𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial५ तासांपूर्वी1min read

𝗡𝗼𝗻-𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

तुम्हाला तुमच्या कर्मचाऱ्यांची संख्या माहित आहे. परंतु, तुम्हाला तुमच्या नॉन-ह्युमन आयडेंटिटीची (non-human identity) संख्या कदाचित माहित नसेल.

बहुतेक कंपन्या लोकांच्या संरक्षणावर लक्ष केंद्रित करतात. मानवी वापरकर्त्यांना सुरक्षित करण्यासाठी तुम्ही SSO आणि MFA वापरता. हे प्रभावी आहे. मानवी खाती (accounts) आता हॅक करणे कठीण झाले आहे.

तुम्ही मानवांचे संरक्षण करत असतानाच, मशीन आयडेंटिटीजची (machine identities) संख्या वाढत आहे. सर्विस प्रिन्सिपल्स (Service principals), वर्कलोड आयडेंटिटीज (workload identities) आणि AI रोल्सची संख्या आता मानवांपेक्षा १० ते ५० पटीने जास्त आहे.

या आयडेंटिटीज HR सिस्टममध्ये दिसत नाहीत. त्या ऑर्ग चार्ट्सवर (org charts) देखील आढळत नाहीत. तरीही, तुमच्या क्लाउडमध्ये त्यांच्याकडे अनेकदा सर्वोच्च स्तरावरील ॲक्सेस असतो.

उच्च-जोखीम असलेल्या क्षेत्रांमध्ये खालील गोष्टींचा समावेश होतो: • Slack किंवा Salesforce ला व्यापक ॲक्सेस असलेल्या OAuth apps. • सर्विस प्रिन्सिपल्स आणि मॅनेज्ड आयडेंटिटीज. • CI/CD पाइपलाइन आयडेंटिटीज. • AI सर्विस रोल्स.

हल्लेखोर नेहमी सोपा मार्ग शोधतात. मानवी खाती सुरक्षित असल्याने, ते मशीनला लक्ष्य करतात. मशीनमध्ये तीन मुख्य समस्या उद्भवतात: • प्रिव्हिलेज क्रीप (Privilege Creep): आवश्यकतेनंतरही परवानग्या (permissions) दीर्घकाळ सक्रिय राहतात. • व्हिजिबिलिटीचा अभाव (Lack of Visibility): तुमच्याकडे सक्रिय सर्विस रोल्स किंवा OAuth ग्रँट्सची कोणतीही यादी नसते. • दीर्घकाळ टिकणारे क्रेडेंशियल्स (Long-Lived Credentials): स्टॅटिक कीज (static keys) कायमस्वरूपी बॅकडोअर्स तयार करतात.

तुम्ही मशीन आयडेंटिटीजना प्राधान्य दिले पाहिजे.

त्यांना सुरक्षित करण्यासाठी या पायऱ्या फॉलो करा: • Workload Identity Federation वापरा. OIDC द्वारे स्टॅटिक कीजच्या जागी अल्पकाळ टिकणारे टोकन्स (short-lived tokens) वापरा. • सतत मॉनिटर करा. असामान्य वर्तन शोधण्यासाठी AWS IAM Access Analyzer सारखी साधने वापरा. • 'लिस्ट प्रिव्हिलेज' (least privilege) ऑटोमेट करा. न वापरल्या जाणाऱ्या परवानग्या आपोआप काढून टाका. • AI आयडेंटिटीजचे गव्हर्नन्स करा. सुरुवातीपासूनच प्रत्येक AI सर्विस रोलची नोंद (inventory) ठेवा.

सुरक्षा आता नेटवर्क्सकडून एंडपॉइंट्सकडे आणि तिथून मानवांकडे वळली आहे. पुढचा टप्पा म्हणजे नॉन-ह्युमन आयडेंटिटीज.

AI एजंट्सच्या युगात, हल्लेखोरांना कर्मचाऱ्याला हॅक करण्याची गरज नाही. त्यांना फक्त एका टोकनची गरज आहे.

आयडेंटिटी हा तुमचा नवीन पेरिमिटर (perimeter) आहे. अनेकदा, ती आयडेंटिटी मानवी नसते.

Source: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

Optional learning community: https://t.me/GyaanSetuAi

𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Continue reading

AI एजंट ऑथेंटिकेशनचे तीन स्तर

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗖𝗼𝗻𝘁𝗶𝗻𝘂𝗶𝘁𝘆 𝗖𝗿𝗲𝗮𝘁𝗲𝘀 𝗡𝗲𝘄 𝗥𝗶𝘀𝗸𝘀

सर्वात सुरक्षित सीमा ती आहे जिथे एजंट पोहोचू शकत नाही

𝗭𝗲𝗿𝗼 𝗧𝗼𝘂𝗰𝗵 𝗢𝗔𝘂𝘁𝗵: 𝗦𝗼𝗹𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗔𝘂𝘁𝗵 𝗖𝗿𝗶𝘀𝗶𝘀

ते किती AI एजंट्स चालवत आहेत हे कोणालाच माहित नाही