت تمام سرویس ها، از جمله عامل‌های هوش مصنوعی را بر عهده دارند. سازمان‌ها به خطوط مبنای رفتاری و تشخیص drift در زمان واقعی برای حفظ پاسخگویی نیاز دارند.
  • استقرار نظارت مداوم: با رعایت اصول اعتماد صفر (zero trust)، به‌طور مداوم از استفاده از اعتبارنامه‌های ماشینی با هدف متمایز شدن در قابلیت مشاهده (observability) استفاده کنید. این شامل حسابرسی است که به کمک تشخیص فعالیت‌های مشکوک مانند افزایش امتیاز و جابجایی جانبی می‌شود.
  • ارزیابی وضعیت مدیریت (Posture Management): مسیرهای بهره‌برداری بالقوه، میزان آسیب احتمالی (blast radius) و هرگونه دسترسی ادمین سایه‌ای را ارزیابی کنید. این شامل حذف دسترسی‌های غیرضروری یا منسوخ شده و شناسایی پیکربندی‌های نادرست است که مهاجمان می‌توانند از آن‌ها سوءاستفاده کنند.
  • شروع مدیریت چرخه حیات عامل: هر عاملی به نظارت انسانی نیاز دارد، چه بخشی از یک گروه agent باشد و چه در قالب فردی.

📌 توجه: این مطلب از منابع بین‌المللی ترجمه و بازنویسی شده است.