Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

Cómo obtener el control de los agentes de IA y las identidades no humanas

Cómo obtener el control de los agentes de IA y las identidades no humanas

Escuchamos mucho esto:

«Tenemos cientos de cuentas de servicio y agentes de IA que se ejecutan en segundo plano. No creamos la mayoría de ellas. No sabemos quién las posee. ¿Cómo se supone que debemos asegurarlas?»

Cada empresa hoy se ejecuta en más que usuarios. Detrás de escena, miles de identidades no humanas, desde cuentas de servicio hasta tokens API y agentes de IA, sistemas de acceso, mueven datos y ejecutan tareas durante todo el día.

No son nuevos. Pero se están multiplicando rápido. Y la mayoría no se construyó con seguridad en mente.

Las herramientas de identidad tradicionales asumen intención, contexto y propiedad. Las identidades no humanas no tienen ninguno de esos. No inician sesión y salen. No se quedan fuera de borde. Y con el surgimiento de los agentes autónomos, comienzan a tomar sus propias decisiones, a menudo con amplios permisos y poca supervisión.

Ya está creando nuevos puntos ciegos. Pero solo estamos al principio.

En esta publicación, veremos cómo está evolucionando el riesgo de identidad no humano, donde la mayoría de las organizaciones aún están expuestas y cómo un tejido de seguridad de identidad ayuda a los equipos de seguridad a avanzar antes de que la escala se vuelva inmanejable.

El aumento (y el riesgo) de las identidades no humanas

Las arquitecturas de la primera nube aumentaron la complejidad de la infraestructura y provocaron un aumento en las identidades de fondo. A medida que estos entornos crecen, el número de identidades de fondo crece con ellos, muchos de los cuales se crean automáticamente, sin una propiedad o supervisión clara. En muchos casos, estas identidades superan en número a los usuarios humanos en más de 80 a 1.

Lo que hace que eso sea especialmente arriesgado es lo poco que la mayoría de los equipos saben sobre ellos. Los NHI a menudo se crean automáticamente durante el despliegue o el aprovisionamiento, luego desaparecen del radar, no se vean, sin ser positivo y a menudo exagerados.

Las cuentas de servicio, en particular, están en todas partes. Mueven datos entre sistemas, ejecutan trabajos programados y autentican servicios sin cabeza. Pero su expansión rara vez es visible, y sus permisos rara vez se revisan. Con el tiempo, se convierten en vehículos perfectos para el movimiento lateral y la escalada de privilegios.

Pero las cuentas de servicio son solo parte de la imagen. A medida que crece la adopción de AI, una nueva categoría de identidad no humana introduce un riesgo aún más impredecible.

Por qué los agentes de IA se comportan de manera diferente y por qué importa

A diferencia de la mayoría de las identidades de la máquina, los agentes de IA inician acciones por su cuenta; interactuar con API, consultar datos y tomar decisiones de forma autónoma.

Esa autonomía tiene un costo. Los agentes de IA a menudo necesitan acceso a datos y API confidenciales, pero pocas organizaciones tienen barandillas para lo que pueden hacer o cómo revocar ese acceso.

Peor aún, la mayoría de los agentes de IA carecen de propiedad clara, no siguen el ciclo de vida estándar y ofrecen poca visibilidad sobre su comportamiento del mundo real. Pueden ser implementados por desarrolladores, integrados en herramientas o llamados a través de API externos. Una vez que viven, pueden funcionar indefinidamente, a menudo con credenciales persistentes y permisos elevados.

Y debido a que no están vinculados a un usuario o sesión, los agentes de IA son difíciles de monitorear utilizando señales de identidad tradicionales como IP, ubicación o contexto del dispositivo.

LEER  Los investigadores descubren ~ 200 dominios C2 únicos vinculados al corredor de acceso Raspberry Robin

El costo del acceso invisible

Los secretos se codifican. Los tokens se reutilizan. Las identidades huérfanas permanecen activas durante meses, a veces años.

Estos riesgos no son nuevos, pero las credenciales estáticas y el acceso abierto pueden haber sido manejables cuando tuvo algunas docenas de cuentas de servicio. Pero con miles, o decenas de miles, de NHIS operando independientemente a través de los servicios en la nube, el seguimiento manual simplemente no se escala.

Es por eso que muchos equipos de seguridad revisan cómo definen la identidad en primer lugar. Porque si un agente de IA puede autenticarse, acceder a los datos y tomar decisiones, es una identidad. Y si esa identidad no se rige, es una responsabilidad.

Desafíos de seguridad NHI comunes

Comprender que las identidades no humanas representan un riesgo creciente es una cosa; Gestionar ese riesgo es otro. El problema principal es que las herramientas y procesos creados para la gestión de la identidad humana no se traducen en el mundo de las API, las cuentas de servicio y los agentes de IA. Esta desconexión crea varios desafíos de seguridad distintos y peligrosos que muchas organizaciones apenas comienzan a enfrentar.

No puedes proteger lo que no puedes ver

El desafío más fundamental para asegurar NHIS es la visibilidad. La mayoría de los equipos de seguridad no tienen un inventario completo de todas las identidades no humanas que operan en su entorno. Estas identidades a menudo son creadas dinámicamente por desarrolladores o sistemas automatizados para cumplir una función específica y temporal. Se hacen pasar por admitir un nuevo microservicio, ejecutar un script de implementación o integrar una aplicación de terceros.

Una vez creado, sin embargo, rara vez se documentan o rastrean en un sistema central de gestión de identidad. Se convierten en identidades «sombras», activas y funcionales, pero completamente invisibles para la seguridad y la TI. Sin una visión integral de lo que existen, quién (o qué) los creó y a qué están accediendo, es imposible construir una estrategia de seguridad significativa. Te quedas tratando de asegurar una superficie de ataque de un tamaño desconocido.

Por qué «establecerlo y olvidarlo» es un pasivo de seguridad

Una práctica común para desarrolladores y equipos de operaciones es asignar amplios permisos a NHIS para garantizar que un servicio o aplicación funcione sin interrupción. Piense en ello como instalar una aplicación que solicita acceso a su rollo de cámara, micrófono y ubicación. Toque «Permitir» solo para que funcione, luego olvídalo.

Es más rápido y más conveniente en este momento, pero introduce riesgos innecesarios. Del mismo modo, asignar permisos demasiado amplios a NHIS podría facilitar la configuración, pero crea brechas de seguridad significativas, dejando a sus sistemas vulnerables a la explotación.

El principio de menor privilegio a menudo se sacrifica por velocidad y conveniencia. Es posible que un NHI solo necesite leer datos de una tabla de base de datos, pero se le otorga acceso de escritura a toda la base de datos para evitar futuros errores relacionados con el permiso.

Este enfoque crea una responsabilidad de seguridad masiva. Estas identidades excesivas se convierten en objetivos de alto valor para los atacantes. Si un actor de amenaza compromete a un NHI con privilegios excesivos, puede moverse lateralmente a través de los sistemas, aumentar su acceso y exfiltrar datos confidenciales sin necesidad de las credenciales de un usuario humano.

LEER  6 Ataques basados ​​en el navegador Los equipos de seguridad deben prepararse en este momento

Debido a cómo rara vez se revisan o desprisionan NHIS, estas cuentas permisivas pueden permanecer activas y vulnerables durante meses o incluso años, esperando ser explotadas.

Sin contexto, sin controles modernos

La seguridad de la identidad moderna se basa en contexto. Cuando un usuario inicia sesión, podemos verificar su identidad utilizando señales como su ubicación, dispositivo y red, a menudo solicitando la autenticación multifactor (MFA) si algo parece inusual. NHIS no tiene nada de este contexto. Solo se están ejecutando en código en un servidor. No tienen un dispositivo, una ubicación geográfica o patrones de comportamiento que se puedan monitorear fácilmente.

Debido a que se autentican con credenciales estáticas de larga vida, MFA no se aplica. Esto significa que si se roba una credencial, no hay segundo factor para evitar que un atacante la use. La ausencia de controles de acceso conscientes del contexto hace que sea increíblemente difícil distinguir entre actividad NHI legítima y maliciosa hasta que sea demasiado tarde.

Identidades huérfanas y fantasmas digitales

¿Qué sucede cuando el desarrollador que creó una cuenta de servicio deja a la empresa? ¿O cuando una aplicación que usó un token API específico está desmantelado? En la mayoría de las organizaciones, los NHI asociados se quedan atrás. Estas identidades «huérfanas» o «persistentes» permanecen activas, con sus permisos intactos, pero con ningún propietario responsable de su ciclo de vida.

Estos fantasmas digitales son una pesadilla de cumplimiento y un riesgo de seguridad. Acumulan el medio ambiente, lo que dificulta identificar identidades legítimas y activas. Más importante aún, representan un punto de entrada abandonado y sin monitorear en sus sistemas. Un atacante que descubre una identidad huérfana con credenciales válidas ha encontrado una puerta trasera perfecta, una que nadie está viendo.

Cómo los equipos de seguridad están recuperando el control

Frente a una superficie de ataque que se está expandiendo y se vuelve más autónoma, los equipos de seguridad líderes están cambiando de soluciones reactivas a gobernanza proactiva. Ese cambio comienza con el reconocimiento de cada sistema, script y agente acreditado como una identidad que vale la pena gobernar.

Descubrir e inventario todo nhis

Las plataformas de identidad modernas pueden escanear entornos como AWS, GCP e infraestructura en el primer momento para superficie de tokens ocultos, cuentas de servicio no administradas y roles de permisión demasiado.

Estas herramientas reemplazan las hojas de cálculo y las conjeturas con un inventario unificado en tiempo real de las identidades humanas y no humanas. Sin esta base, la gobernanza es solo conjeturas. Con él, los equipos de seguridad finalmente pueden pasar de jugar Whack-A-Mole con cuentas de servicio a construir un control real.

Triage y abordar las identidades de alto riesgo primero

Con un inventario completo en su lugar, el siguiente paso es reducir el radio potencial de explosión. No todos los NHIS plantean el mismo nivel de riesgo. La clave es priorizar la remediación basada en permisos y acceso. La gestión de privilegios basados ​​en el riesgo ayuda a identificar qué identidades están peligrosamente excesivas.

A partir de ahí, los equipos pueden el acceso sistemáticamente a la derecha para alinearse con el principio de menor privilegio. Esto también implica la implementación de controles más fuertes, como la rotación automatizada para secretos y credenciales. Para el NHIS más poderoso, como los agentes de IA autónomos, es fundamental tener «interruptores de muerte» que permitan la terminación inmediata de la sesión si se detecta un comportamiento anómalo.

LEER  La nueva herramienta de IA de Facebook solicita subir sus fotos para ideas de historias, provocando preocupaciones de privacidad

Automatizar la gobernanza y el ciclo de vida

Las identidades humanas tienen políticas de ciclo de vida: incorporación, cambios de roles, fuera de borda. Las identidades no humanas necesitan el mismo rigor.

Las organizaciones líderes están automatizando estos procesos de extremo a extremo. Cuando se crea un nuevo NHI, se le asigna un propietario, se les da permisos de alcance y se agrega a un inventario auditable. Cuando una herramienta está retirada o un desarrollador se va, las identidades asociadas se desprenden automáticamente, cerrando la puerta en cuentas huérfanas y garantizar que el acceso no persiga indefinidamente.

Por qué una tela de seguridad de identidad cambia la ecuación

Muchos de los riesgos vinculados a las identidades no humanas tienen menos que ver con las identidades mismas y más con los sistemas fragmentados que intentan administrarlos.

Cada proveedor de la nube, herramienta CI/CD y plataforma AI manejan la identidad de manera diferente. Algunos usan tokens estáticos. Algunos emiten credenciales durante la implementación. Algunos no expiran el acceso en absoluto. Sin un sistema compartido para definir la propiedad, asignar permisos y hacer cumplir las barandillas, la expansión crece sin control.

Una tela de seguridad de identidad unificada cambia esto al consolidar todas las identidades, humanas y no humanas, bajo un solo plano de control. Y con Okta, eso significa:

  • Surfaciendo automáticamente las identidades y las brechas de postura con la gestión de postura de seguridad de identidad (ISPM)
  • Aplicar acceso de menos privilegio con rotación y bóveda para secretos sensibles
  • Definición de las políticas del ciclo de vida para cada identidad, incluidos los agentes y las cuentas de servicio
  • Extender patrones de identidad de carga de trabajo (tokens de corta duración, credenciales del cliente) y acceso adaptativo a servicios y trabajos de fondo
  • Gobierno de acceso a servicios de AWS como Bedrock y Amazon Q, mientras que AWS IAM emite y hace cumplir las credenciales de agente/carga de trabajo subyacente

En lugar de unir soluciones, los equipos pueden definir los controles de identidad una vez y aplicarlos en todas partes. Eso significa menos puntos ciegos, tiempos de respuesta más rápidos y una superficie de ataque más pequeña, sin necesidad de diez herramientas diferentes para llegar allí.

No dejes que NHIS se convierta en tu punto ciego más grande

Los agentes de IA y las identidades no humanas ya están remodelando su superficie de ataque. Se están multiplicando más rápido que la mayoría de los equipos pueden rastrear y muchos todavía operan sin una propiedad clara, controles fuertes o cualquier visibilidad real.

No necesita reconstruir su estrategia desde cero. Pero tu hacer Necesita tratar identidades no humanas como lo que son: puntos de acceso críticos que merecen el mismo gobierno que cualquier usuario.

Con una plataforma de identidad unificada, los equipos de seguridad pueden inventar las que se ejecuta, aplicar controles escalables y cortar el acceso de riesgo antes de explotarse, no después.

Vea cómo OKTA y AWS ayudan a las organizaciones a traer orden a la expansión NHI. (Descargue la guía) para comenzar.

spot_img
Artículo anterior
Najee Harris de Chargers sufrió un Aquiles desgarrado en la Semana 3 contra los Broncos
Artículo siguiente
BMW se está asociando con Toyota para el nuevo SUV de hidrógeno IX5, pero ¿por qué?

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial