𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Translated for your language. Read the original.

AI-assisted draft.

İnsan Dışı Kimlikler: Sessiz Saldırı Yüzeyi

Çalışan sayınızı biliyorsunuz. Muhtemelen insan dışı kimlik sayınızı bilmiyorsunuz.

Çoğu şirket insanları korumaya odaklanır. İnsan kullanıcıları güvence altına almak için SSO ve MFA kullanırsınız. Bu işe yarıyor. İnsan hesaplarını hacklemek artık daha zor.

Siz insanları korurken, makine kimlikleri büyüyor. Service principal'lar, workload identity'ler ve AI rolleri artık insanlardan 10 ila 50 kat daha fazla.

Bu kimlikler İK sistemlerinde görünmez. Organizasyon şemalarında yer almazlar. Yine de bulut ortamınızda genellikle en yüksek erişim seviyesine sahiptirler.

Yüksek riskli alanlar şunları içerir: • Slack veya Salesforce'a geniş erişimi olan OAuth uygulamaları. • Service principal'lar ve managed identity'ler. • CI/CD pipeline kimlikleri. • AI servis rolleri.

Saldırganlar kolay yolu ararlar. İnsan hesapları güvende olduğu için makineleri hedef alırlar. Makineler üç ana sorundan muzdariptir: • Privilege Creep (Yetki Şişmesi): İzinler, ihtiyaç duyulduktan çok sonra bile aktif kalmaya devam eder. • Görünürlük Eksikliği: Aktif servis rollerinin veya OAuth yetkilerinin bir listesine sahip değilsiniz. • Uzun Ömürlü Kimlik Bilgileri: Statik anahtarlar kalıcı arka kapılar oluşturur.

Makine kimliklerini bir öncelik olarak ele almalısınız.

Onları güvence altına almak için şu adımları izleyin: • Workload Identity Federation kullanın. Statik anahtarları, OIDC aracılığıyla kısa ömürlü token'lar ile değiştirin. • Sürekli izleyin. Olağandışı davranışları tespit etmek için AWS IAM Access Analyzer gibi araçlar kullanın. • En az ayrıcalık (least privilege) ilkesini otomatize edin. Kullanılmayan izinleri otomatik olarak kaldırın. • AI kimliklerini yönetin. En baştan itibaren her AI servis rolünü envanterleyin.

Güvenlik ağlardan uç noktalara, oradan da insanlara geçti. Bir sonraki aşama ise insan dışı kimlikler.

AI ajanları çağında, saldırganların bir çalışanı hacklemesine gerek yok. Sadece tek bir token'a ihtiyaçları var.

Kimlik, yeni sınırınızdır. Çoğu zaman, o kimlik insan değildir.

Kaynak: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi

𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Continue reading

AI Ajan Kimlik Doğrulamasının Üç Katmanı

Yapay Zeka Ajanı Kimlik Sürekliliği Yeni Riskler Oluşturuyor

En Güvenli Sınır, Ajanın Aşamayacağı Sınırdır

𝗭𝗲𝗿𝗼 𝗧𝗼𝘂𝗰𝗵 𝗢𝗔𝘂𝘁𝗵: 𝗦𝗼𝗹𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗔𝘂𝘁𝗵 𝗖𝗿𝗶𝘀𝗶𝘀

Kaç Tane Yapay Zeka Ajanı Çalıştırdıklarını Kimse Bilmiyor