Ņujorka, Amerikas Savienotās Valstis, 2026. gada 19. maijs, CyberNewswire
Jauni pētījumi liecina, ka identitātes tumšā matērija turpina paplašināties un graut uzņēmuma identitāti, radot trauslu pamatu aģentu AI gatavībai un pieņemšanai
Uzņēmums Orchid Security, kas savā pamatā risina identitāti, šodien publicēja savu Identity Gap: 2026 Snapshot ziņojumu, atklājot, ka lielākā daļa uzņēmuma identitātes tagad pastāv ārpus identitātes un piekļuves pārvaldības sistēmu skata. Ziņojumā konstatēts, ka neredzamā identitāte (“identitātes tumšā matērija”) tagad atsver redzamo identitāti uzņēmuma vidē — par 57% līdz 43%. Turklāt 67% kontu, kas nav cilvēki, tiek izveidoti tieši lietojumprogrammā, un tos neredz un nepārvalda IAM programmas.
Šis atklājums rodas kritiskā brīdī — organizācijas ātri izvieto AI aģentus, kas savukārt paātrina identitātes atklāšanu. Tradicionālā IAM tika izveidota, lai pārvaldītu cilvēkus. Tā nav izstrādāta autonomām sistēmām, kas manto akreditācijas datus, darbojas bez cilvēka uzraudzības un bieži darbojas tumšās matērijas radītajā aklajā zonā.
Papildu nozīmīgi atklājumi:
- 70% uzņēmumu lietojumprogrammu satur pārāk daudz priviliģētu kontu, kas ievērojami palielina ļaunprātīgas izmantošanas vai kompromitēšanas iespējamo ietekmi.
- 57% lietojumprogrammu apiet centralizētos identitātes nodrošinātājus
- 40% kontu ir bāreņi un paliek pieejami pēc lietotāju aiziešanas
- 36% no visiem akreditācijas datiem lietojumprogrammās ir kodēti un skaidrā tekstā
“Uzņēmuma identitāte ir pārkāpusi bīstamu slieksni: identitātes, kuras mēs tagad neredzam, ir vairāk nekā tās, kuras mēs varam redzēt,” sacīja Rojs Katmors, Orchid Security izpilddirektors un līdzdibinātājs. “Tā jau bija liela drošības un atbilstības problēma. Aģentu AI laikmetā tā kļūst par darbības krīzi. AI aģenti negaida ceturkšņa pārskatus. Viņi darbojas reāllaikā visās sistēmās, izmantojot jebkādu piekļuvi, ko uzņēmums tiem nodrošina. Ja organizācijas nevar redzēt katru identitāti, saprast tās pilnvaras un pārvaldīt tās darbības, tās nav gatavas droši mērogot AI.”
Necilvēku konti ir milzīgs akls punkts sliktākajā laikā
Izveidotais IAM modelis necilvēciskām identitātēm vienmēr ir bijis saistīts ar risku: šiem kontiem parasti tiek piešķirta plaša, pastāvīga piekļuve lokāli (67% gadījumu saskaņā ar uzņēmuma lietojumprogrammu analīzi), pamatojoties uz pieņēmumu, ka viņu uzvedība ir iepriekš noteikta un atkārtojas. Iekārta, pakalpojums vai robotprogrammatūra, kas veic vienu un to pašu darbu vienā un tajā pašā grafikā, rada risku, taču to ierobežo tā kods.
Tomēr tas viss mainās līdz ar jaunāko jauno aktieru klasi, aģentu AI. Lai gan tehniski tas nav cilvēcisks, aģents AI savā darbībā nebūt nav iepriekš noteikts un atkārtojas. Drīzāk viņi ir neparedzami un nerimstoši, tiecoties pēc sava pamudinājuma. Ļaujot viņiem darboties neredzēti un nepārvaldīti, tiek radīts milzīgs risks.
Lietojumprogrammas ir pārmērīgi atļautas, nepārvaldītas un neaizsargātas
Pieaug atšķirība starp formālo identitātes kontroli un to, kā faktiski darbojas piekļuve. Lai gan daudzas organizācijas ir pastiprinājušas korporatīvās IAM sistēmas ar spēcīgu steku, kas sastāv no centralizēta identitātes direktorija, spēcīgas autentifikācijas no identitātes nodrošinātāja (IdP), priviliģētas piekļuves pārvaldības (PAM) un identitātes pārvaldības un administrēšanas (IGA) palielināšanas. Orhideja atklāja, ka šīs kontroles bieži tiek apietas. Ņemiet vērā, ka gandrīz 3 no 4 lietojumprogrammām ir pārāk daudz priviliģētu kontu, vairāk nekā 1 no 2 lietojumprogrammām nodrošina autentifikāciju, izmantojot vietējos vai nepārvaldītos ceļus, un 1 no 3 lietojumprogrammām satur akreditācijas datus, kas saglabāti skaidrā tekstā un ir iegulti tieši koda vai konfigurācijas failos.
Tas viss veicina nepārvaldītās piekļuves jeb “Identity Dark Matter” paplašināšanos, kas grauj identitātes pamatu tās pamatā.
“Organizācijas ir ieguldījušas lielus ieguldījumus ārdurvju nodrošināšanā, taču pētījumi liecina, ka identitātes risks arvien vairāk koncentrējas sānu durvīs: vietējie konti, nepārvaldīti piekļuves ceļi, kodēti akreditācijas dati un pārmērīgas privilēģijas, kas atrodas ārpus formālas kontroles,” sacīja Katmors.
Apvienotais risks: “toksisko kombināciju” pieaugums
Papildus individuālajai iedarbībai ziņojumā ir norādīts, ko Orhideja sauc par “toksiskām kombinācijām” — pārklājošas identitātes nepilnības, kas ievērojami palielina risku.
Tas ietver:
- Bāreņu konti ar paaugstinātām privilēģijām
- Lietojumprogrammas, kas apiet centralizētos identitātes nodrošinātājus, vienlaikus saglabājot akreditācijas datus skaidrā tekstā
- Neaktīvi konti, kas darbojas bez reģistrēšanas vai uzraudzības
Atsevišķi šīs nepilnības rada bažas; kopā tie rada nepārraudzītus piekļuves ceļus, kas var ievērojami palielināt iespējamo kompromisu līmeni.
Secinājums: AI aģenti paātrina identitātes atklāšanu
Tā kā organizācijas strauji izvieto AI aģentus, lai automatizētu biznesa procesus, šīs identitātes nepilnības ne tikai palielinās, bet arī kļūst redzamākas un vairāk izmantojamas.
Paredzēti efektivitātei, AI aģenti intuitīvi identificē un izmanto vistiešākos pieejamos piekļuves ceļus, tostarp tos, kas atrodas ārpus centralizētām IAM vadīklām, neatkarīgi no tā, vai šie konti, akreditācijas dati vai atļaujas bija paredzēti to lietošanai.
“AI aģenti atklāj un izmanto identitātes kontroles nepilnības un ekspozīcijas tādā veidā un tādā ātrumā, kādu mēs nekad neesam redzējuši,” sacīja Katmors. “Ja jūsu vidē ir saīsne, autonoma sistēma to atradīs.”
Pieaugošā plaisa starp identitāti, nodomu un realitāti
Rezultāti liecina, ka daudzas organizācijas tuvojas Agent AI ieviešanai ar nepilnīgu izpratni par to, kā piekļuve faktiski darbojas viņu vidē, bieži vien to neapzinoties. Tas novērš nepieciešamo riska pārvaldību, kas saistīta ar AI aģentu parādīšanos.
Vispirms nenostiprinot uzņēmuma identitātes pamatus (katru lietojumprogrammu), uzņēmumi pakļauj sevi pieaugošiem kiberriskiem, atbilstības un darbības riskiem — tagad jau mašīnu mērogā.
“Identitātes programmas uz papīra izskatās spēcīgas, taču lielākā daļa identitātes darbību notiek ārpus tām,” sacīja Katmors. “Tieši tur sāk veidoties drošības, atbilstības un AI riski.”
Par ziņojumu
Identity Gap: 2026 Snapshot ir balstīta uz anonimizētu telemetriju, kas savākta no uzņēmumu lietojumprogrammām, kas tika izvietotas visā Ziemeļamerikā un Eiropā laikā no 2025. gada aprīļa līdz 2026. gada martam. Dati aptver nozares, tostarp finanšu pakalpojumus, veselības aprūpi, mazumtirdzniecību, ražošanu un enerģētiku, un atspoguļo gan pārvaldītas, gan nepārvaldītas identitātes darbības uzņēmuma vidē.
Identiverss 2026
Orchid Security no 15. līdz 18. jūnijam būs uz vietas izstādē Identiverse 2026 stendā Nr. 239. Dalībnieki, kuri vēlas uzzināt, kā organizācijas var droši palielināt aģentu AI, vienlaikus samazinot nepārvaldītas identitātes risku, tiek aicināti apmeklēt vai ieplānot tikšanos ar komandu uz vietas.
Pasākuma laikā Orchid Security rīkos arī šādas sesijas:
Kad “slinkie” AI aģenti sastopas ar bojātas identitātes higiēnu
Otrdiena, 16. jūnijs | 13:15–13:30 | Okeāna krasts E
No redzēšanas līdz zināšanai: identitātes novērojamības robeža
Trešdiena, 17. jūnijs | 7:15–8:15 | Okeāna krasts E
Par Orhideju drošību
Orchid Security iekļaujas tieši lietojumprogrammas binārajā sistēmā, lai nodrošinātu nozarē pirmo identitātes kontroles plānu, pārvēršot IAM sarežģītību skaidrībā, atbilstībā un kontrolē. Tās Identity-First Security Orchestration platforma nepārtraukti atklāj uzņēmuma lietojumprogrammas, analizē to sākotnējās autentifikācijas un autorizācijas plūsmas un paātrina iekļaušanos pārvaldības sistēmās, sniedzot drošības vadītājiem un praktiķiem patiesu identitātes ieskatu, bez mēnešiem ilga manuāla darba, kas tradicionāli nepieciešams katram uzdevumam vai informācijas pieprasījumam. Atklājot un novēršot mūsdienu vidē slēpto “identitātes tumšo vielu”, Orchid palīdz uzņēmumiem atrisināt identitāti tās pamatā; riska samazināšana, darbības izmaksu samazināšana un atbilstības sasniegšana mērogā.
Sazināties
Hloja Amante
Montner Tech PR
[email protected]
