બિન-માનવ ઓળખ: શાંત હુમલાની સપાટી

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial5 કલાક પહેલાં1min read

બિન-માનવીય ઓળખ (Non-Human Identities): એક છુપો હુમલાનો વિસ્તાર

તમે તમારા કર્મચારીઓની સંખ્યા જાણો છો. પરંતુ તમે કદાચ તમારી બિન-માનવીય ઓળખ (non-human identity) ની સંખ્યા જાણતા નથી.

મોટાભાગની કંપનીઓ લોકોને સુરક્ષિત રાખવા પર ધ્યાન કેન્દ્રિત કરે છે. તમે માનવીય વપરાશકર્તાઓને સુરક્ષિત કરવા માટે SSO અને MFA નો ઉપયોગ કરો છો. આ પદ્ધતિ કામ કરે છે. માનવીય એકાઉન્ટ્સને હેક કરવું હવે મુશ્કેલ બની ગયું છે.

જ્યારે તમે માનવીઓને સુરક્ષિત કરો છો, ત્યારે મશીન આઈડેન્ટિટીઝ (machine identities) વધતી જાય છે. Service principals, workload identities અને AI roles ની સંખ્યા હવે માનવીઓ કરતા 10 થી 50 ગણી વધારે છે.

આ ઓળખ HR સિસ્ટમ્સમાં દેખાતી નથી. તેઓ ઓર્ગેનાઈઝેશન ચાર્ટમાં પણ હોતા નથી. તેમ છતાં, તેઓ ઘણીવાર તમારા ક્લાઉડમાં ઉચ્ચ સ્તરની એક્સેસ ધરાવે છે.

ઉચ્ચ-જોખમ ધરાવતા ક્ષેત્રોમાં શામેલ છે: • Slack અથવા Salesforce માં વ્યાપક એક્સેસ ધરાવતી OAuth એપ્સ. • Service principals અને managed identities. • CI/CD pipeline identities. • AI service roles.

હુમલાખોરો સરળ રસ્તો શોધે છે. માનવીય એકાઉન્ટ્સ સુરક્ષિત હોવાથી, તેઓ મશીનોને નિશાન બનાવે છે. મશીનો મુખ્ય ત્રણ સમસ્યાઓનો સામનો કરે છે: • Privilege Creep: પરમિશનની જરૂરિયાત પૂરી થયા પછી પણ તે લાંબા સમય સુધી સક્રિય રહે છે. • વિઝિબિલિટીનો અભાવ: તમારી પાસે સક્રિય service roles અથવા OAuth grants ની કોઈ યાદી હોતી નથી. • Long-Lived Credentials: સ્ટેટિક કી (static keys) કાયમી બેકડોર બનાવે છે.

તમારે મશીન આઈડેન્ટિટીઝને પ્રાથમિકતા આપવી જોઈએ.

તેમને સુરક્ષિત કરવા માટે આ પગલાં અનુસરો: • Workload Identity Federation નો ઉપયોગ કરો. OIDC દ્વારા સ્ટેટિક કીને ટૂંકા ગાળાના ટોકન્સ (short-lived tokens) સાથે બદલો. • સતત મોનિટર કરો. અસામાન્ય વર્તણૂક શોધવા માટે AWS IAM Access Analyzer જેવા સાધનોનો ઉપયોગ કરો. • Least privilege ને ઓટોમેટ કરો. બિનઉપયોગી પરમિશનને આપમેળે દૂર કરો. • AI આઈડેન્ટિટીઝનું ગવર્નન્સ કરો. શરૂઆતથી જ દરેક AI service role ની યાદી બનાવો.

સુરક્ષા નેટવર્કથી એન્ડપોઈન્ટ્સ અને પછી માનવીઓ સુધી પહોંચી છે. હવે પછીનો તબક્કો બિન-માનવીય ઓળખ (non-human identities) છે.

AI એજન્ટ્સના યુગમાં, હુમલાખોરોને કર્મચારીને હેક કરવાની જરૂર નથી. તેમને ફક્ત એક ટોકનની જરૂર છે.

આઈડેન્ટિટી એ તમારી નવી પેરિમીટર (perimeter) છે. ઘણીવાર, તે ઓળખ માનવીય હોતી નથી.

સ્ત્રોત: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

વૈકલ્પિક લર્નિંગ કોમ્યુનિટી: https://t.me/GyaanSetuAi

બિન-માનવ ઓળખ: શાંત હુમલાની સપાટી

Continue reading

AI એજન્ટ ઓથના ત્રણ સ્તરો

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗖𝗼𝗻𝘁𝗶𝗻𝘂𝗶𝘁𝘆 𝗖𝗿𝗲𝗮𝘁𝗲𝘀 𝗡𝗲𝘄 𝗥𝗶𝘀𝗸𝘀

સૌથી સુરક્ષિત સીમા તે છે જેના પર એજન્ટ પહોંચી શકતો નથી

𝗭𝗲𝗿𝗼 𝗧𝗼𝘂𝗰𝗵 𝗢𝗔𝘂𝘁𝗵: 𝗦𝗼𝗹𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗔𝘂𝘁𝗵 𝗖𝗿𝗶𝘀𝗶𝘀

તેઓ કેટલા AI એજન્ટ્સ ચલાવી રહ્યા છે તે કોઈ જાણતું નથી