𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial৫ ঘন্টা আগে1min read

নন-হিউম্যান আইডেন্টিটি: নিঃশব্দ অ্যাটাক সারফেস

আপনি আপনার কর্মচারীদের সংখ্যা জানেন। কিন্তু সম্ভবত আপনি আপনার নন-হিউম্যান আইডেন্টিটির (non-human identity) সংখ্যা জানেন না।

বেশিরভাগ কোম্পানি মানুষকে সুরক্ষিত করার দিকে মনোযোগ দেয়। আপনি মানব ব্যবহারকারীদের সুরক্ষিত করতে SSO এবং MFA ব্যবহার করেন। এটি কার্যকর। মানুষের অ্যাকাউন্টগুলো এখন হ্যাক করা কঠিন হয়ে পড়েছে।

আপনি যখন মানুষকে সুরক্ষিত করছেন, তখন মেশিন আইডেন্টিটি বা যন্ত্রের পরিচয় ক্রমাগত বাড়ছে। Service principals, workload identities এবং AI রোলগুলোর সংখ্যা এখন মানুষের তুলনায় ১০ থেকে ৫০ গুণ বেশি।

এই আইডেন্টিটিগুলো HR সিস্টেমে দেখা যায় না। এগুলো অর্গানাইজেশন চার্টেও (org charts) থাকে না। তবুও, এগুলো প্রায়শই আপনার ক্লাউডে সর্বোচ্চ পর্যায়ের অ্যাক্সেস বা প্রবেশাধিকার ধারণ করে।

উচ্চ-ঝুঁকিপূর্ণ ক্ষেত্রগুলোর মধ্যে রয়েছে: • Slack বা Salesforce-এ ব্যাপক অ্যাক্সেস সম্পন্ন OAuth অ্যাপস। • Service principals এবং managed identities। • CI/CD পাইপলাইন আইডেন্টিটি। • AI সার্ভিস রোল।

আক্রমণকারীরা সহজ পথ খোঁজে। যেহেতু মানুষের অ্যাকাউন্টগুলো সুরক্ষিত, তাই তারা মেশিনগুলোকে লক্ষ্য করে। মেশিনগুলো তিনটি প্রধান সমস্যায় ভোগে: • Privilege Creep: প্রয়োজনীয়তা শেষ হওয়ার অনেক পরেও পারমিশন বা অনুমতিগুলো সক্রিয় থাকে। • Lack of Visibility: আপনার কাছে সক্রিয় সার্ভিস রোল বা OAuth গ্র্যান্টের কোনো তালিকা থাকে না। • Long-Lived Credentials: স্ট্যাটিক কী (Static keys) স্থায়ী ব্যাকডোর তৈরি করে।

আপনাকে মেশিন আইডেন্টিটিকে অগ্রাধিকার দিতে হবে।

এগুলো সুরক্ষিত করতে নিচের পদক্ষেপগুলো অনুসরণ করুন: • Workload Identity Federation ব্যবহার করুন। OIDC-এর মাধ্যমে স্ট্যাটিক কী-এর পরিবর্তে স্বল্পমেয়াদী টোকেন ব্যবহার করুন। • ক্রমাগত মনিটর করুন। অস্বাভাবিক আচরণ শনাক্ত করতে AWS IAM Access Analyzer-এর মতো টুল ব্যবহার করুন। • Least privilege বা সর্বনিম্ন অনুমতির বিষয়টি অটোমেট করুন। অব্যবহৃত পারমিশনগুলো স্বয়ংক্রিয়ভাবে সরিয়ে ফেলুন। • AI আইডেন্টিটি নিয়ন্ত্রণ করুন। শুরু থেকেই প্রতিটি AI সার্ভিস রোলের তালিকা তৈরি করুন।

নিরাপত্তা নেটওয়ার্ক থেকে এন্ডপয়েন্ট এবং তারপর মানুষের কাছে পৌঁছেছে। এর পরবর্তী ধাপ হলো নন-হিউম্যান আইডেন্টিটি।

AI এজেন্টের যুগে, আক্রমণকারীদের কোনো কর্মচারীকে হ্যাক করার প্রয়োজন নেই। তাদের শুধু একটি টোকেন হলেই চলে।

আইডেন্টিটি বা পরিচয়ই এখন আপনার নতুন সীমানা (perimeter)। প্রায়শই, সেই পরিচয়টি কোনো মানুষের নয়।

উৎস: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

ঐচ্ছিক লার্নিং কমিউনিটি: https://t.me/GyaanSetuAi

𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Continue reading

AI এজেন্ট অথেন্টিকেশনের তিনটি স্তর

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗖𝗼𝗻𝘁𝗶𝗻𝘂𝗶𝘁𝘆 𝗖𝗿𝗲𝗮𝘁𝗲𝘀 𝗡𝗲𝘄 𝗥𝗶𝘀𝗸𝘀

সবচেয়ে নিরাপদ সীমানা হলো সেটি যা এজেন্ট অতিক্রম করতে পারে না

জিরো টাচ OAuth: AI এজেন্ট অথেন্টিকেশন সংকট সমাধান

তারা কতগুলো AI এজেন্ট চালাচ্ছে তা কেউ জানে না