CISO lideri moraju drugačije da upravljaju identitetima u eri AI agenata
CSO Online piše da širenje AI agenata menja način na koji organizacije moraju da razmišljaju o identitetu i pristupu. Sagovornici iz S&P Global i Docusign upozoravaju da AI agenti, copiloti i automatizovani tokovi rada postaju nova klasa ne-ljudskih identiteta, uz API ključeve, tokene i servisne naloge. Problem je što se kod agenata teže utvrđuje ko je odgovoran za određenu radnju, šta agent sme da radi i da li njegovo ponašanje izlazi iz dozvoljenih granica. Preporuka za CISO timove je da identitet postane osnovni kontrolni sloj bezbednosti, uz čiste direktorijume, least privilege, dobar offboarding, inventar ne-ljudskih identiteta i stalnu proveru pristupa.
U firmama koje počnu da koriste AI agente bez jasnog vlasništva i kontrole pristupa, broj naloga, tokena i automatizovanih prava može brzo da izmakne pregledu. Tada incident ne mora da počne kompromitacijom čoveka, već zloupotrebom agenta koji ima više pristupa nego što mu stvarno treba.
- Napraviti inventar svih ne-ljudskih identiteta, uključujući servisne naloge, tokene, API ključeve i AI agente
- Za svaki AI agent ili automatizovani tok rada odrediti vlasnika, svrhu i dozvoljene radnje
- Preispitati postojeće dozvole i krenuti od least privilege modela, umesto kopiranja starih prava
- Uvesti pouzdan offboarding za ljude, servise i agente koji više nisu potrebni
- MFA posmatrati kao početnu meru, uz phishing-resistant pristup, segmentaciju i stalno praćenje ponašanja