𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

आपकी भाषा के लिए अनुवादित. मूल पढ़ें.

AI-सहायता प्राप्त ड्राफ़्ट.

GyaanSetu Editorial5 घंटे पहले1मिनट पढ़ें

गैर-मानवीय पहचानें: एक अदृश्य हमला सतह

आप अपने कर्मचारियों की संख्या जानते हैं। लेकिन संभवतः आप अपनी गैर-मानवीय पहचानों (non-human identities) की संख्या नहीं जानते।

अधिकांश कंपनियाँ लोगों की सुरक्षा पर ध्यान केंद्रित करती हैं। आप मानव उपयोगकर्ताओं को सुरक्षित करने के लिए SSO और MFA का उपयोग करते हैं। यह काम करता है। मानव खातों को हैक करना अब कठिन हो गया है।

जबकि आप मनुष्यों की रक्षा कर रहे हैं, मशीन पहचानें (machine identities) बढ़ रही हैं। Service principals, workload identities, और AI roles अब मनुष्यों की तुलना में 10 से 50 गुना अधिक हैं।

ये पहचानें HR सिस्टम में दिखाई नहीं देतीं। वे org charts पर भी नहीं आतीं। फिर भी, उनके पास अक्सर आपके क्लाउड में उच्चतम स्तर की एक्सेस होती है।

उच्च-जोखिम वाले क्षेत्रों में शामिल हैं: • Slack या Salesforce तक व्यापक पहुंच वाले OAuth apps। • Service principals और managed identities। • CI/CD pipeline identities। • AI service roles।

हमलावर आसान रास्ता खोजते हैं। चूंकि मानव खाते सुरक्षित हैं, इसलिए वे मशीनों को निशाना बनाते हैं। मशीनें तीन मुख्य समस्याओं से जूझती हैं: • Privilege Creep: अनुमतियाँ (permissions) उनकी आवश्यकता समाप्त होने के बहुत बाद तक सक्रिय रहती हैं। • दृश्यता की कमी (Lack of Visibility): आपके पास सक्रिय service roles या OAuth grants की कोई सूची नहीं होती है। • Long-Lived Credentials: Static keys स्थायी बैकडोर बना देती हैं।

आपको मशीन पहचानों को प्राथमिकता देनी चाहिए।

उन्हें सुरक्षित करने के लिए इन चरणों का पालन करें: • Workload Identity Federation का उपयोग करें। OIDC के माध्यम से static keys को short-lived tokens से बदलें। • लगातार निगरानी करें। असामान्य व्यवहार का पता लगाने के लिए AWS IAM Access Analyzer जैसे टूल का उपयोग करें। • Least privilege को ऑटोमेट करें। अप्रयुक्त अनुमतियों को स्वचालित रूप से हटा दें। • AI पहचानों का शासन (Govern) करें। शुरुआत से ही प्रत्येक AI service role की इन्वेंट्री (inventory) बनाएं।

सुरक्षा नेटवर्क से एंडपॉइंट्स और फिर मनुष्यों तक पहुँच गई है। अगला चरण गैर-मानवीय पहचानें हैं।

AI agents के युग में, हमलावरों को किसी कर्मचारी को हैक करने की आवश्यकता नहीं है। उन्हें केवल एक टोकन की आवश्यकता है।

पहचान (Identity) आपकी नई सीमा (perimeter) है। अक्सर, वह पहचान मानवीय नहीं होती है।

Source: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

वैकल्पिक लर्निंग कम्युनिटी: https://t.me/GyaanSetuAi

𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

पढ़ना जारी रखें

AI एजेंट ऑथेंटिकेशन की तीन परतें

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗖𝗼𝗻𝘁𝗶𝗻𝘂𝗶𝘁𝘆 𝗖𝗿𝗲𝗮𝘁𝗲𝘀 𝗡𝗲𝘄 𝗥𝗶𝘀𝗸𝘀

𝗧𝗵𝗲 𝗦𝗮𝗳𝗲𝘀𝘁 𝗕𝗼𝘂𝗻𝗱𝗮𝗿𝘆 𝗜𝘀 𝗧𝗵𝗲 𝗢𝗻𝗲 𝗧𝗵𝗲 𝗔𝗴𝗲𝗻𝘁 𝗖𝗮𝗻'𝘁 𝗥𝗲𝗮𝗰𝗵 𝗔𝗰𝗿𝗼𝘀𝘀

ज़ीरो टच OAuth: AI एजेंट ऑथ संकट का समाधान

कोई नहीं जानता कि वे कितने AI एजेंट चला रहे हैं