மனிதர் அல்லாத அடையாளங்கள்: அமைதியான தாக்குதல் பரப்பு
உங்கள் ஊழியர்களின் எண்ணிக்கையை நீங்கள் அறிவீர்கள். ஆனால், மனிதர் அல்லாத அடையாளங்களின் (non-human identity) எண்ணிக்கையை நீங்கள் அறிந்திருக்க வாய்ப்பில்லை.
பெரும்பாலான நிறுவனங்கள் மனிதர்களைப் பாதுகாப்பதிலேயே கவனம் செலுத்துகின்றன. மனிதப் பயனர்களைப் பாதுகாக்க நீங்கள் SSO மற்றும் MFA ஆகியவற்றைப் பயன்படுத்துகிறீர்கள். இது பலன் அளிக்கிறது. மனிதக் கணக்குகளை ஹேக் செய்வது இப்போது கடினமாகிவிட்டது.
நீங்கள் மனிதர்களைப் பாதுகாக்கும் அதே வேளையில், இயந்திர அடையாளங்கள் (machine identities) அதிகரித்து வருகின்றன. Service principals, workload identities மற்றும் AI roles ஆகியவற்றின் எண்ணிக்கை இப்போது மனிதர்களை விட 10 முதல் 50 மடங்கு அதிகமாக உள்ளது.
இந்த அடையாளங்கள் HR அமைப்புகளில் தெரிவதில்லை. அவை நிறுவனத்தின் அமைப்பு வரைபடங்களிலும் (org charts) இடம்பெறுவதில்லை. இருப்பினும், அவை பெரும்பாலும் உங்கள் கிளவுடில் (cloud) மிக உயர்ந்த அளவிலான அணுகல் உரிமைகளைக் கொண்டுள்ளன.
அதிக ஆபத்துள்ள பகுதிகள்: • Slack அல்லது Salesforce ஆகியவற்றிற்கு விரிவான அணுகல் கொண்ட OAuth apps. • Service principals மற்றும் managed identities. • CI/CD pipeline அடையாளங்கள். • AI service roles.
தாக்குபவர்கள் எளிதான வழியைத் தேடுகிறார்கள். மனிதக் கணக்குகள் பாதுகாப்பாக இருப்பதால், அவர்கள் இயந்திரங்களையே குறிவைக்கிறார்கள். இயந்திரங்கள் மூன்று முக்கியப் பிரச்சனைகளைச் சந்திக்கின்றன: • Privilege Creep: அனுமதிகள் தேவைப்பட்ட காலத்திற்குப் பிறகும் நீண்ட காலம் செயல்பாட்டில் இருப்பது. • பார்வைத்திறன் இல்லாமை (Lack of Visibility): உங்களிடம் செயல்பாட்டில் உள்ள service roles அல்லது OAuth அனுமதிகளின் பட்டியல் இல்லை. • நீண்ட காலம் நீடிக்கும் சான்றுகள் (Long-Lived Credentials): நிலையான சாவிகள் (Static keys) நிரந்தரமான பின்வாசல் (backdoors) போன்றவற்றை உருவாக்குகின்றன.
இயந்திர அடையாளங்களை நீங்கள் முன்னுரிமையாகக் கருத வேண்டும்.
அவற்றைப் பாதுகாக்க இந்த வழிமுறைகளைப் பின்பற்றுங்கள்: • Workload Identity Federation-ஐப் பயன்படுத்தவும். Static keys-க்கு பதிலாக OIDC மூலம் குறுகிய கால டோக்கன்களைப் (short-lived tokens) பயன்படுத்தவும். • தொடர்ந்து கண்காணிக்கவும். அசாதாரணமான செயல்பாடுகளைக் கண்டறிய AWS IAM Access Analyzer போன்ற கருவிகளைப் பயன்படுத்தவும். • குறைந்தபட்ச உரிமைகளை (least privilege) தானியக்கமாக்கவும். பயன்படுத்தப்படாத அனுமதிகளைத் தானாகவே நீக்கவும். • AI அடையாளங்களை நிர்வகிக்கவும் (Govern). தொடக்கத்திலிருந்தே ஒவ்வொரு AI service role-ஐயும் பட்டியலிடவும்.
பாதுகாப்பு என்பது நெட்வொர்க்குகளிலிருந்து (networks) எண்ட்-பாயிண்டுகளுக்கும் (endpoints), அங்கிருந்து மனிதர்களுக்கும் மாறியுள்ளது. அடுத்த கட்டம் மனிதர் அல்லாத அடையாளங்கள் (non-human identities) ஆகும்.
AI ஏஜெண்டுகளின் (AI agents) காலத்தில், தாக்குபவர்கள் ஒரு ஊழியரை ஹேக் செய்ய வேண்டிய அவசியமில்லை. அவர்களுக்கு ஒரே ஒரு டோக்கன் (token) போதுமானது.
அடையாளமே (Identity) உங்கள் புதிய எல்லை (perimeter). பெரும்பாலும், அந்த அடையாளம் மனிதர் அல்லாத ஒன்றாக இருக்கும்.
ஆதாரம்: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie
விருப்பமான கற்றல் சமூகம்: https://t.me/GyaanSetuAi