Blade Runner filmindeki replikantların aramızda dolaştığı hayal edildiğinden 44 yıl sonra, güvenlik ekipleri kendi insan olmayan iş güçlerini yönetmek zorunda. Bu replikantların hesapları, izinleri ve hassas verilere erişimleri var. Bunlar yapay zeka ajanları, servis hesapları, OAuth uygulamaları, iş yükü kimlikleri ve birçok kurumsal ortamda insanlardan sayıca fazla olan makine kimlikleri. Bu ayrım önemli çünkü kimlik güvenliği insan davranışı üzerine inşa edildi. İnsanlar şirketlere katılır, roller değiştirir, tatile çıkar ve sonunda ayrılır. Bu yaşam döngüsü olayları kimlik yönetiminin temelini oluştururken, makine kimlikleri nadiren bu kalıbı takip eder.
Non-Human Identity Management Group'a göre, makine kimlikleri artık birçok ortamda insan kullanıcıları 50'ye 1 oranında geçiyor. Bazıları sadece dakikalarca var olurken, diğerleri onları oluşturan uygulama veya otomasyon unutulduktan yıllar sonra bile aktif kalıyor. Çoğu kuruluş, bu kimliklerin kime ait olduğu, neden hala var oldukları veya neye erişebildikleri gibi temel soruları yanıtlamakta zorlanıyor. 2025 yılında, UNC6395 olarak izlenen bir tehdit aktörü, Salesloft'un Drift sohbet entegrasyonuyla ilişkili bir OAuth token'ı ele geçirdi ve yüzlerce kuruluştaki Salesforce ortamlarında hareket etmek için kullandı. Token bir yazılım güvenlik açığından yararlanmadığı için değil, zaten güvenilir olduğu için tehlikeliydi.
AI ajanları bu sorunu yaratmıyor, hızlandırıyor. Kuruluşlar, kimlikler oluşturan, izinleri devralan, sistemler arasında etkileşime giren ve ortamda çalışan güvenilir kimlik bilgilerinin sayısını artıran AI ajanları dağıtıyor. Güvenlik ekipleri bu kimliklerin varlığından haberdar değilse veya neye erişebileceklerini anlamıyorsa, saldırı yüzeyi sessizce büyüyor. Kariyerimi kimlik ve güvenlik alanında geçirdim ve ekiplerimin araştırdığı neredeyse her olayın merkezinde kimlik vardı: Çalınan kimlik bilgileri, unutulan izinler, çalışanın veya sistemin ömrünü aşan erişim. AI yeni bir kimlik sorunu yaratmıyor; zaten var olanı ortaya çıkarıyor.
Detaylar ve Etkileri
İnsan kimlik programları, bir hesabın birine ait olduğunu, erişimin periyodik olarak gözden geçirildiğini ve sonunda kaldırıldığını varsayar. AI ajanları bu yaşam döngüsüne doğal olarak uymaz. Otomatik olarak oluşturulabilir, diğer kimliklerden izinler devralabilir, makine hızında sistemlerle etkileşime girebilir ve çalışırken ek kimlikler oluşturabilirler. Sonuç, çoğu yönetişim sürecinin kaldırabileceğinden daha hızlı büyüyen bir kimlik popülasyonudur. Netwrix 2026 Veri ve Kimlik Güvenliği Raporu'na göre, AI'ın ortamlarındaki kimlik sayısını önemli ölçüde artırdığı kuruluşlar, önceki yıla göre %43 ihlal oranı bildirirken, AI'ın kimlik ayak izini önemli ölçüde değiştirmediği kuruluşlarda bu oran %11'di.
Sonuç ve Değerlendirme
Sürpriz olan ihlal oranı değil, kimlerin ihlal edildiğiydi. AI'ın kimlik sayılarını hızla artırdığı kuruluşlar genellikle emsallerinden daha güçlü yönetişim uygulamaları bildirdi. Gölge AI'ı izleme, insan olmayan kimlikleri yönetme ve hassas verilere sürekli görünürlük sağlama olasılıkları daha yüksekti. Oyun kitabına yatırım yaptılar ama yine de ihlal edildiler. Güvenlik ekiplerinin dört soruya sürekli yanıt vermesi gerekiyor: Hangi kimlikler var? Kime aitler? Neye erişebilirler? Ne zaman artık var olmamalılar? Bu yanıtlar olmadan, her yeni AI dağıtımı, ortamda çalışan güvenilir kimliklerin sayısını sessizce artırır.
Bir AI ajanı bir güvenlik olayına katkıda bulunduğunda, bu kimliğin sahibi kim? İzinlerini kim onayladı? Erişimini kim gözden geçiriyor? Ne zaman emekliye ayrılması gerektiğine kim karar veriyor? Bir servis hesabı için genellikle bir iz vardır. Makine hızında çalışan, aşağı yönlü kimlikler oluşturan ve sistemler arasında etkileşime giren bir ajan için, o kişiye giden çizgi hızla kaybolabilir. Hassas verilerin nerede olduğunu bilmek denklemin sadece yarısı. Bu verilere ulaşabilen her kimliği bilmek, güncel bir envanter tutmak ve her kimliğin net bir sahibi olduğundan emin olmak diğer yarısı. En önemli güvenilir kimlikler her zaman güvenlik ekiplerinin izledikleri değil, giderek artan bir şekilde kimsenin oluşturduğunu hatırlamadığı kimliklerdir.
Kaynak: bleepingcomputer.com