Oleh Itamar Apelblat, CEO & Salah Satu Pendiri, Keamanan Token
Jika Anda seorang CISO saat ini, AI agen mungkin terasa familier namun tidak nyaman. Teknologinya baru, tapi polanya belum. Para pemimpin bisnis berusaha keras untuk menerapkan agen AI di seluruh organisasi, sementara tim keamanan diharapkan dapat mengamankannya tanpa memperlambat apa pun.
Ketegangan ini pernah terjadi sebelumnya dengan cloud, SaaS, dan DevOps. Setiap saat, identitas menjadi pusat dari risiko dan solusi.
AI agen juga demikian. Ini pada dasarnya bukan masalah tata kelola AI. Ini adalah masalah identitas, dan CISO pada akhirnya akan menanggung akibatnya.
Selama bertahun-tahun, program keamanan dirancang berdasarkan identitas manusia. Karyawan dan kontraktor dipusatkan, peran ditentukan, akses ditinjau, dan pelepasan dapat diprediksi. Identitas mesin mengganggu model tersebut dengan berkembang biak secara cepat dan menyebar ke seluruh cloud, pipeline, dan platform SaaS. Tata kelola tertinggal, namun asumsi inti masih tetap berlaku. Agen AI sepenuhnya mematahkan asumsi tersebut.
Agen AI mewakili kelas identitas baru. Mereka berperilaku dengan niat seperti manusia, namun beroperasi dengan skala dan kegigihan mesin. Mereka terdesentralisasi secara default, mudah dibuat, dan mampu bertindak di berbagai sistem tanpa keterlibatan manusia secara langsung.
Dari sudut pandang identitas, ini adalah kombinasi yang paling rumit. Agen-agen ini mengautentikasi, memberi otorisasi, dan mengambil tindakan, namun mereka tidak cocok dengan model identitas yang ada.
Hal ini penting karena identitas tetap menjadi akar penyebab paling umum terjadinya pelanggaran. Kredensial disalahgunakan. Hak istimewa terakumulasi. Kepemilikannya menjadi tidak jelas. AI Agentik memperbesar semua risiko ini sekaligus.
Banyak agen diberikan akses luas hanya untuk berfungsi dengan cepat. Hanya sedikit yang ditinjau. Lebih sedikit lagi yang dinonaktifkan.
Beberapa masih terus beroperasi lama setelah proyek atau orang yang menciptakannya telah tiada. Bagi seorang penyerang, identitas yang selalu aktif dan memiliki hak istimewa ini adalah target yang ideal, lihat saja laporan terbaru dari OWASP yang memenuhi syarat risiko tersebut.
Alat IAM dan PAM tradisional tidak dirancang untuk menghadapi kenyataan ini. Mereka berasumsi bahwa pengguna adalah manusia atau, paling banter, beban kerja yang dapat diprediksi. Agen AI tidak berada dalam satu direktori, tidak mengikuti peran statis, dan tidak berada dalam batas platform tunggal.
Mencoba mengamankan mereka dengan warisan, kontrol yang berpusat pada manusia menciptakan titik buta dan kepercayaan palsu. Mengandalkan vendor platform AI untuk mengatasi masalah ini juga sama berisikonya. Sama seperti penyedia cloud yang tidak menyelesaikan masalah keamanan cloud, platform agen juga tidak akan menyelesaikan risiko identitas perusahaan.
Jalan ke depan bukanlah dengan membatasi inovasi, namun dengan menerapkan disiplin ilmu yang telah dipahami oleh CISO: manajemen siklus hidup. Keamanan identitas tenaga kerja hanya dapat ditingkatkan ketika organisasi memperlakukan identitas sebagai siklus hidup, mulai dari orientasi hingga pelepasan. Agen AI memerlukan pemikiran yang sama, disesuaikan dengan kecepatan dan skala.
Setiap agen memerlukan kepemilikan yang jelas terkait dengan penyedia identitas. Tujuannya harus jelas dan terukur. Aksesnya harus selaras dengan apa yang sebenarnya dilakukannya, bukan apa yang nyaman saat dibuat. Aktivitas harus terus terlihat sehingga penyimpangan hak istimewa dapat dideteksi sejak dini. Dan ketika agen menganggur, proyek berakhir, atau pemilik keluar, akses harus dicabut secara otomatis. Tanpa pengendalian ini, adopsi AI pada akhirnya akan gagal karena risikonya sendiri.
Salah satu perubahan penting yang harus diinternalisasikan oleh CISO adalah bahwa keamanan identitas agen pada dasarnya adalah masalah korelasi data. Anda tidak dapat memahami risiko agen hanya dengan melihat agen itu sendiri.
Risiko sebenarnya ditentukan oleh apa yang dapat dijangkau oleh agen. Hal ini mencakup peran cloud yang diambil, aplikasi SaaS yang diakses, data yang dapat dibaca atau diubah, dan identitas hilir yang digunakan.
Mengamankan AI agen memerlukan korelasi sinyal identitas di seluruh platform agen, penyedia identitas, infrastruktur, aplikasi, dan lapisan data.
Korelasi inilah yang memungkinkan CISO menjawab pertanyaan-pertanyaan penting selama audit, tinjauan dewan, dan respons insiden. Siapa yang punya akses? Mengapa mereka memilikinya? Apakah itu pantas? Dan, apakah hal itu masih harus ada? Tanpa konteks tersebut, agen AI akan tetap buram dan tidak dapat diatur. Berikut daftar periksa keamanan untuk CISO yang membantu merencanakan pertanyaan seperti ini.
Banyak organisasi saat ini berada dalam fase reaktif, menemukan penyebaran agen setelah mencapai produksi. Fase itu akan berlalu dengan cepat. Tahap selanjutnya adalah pencegahan.
Disiplin identitas harus bergerak lebih awal dalam siklus hidup, pada saat agen diciptakan. Para pembangun membutuhkan pagar pembatas yang memaksakan kejelasan seputar maksud dan ruang lingkup, daripada mengabaikan hak istimewa yang luas hanya untuk membuatnya berfungsi. Jika disiplin ini tidak ada, CISO akan mewarisi risiko dan konsekuensinya.
Agentic AI menjadi bagian permanen dari cara perusahaan beroperasi. Pertanyaannya bukan apakah skalanya akan meningkat, namun apakah skalanya akan aman. CISO akan menentukan jawabannya. Jika identitas agen tetap tidak dikelola, AI akan menyebabkan pelanggaran, kegagalan kepatuhan, dan reaksi negatif dari eksekutif yang memperlambat inovasi.
Jika identitas agen diatur melalui manajemen siklus hidup dan visibilitas, AI menjadi berkelanjutan, tangkas, dan aman.
Organisasi yang berhasil bukanlah organisasi yang mengatakan ya atau tidak terhadap AI agen. Merekalah yang akan menjawab ya dengan percaya diri, karena mereka menyadari sejak awal bahwa mengamankan AI agen adalah hak prerogatif identitas.
Jika Anda siap menangani keamanan AI agen Anda dengan percaya diri, Token dapat membantu.
Jadwalkan demo di sini sehingga kami dapat menunjukkan kepada Anda apa yang membedakan platform kami dalam menjaga keamanan organisasi Anda.
Disponsori dan ditulis oleh Keamanan Token.
