Gli agenti AI ridefiniscono il rischio di identità
Gli agenti AI promettono di automatizzare tutto, dalle riconciliazioni finanziarie alla risposta agli incidenti. Tuttavia, ogni volta che un agente AI avvia un flusso di lavoro, deve autenticarsi da qualche parte; spesso con una chiave API ad alta privilegi, un token OAuth o un account di servizio che i difensori non possono facilmente vedere. Queste “invisibili” identità non umane (NHI) ora superano in numero gli account umani nella maggior parte degli ambienti cloud, diventando uno dei bersagli più appetibili per gli attaccanti.
Autonomia e comportamento imprevedibile
L’autonomia cambia tutto: un agente AI può concatenare più chiamate API e modificare i dati senza un intervento umano. Se la credenziale sottostante è esposta o eccessivamente privilegiata, ogni azione aggiuntiva amplifica il raggio d’azione. I modelli di linguaggio di grandi dimensioni (LLM) si comportano in modo imprevedibile: il codice tradizionale segue regole deterministiche, mentre i LLM operano sulla probabilità. Ciò significa che non si può garantire come o dove un agente utilizzerà l’accesso che gli viene concesso.
Strumenti IAM esistenti e controllo delle identità umane
Gli strumenti di gestione delle identità esistenti sono stati costruiti per gli umani: la maggior parte delle piattaforme di governance delle identità si concentra sui dipendenti, non sui token. Mancano del contesto per mappare quali NHI appartengono a quali agenti, chi li possiede e cosa possono effettivamente toccare. I programmi di sicurezza di successo applicano già controlli “di livello umano” come nascita, vita e pensionamento agli account di servizio e alle credenziali delle macchine. Estendere la stessa disciplina agli agenti AI offre vittorie rapide senza bloccare l’innovazione aziendale.
Trattare gli agenti AI come utenti di prima classe
Assegnazione del proprietario: ogni agente deve avere un proprietario umano nominato (ad esempio, lo sviluppatore che ha configurato un GPT personalizzato) che sia responsabile del suo accesso. Privilegio minimo: partire da ambiti di sola lettura, quindi concedere azioni di scrittura strettamente delimitate nel momento in cui l’agente dimostra di averne bisogno. Governance del ciclo di vita: dismettere le credenziali nel momento in cui un agente viene deprecato e ruotare automaticamente i segreti secondo un programma. Monitoraggio continuo: osservare chiamate anomale (ad esempio, picchi improvvisi verso API sensibili) e revocare l’accesso in tempo reale.
Accesso sicuro agli agenti AI
Le imprese non dovrebbero dover scegliere tra sicurezza e agilità. Astrix rende facile proteggere l’innovazione senza rallentarla, offrendo tutti i controlli essenziali in un’unica piattaforma intuitiva:
Scoperta e governance
Scoprire e mappare automaticamente tutti gli agenti AI, inclusi agenti esterni e sviluppati internamente, con contesto sulle loro NHI associate, permessi, proprietari e ambienti accessibili. Prioritizzare gli sforzi di rimedio basati su una valutazione del rischio automatizzata basata sui livelli di esposizione degli agenti e sulle debolezze di configurazione.
Gestione del ciclo di vita
Gestire gli agenti AI e le NHI su cui si basano dalla fornitura alla dismissione, garantendo che le credenziali siano sempre aggiornate e sicure.
Fonte: The Hackers News
