Scroll untuk baca artikel
Networking

Replicant di Direktori Anda: Agen AI dan Kesenjangan Keamanan Identitas

1
×

Replicant di Direktori Anda: Agen AI dan Kesenjangan Keamanan Identitas

Share this article
replicant-di-direktori-anda:-agen-ai-dan-kesenjangan-keamanan-identitas
Replicant di Direktori Anda: Agen AI dan Kesenjangan Keamanan Identitas

Gambar siberpunk

Oleh Grady Summers, CEO, jaringan

Example 300x600

Keamanan dibangun untuk manusia. Agen AI mengungkap kesenjangan tersebut.

Empat puluh empat tahun setelah Blade Runner membayangkan pengganda berjalan di antara kita, tim keamanan mengelola tenaga kerja non-manusia versi mereka sendiri.

Pengganda ini sudah memiliki akun, izin, dan akses ke data sensitif. Mereka adalah agen AI, akun layanan, aplikasi OAuth, identitas beban kerja, dan semakin banyak identitas mesin yang jumlahnya melebihi jumlah orang di banyak lingkungan perusahaan.

Perbedaan ini penting karena keamanan identitas dibangun berdasarkan perilaku manusia. Orang-orang bergabung dengan perusahaan, berganti peran, berlibur, dan akhirnya keluar. Peristiwa siklus hidup tersebut menjadi landasan tata kelola identitas. Identitas mesin jarang mengikuti pola tersebut.

Menurut Grup Manajemen Identitas Non-Manusiajumlah identitas mesin kini melebihi jumlah pengguna manusia sebanyak 50 berbanding satu di banyak lingkungan. Beberapa ada selama beberapa menit. Yang lainnya tetap aktif bertahun-tahun setelah aplikasi atau otomatisasi yang menciptakannya dilupakan.

Sebagian besar organisasi masih kesulitan menjawab pertanyaan mendasar tentang siapa pemiliknya, mengapa mereka masih ada, atau apa yang bisa mereka akses.

Kepercayaan berkembang lebih cepat dibandingkan tata kelola

Pada tahun 2025, pelaku ancaman yang dilacak sebagai UNC6395 memperoleh token OAuth yang terkait dengan integrasi obrolan Drift Salesloft dan menggunakannya untuk berpindah melalui lingkungan Salesforce di ratusan organisasi.

Token tersebut tidak berbahaya karena mengeksploitasi kerentanan perangkat lunak. Berbahaya karena sudah dipercaya.

Dari sana, penyerang mendapatkan kredensial AWS, token Snowflake, dan rahasia tambahan yang disimpan di tempat yang tidak seharusnya. Satu identitas mesin tepercaya menjadi jalan menuju beberapa identitas lainnya.

Agen AI tidak menciptakan masalah ini. Mereka mempercepatnya. Organisasi menerapkan agen AI yang membuat identitas, mewarisi izin, berinteraksi antar sistem, dan memperluas jumlah kredensial tepercaya yang beroperasi di dalam lingkungan.

Jika tim keamanan tidak mengetahui keberadaan identitas tersebut—atau tidak memahami apa yang dapat mereka akses—permukaan serangan akan berkembang secara diam-diam di latar belakang.

Program identitas dibangun untuk masyarakat

Saya menghabiskan karir saya di bidang identitas dan keamanan, dan identitas adalah inti dari hampir setiap insiden yang diselidiki tim saya. Kredensial yang dicuri. Izin yang terlupakan. Akses yang umurnya lebih lama dari karyawan atau sistem yang awalnya diberikan.

AI tidak menciptakan masalah identitas baru. Itu mengungkap sesuatu yang sudah ada.

Program identitas manusia mengasumsikan seseorang memiliki akun, meninjau akses secara berkala, dan akhirnya menghapusnya. Agen AI secara alami tidak cocok dengan siklus hidup tersebut. Mereka dapat dibuat secara otomatis, mewarisi izin dari identitas lain, berinteraksi dengan sistem dengan kecepatan mesin, dan bahkan membuat identitas tambahan saat mereka bekerja.

Hasilnya adalah populasi identitas tumbuh lebih cepat dibandingkan dengan proses yang dirancang untuk ditangani oleh sebagian besar proses tata kelola.

Seberapa Matang Program Keamanan AI Anda?

Organisasi sering kali mengetahui bahwa mereka mengadopsi AI lebih cepat daripada yang mereka kelola, namun tidak mengetahui di mana kesenjangannya.

Penilaian Kematangan AI Netwrix mengukur identitas, data, dan praktik tata kelola AI organisasi Anda, mengidentifikasi kekuatan dan kelemahan, serta memberikan rekomendasi praktis untuk membantu mengurangi risiko terkait AI.

→ Ikuti Penilaian Kematangan AI Gratis

Visibilitas saja tidak cukup

Kita Laporan Keamanan Data dan Identitas 2026 menemukan bahwa organisasi yang menggunakan AI secara signifikan meningkatkan jumlah identitas di lingkungannya melaporkan tingkat pelanggaran sebesar 43% dibandingkan tahun sebelumnya, dibandingkan dengan 11% di antara organisasi yang tidak menggunakan AI untuk mengubah jejak identitasnya secara signifikan.

Hal yang mengejutkan bukanlah tingkat pelanggarannya. Dialah yang dilanggar.

Organisasi yang menggunakan AI dengan cepat untuk memperluas jumlah identitasnya umumnya melaporkan praktik tata kelola yang lebih kuat dibandingkan organisasi sejenis. Mereka lebih cenderung memantau AI bayangan, mengatur identitas non-manusia, dan menjaga visibilitas berkelanjutan terhadap data sensitif.

Mereka berinvestasi dalam buku pedoman. Mereka masih dilanggar.

Tim keamanan memerlukan jawaban berkelanjutan atas empat pertanyaan: Identitas apa yang ada? Siapa pemiliknya? Apa yang bisa mereka akses? Kapan mereka tidak ada lagi?

Tanpa jawaban tersebut, setiap penerapan AI baru secara diam-diam akan menambah jumlah identitas tepercaya yang beroperasi di lingkungan tersebut.

Pertanyaan akuntabilitas

Ketika agen AI berkontribusi terhadap insiden keamanan, siapa yang memiliki identitas tersebut? Siapa yang menyetujui izinnya? Siapa yang meninjau aksesnya? Siapa yang memutuskan kapan harus pensiun?

Untuk akun layanan, biasanya ada jejaknya. Untuk agen yang beroperasi dengan kecepatan mesin, menciptakan identitas hilir, dan berinteraksi antar sistem, garis balik ke seseorang dapat hilang dengan cepat.

Mengetahui di mana data sensitif berada hanyalah separuh dari upaya yang dilakukan. Mengetahui setiap identitas yang dapat menjangkau data tersebut, menjaga inventaris terkini, dan memastikan setiap identitas memiliki pemilik yang jelas adalah separuh lainnya.

Identitas tepercaya yang paling penting tidak selalu diawasi oleh tim keamanan. Semakin banyak, merekalah yang tidak pernah diingat oleh siapa pun.

Untuk mempelajari bagaimana organisasi mengadaptasi keamanan identitas untuk AI, baca Laporan Keamanan Data dan Identitas 2026.

Disponsori dan ditulis oleh jaringan.