غیر انسانی شناختیں: خاموش حملے کی سطح

Translated for your language. Read the original.

AI-assisted draft.

GyaanSetu Editorial5 گھنٹے پہلے1min read

غیر انسانی شناختیں: خاموش حملہ آور سطح

آپ اپنے ملازمین کی تعداد جانتے ہیں۔ غالباً آپ غیر انسانی شناختوں (non-human identities) کی تعداد سے واقف نہیں ہیں۔

زیادہ تر کمپنیاں لوگوں کے تحفظ پر توجہ مرکوز کرتی ہیں۔ آپ انسانی صارفین کو محفوظ بنانے کے لیے SSO اور MFA کا استعمال کرتے ہیں۔ یہ طریقہ کار کام کرتا ہے۔ اب انسانی اکاؤنٹس کو ہیک کرنا مشکل ہو گیا ہے۔

جہاں آپ انسانوں کا تحفظ کر رہے ہیں، وہیں مشین کی شناختیں (machine identities) تیزی سے بڑھ رہی ہیں۔ Service principals، workload identities، اور AI roles اب انسانوں کے مقابلے میں 10 سے 50 گنا زیادہ ہیں۔

یہ شناختیں HR سسٹمز میں نظر نہیں آتیں۔ یہ آرگنائزیشنل چارٹس (org charts) پر بھی ظاہر نہیں ہوتیں۔ اس کے باوجود، اکثر آپ کے کلاؤڈ میں ان کے پاس اعلیٰ ترین سطح کی رسائی (access) ہوتی ہے۔

پرخطر شعبوں میں شامل ہیں: • Slack یا Salesforce تک وسیع رسائی رکھنے والی OAuth apps۔ • Service principals اور managed identities۔ • CI/CD pipeline identities۔ • AI service roles۔

حملہ آور آسان راستہ تلاش کرتے ہیں۔ چونکہ انسانی اکاؤنٹس محفوظ ہیں، اس لیے وہ مشینوں کو نشانہ بناتے ہیں۔ مشینیں تین اہم مسائل کا شکار ہوتی ہیں: • Privilege Creep: اجازت نامے (permissions) ضرورت ختم ہونے کے طویل عرصے بعد تک فعال رہتے ہیں۔ • Visibility کی کمی: آپ کے پاس فعال service roles یا OAuth grants کی کوئی فہرست نہیں ہوتی۔ • Long-Lived Credentials: اسٹیٹک کیز (static keys) مستقل بیک ڈورز (backdoors) بنا دیتی ہیں۔

آپ کو مشین کی شناختوں کو ترجیح دینا چاہیے۔

انہیں محفوظ بنانے کے لیے ان اقدامات پر عمل کریں: • Workload Identity Federation کا استعمال کریں۔ OIDC کے ذریعے اسٹیٹک کیز کو مختصر مدت کے ٹوکنز (short-lived tokens) سے بدل دیں۔ • مسلسل نگرانی کریں۔ غیر معمولی طرز عمل کا پتہ لگانے کے لیے AWS IAM Access Analyzer جیسے ٹولز استعمال کریں۔ • Least privilege کو خودکار بنائیں۔ غیر استعمال شدہ اجازت ناموں کو خودکار طریقے سے ختم کریں۔ • AI شناختوں کا نظم و ضبط (govern) برقرار رکھیں۔ شروع سے ہی ہر AI service role کا انوینٹری ریکارڈ رکھیں۔

سیکیورٹی نیٹ ورکس سے اینڈ پوائنٹس اور پھر انسانوں تک منتقل ہو چکی ہے۔ اگلا مرحلہ غیر انسانی شناختیں (non-human identities) ہیں۔

AI ایجنٹس کے دور میں، حملہ آوروں کو کسی ملازم کو ہیک کرنے کی ضرورت نہیں ہے۔ انہیں صرف ایک ٹوکن کی ضرورت ہوتی ہے۔

شناخت آپ کی نئی سرحد (perimeter) ہے۔ اکثر، وہ شناخت انسانی نہیں ہوتی۔

ماخذ: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

اختیاری لرننگ کمیونٹی: https://t.me/GyaanSetuAi

غیر انسانی شناختیں: خاموش حملے کی سطح

Continue reading

𝗧𝗵𝗲 𝗧𝗵𝗿𝗲𝗲 𝗟𝗮𝘆𝗲𝗿𝘀 𝗼𝗳 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗔𝘂𝗍𝗵

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝘆 𝗖𝗼𝗻𝘁𝗶𝗻𝘂𝗶𝘁𝘆 𝗖𝗿𝗲𝗮𝘁𝗲𝘀 𝗡𝗲𝘄 𝗥𝗶𝘀𝗸𝘀

𝗧𝗵𝗲 𝗦𝗮𝗳𝗲𝘀𝘁 𝗕𝗼𝘂𝗻𝗱𝗮𝗿𝘆 𝗜𝘀 𝗧𝗵𝗲 𝗢𝗻𝗲 𝗧𝗵𝗲 𝗔𝗴𝗲𝗻𝘁 𝗖𝗮𝗻'𝘁 𝗥𝗲𝗮𝗰𝗵 𝗔𝗰𝗿𝗼𝘀𝘀

𝗭𝗲𝗿𝗼 𝗧𝗼𝘂𝗰𝗵 𝗢𝗔𝘂𝘁𝗵: 𝗦𝗼𝗹𝘃𝗶𝗻𝗴 𝘁𝗵𝗲 𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗔𝘂𝘁𝗵 𝗖𝗿𝗶𝘀𝗶𝘀

کوئی نہیں جانتا کہ وہ کتنے AI ایجنٹس چلا رہے ہیں