𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Translated for your language. Read the original.

AI-assisted draft.

Danh tính phi nhân loại: Bề mặt tấn công thầm lặng

Bạn biết số lượng nhân viên của mình. Nhưng có lẽ bạn không biết số lượng danh tính phi nhân loại của mình.

Hầu hết các công ty đều tập trung vào việc bảo vệ con người. Bạn sử dụng SSO và MFA để bảo mật người dùng là con người. Điều này có hiệu quả. Các tài khoản người dùng hiện nay đã khó bị tấn công hơn.

Trong khi bạn bảo vệ con người, các danh tính máy móc lại đang tăng lên. Các service principal, workload identity và các vai trò AI hiện đang nhiều gấp 10 đến 50 lần so với con người.

Những danh tính này không xuất hiện trong hệ thống HR. Chúng không có mặt trên sơ đồ tổ chức. Tuy nhiên, chúng thường nắm giữ mức độ truy cập cao nhất trong đám mây của bạn.

Các khu vực rủi ro cao bao gồm: • Các ứng dụng OAuth có quyền truy cập rộng vào Slack hoặc Salesforce. • Các service principal và managed identities. • Các danh tính trong pipeline CI/CD. • Các vai trò dịch vụ AI.

Những kẻ tấn công luôn tìm kiếm con đường dễ dàng nhất. Vì các tài khoản con người đã được bảo mật, chúng sẽ nhắm vào máy móc. Máy móc đang gặp phải ba vấn đề chính: • Privilege Creep (Lạm phát đặc quyền): Các quyền hạn vẫn duy trì hoạt động rất lâu sau khi không còn cần thiết. • Thiếu khả năng hiển thị: Bạn không có danh sách các vai trò dịch vụ hoặc các quyền OAuth đang hoạt động. • Thông tin xác thực tồn tại lâu dài: Các khóa tĩnh tạo ra các cửa sau (backdoor) vĩnh viễn.

Bạn phải coi các danh tính máy móc là một ưu tiên hàng đầu.

Hãy thực hiện các bước sau để bảo mật chúng: • Sử dụng Workload Identity Federation. Thay thế các khóa tĩnh bằng các token có thời hạn ngắn thông qua OIDC. • Giám sát liên tục. Sử dụng các công cụ như AWS IAM Access Analyzer để phát hiện các hành vi bất thường. • Tự động hóa nguyên tắc đặc quyền tối thiểu (least privilege). Tự động loại bỏ các quyền không được sử dụng. • Quản trị các danh tính AI. Kiểm kê mọi vai trò dịch vụ AI ngay từ đầu.

Bảo mật đã chuyển dịch từ mạng lưới sang các điểm cuối (endpoints) rồi đến con người. Giai đoạn tiếp theo chính là các danh tính phi nhân loại.

Trong kỷ nguyên của các AI agents, những kẻ tấn công không cần phải hack một nhân viên. Chúng chỉ cần một token duy nhất.

Danh tính chính là vành đai bảo mật mới của bạn. Và thông thường, danh tính đó không phải là con người.

Source: https://dev.to/alifunk/non-human-identities-the-silent-attack-surface-no-one-is-monitoring-45ie

Optional learning community: https://t.me/GyaanSetuAi

𝗡𝗼𝗻 𝗛𝘂𝗺𝗮𝗻 𝗜𝗱𝗲𝗻𝘁𝗶𝘁𝗶𝗲𝘀: 𝗧𝗵𝗲 𝗦𝗶𝗹𝗲𝗻𝘁 𝗔𝘁𝘁𝗮𝗰𝗸 𝗦𝘂𝗿𝗳𝗮𝗰𝗲

Continue reading

Ba lớp xác thực của tác nhân AI

Tính liên tục của danh tính AI Agent tạo ra những rủi ro mới

Ranh giới an toàn nhất là ranh giới mà tác nhân không thể vượt qua

Zero Touch OAuth: Giải quyết cuộc khủng hoảng xác thực AI Agent

Không ai biết họ đang vận hành bao nhiêu AI Agent