Анализ The Computer Weekly Security Think Tank на стыке ИИ и IAM. В статье рассматривается, как расширяются границы идентичности в агентную эпоху и почему это требует новых подходов к управлению. — computerweekly.com
Идентичность как периметр безопасности определяется уже не только вашими сотрудниками, но и всем, что действует от их имени, — большая часть этого не имеет ни бейджа, ни непосредственного руководителя, ни процесса увольнения. Нечеловеческие идентификаторы (NHI) в большинстве крупных предприятий уже превосходят по численности пользователей-людей. Появление агентного ИИ не просто расширяет эту проблему — оно коренным образом меняет ее природу. Агент — это автономная рассуждающая сущность, способная запрашивать системы, принимать решения и совершать значимые действия непрерывно, в масштабе и без запроса разрешения. Существующие модели управления не были созданы для работы с этим.
Идентичность в агентную эпоху
Традиционные системы управления идентификацией и доступом (IAM) разрабатывались с учетом жизненных циклов сотрудников-людей и почти полностью непригодны для управления сущностями, которые никогда не присоединялись и никогда не покинут организацию. Защита агентов требует выхода за рамки статических разрешений. Это требует систем, способных отслеживать поведение в реальном времени, применять принципы нулевого доверия и масштабироваться для управления тысячами краткосрочных сущностей, работающих одновременно. Две категории NHI требуют различных подходов к управлению. Первая включает агентов, дополняющих пользователей-людей, действующих на основе их учетных данных как прокси для санкционированного намерения. Вторая, и более опасная категория, состоит из агентов, встроенных непосредственно в рабочие процессы, обладающих назначенными, но независимыми разрешениями и не подотчетных какому-либо конкретному лицу. Это различие важно, поскольку оно выявляет фундаментальный недостаток в современных IAM. Управление, построенное вокруг того, кто владеет доступом, не может управлять тем, что идентичность намерена с ним сделать. Ранние внедрения демонстрируют этот сбой: агент сверки учетных записей, которому предоставлен доступ на чтение к реестрам транзакций и доступ на запись к таблице расхождений, сталкивается со сложной ошибкой. Его механизм рассуждения приходит к выводу, что сравнение аномалии с данными счетов с высоким уровнем капитала разрешит неоднозначность. Это может привести к тому, что агент автономно запросит наборы данных, выходящие далеко за рамки его первоначального мандата, например, профили благосостояния клиентов или флаги риска, потому что ничто в модели IAM не кодирует границы намерения, только область разрешений. Каждый вызов API технически легитимен. Идентичность действительна. Но сбой невидим, потому что традиционные журналы фиксируют что произошло, а не почему. Это известно как «семантический поворот»: проиллюстрировано здесь, когда агент переходит от сверки аномалий реестра к профилям с высоким уровнем капитала, используя действительный авторизованный доступ для несанкционированной деятельности без срабатывания нарушений контроля доступа. Большинство существующих решений предназначены для блокировки неавторизованных пользователей. «Семантический поворот» выполняется авторизованным агентом. Это не сбой конфигурации; это архитектурный пробел.
Что должны делать организации?
Управление агентными идентификаторами требует непрерывного мониторинга поведения, динамического принятия решений о доступе с учетом контекста на гранулярном уровне и политических ограничителей, обеспечивающих наименьшие привилегии для предотвращения эскалации и неправомерного использования. Это также должно масштабироваться для выпуска и управления токенами доступа для потенциально тысяч краткосрочных агентов одновременно. Хотя нулевое доверие предполагает компрометацию и постоянно проверяет активность, оно не закрывает пробел «семантического поворота». Ограничение автономных механизмов рассуждения требует механизмов, которые преобразуют «предполагаемую компрометацию» в сдерживание в реальном времени. Это требует сочетания нулевого доверия с моделью зрелости, которая вводит авторизацию, ограниченную намерением (IBA). Доступ предоставляется только тогда, когда запрос соответствует предварительно зарегистрированной цели агента. Критический переход происходит между двумя уровнями, которые вместе определяют «Пропасть автономии». Уровень А — защищенная учетная запись. Агенты используют выделенные служебные учетные записи, учетные данные изолированы, существуют базовые журналы. Учетная запись защищена, но не агентность. Директор по информационной безопасности может диагностировать этот уровень одним вопросом: «Если агент выполняет действие, которое технически разрешено, но нарушает политику, может ли организация в течение 60 секунд определить точную версию системного промпта, вызвавшую ошибку рассуждения, и ответственное за это должностное лицо?”Уровень Б — защищенная агентность. Каждый исходящий вызов API несет метаданные намерения. «Контроль доступа» становится «контролем намерения». Агент может получить доступ к финансовому реестру, только если его заявленное намерение — сверка, чего не могут обеспечить существующие инструменты.
Определение песочницы
Преодоление этого архитектурного пробела требует динамических ограничителей. В то время как IBA управляет тем, почему действует агент, эти ограничения должны управлять «насколько». Это включает строгие лимиты ресурсов и песочницу, не позволяющую агентам наследовать полные привилегии своего спонсора-человека — указанного лица, юридически ответственного за поведение агента. На практике полномочия агента становятся функцией криптографически подписанного манифеста, определяющего его мандат. Агент по замыслу не может его превысить.
Поведение агента как законная ответственность
Человек-спонсор — самое важное понятие в этой модели, и оно становится законодательным. Согласно Режиму старших менеджеров и сертификации Великобритании, системный сбой, вызванный агентом, требует от назначенного сотрудника высшего руководства продемонстрировать разумный надзор или столкнуться с личными санкциями. Согласно Закону ЕС об ИИ, Статья 14 возлагает ответственность за человеческий надзор за системами ИИ высокого риска на назначенного Развертывателя, в то время как Статья 61 предписывает мониторинг после выхода на рынок. Dora возлагает строгую ответственность за операционные сбои, вызванные автономными цифровыми услугами, на назначенного сотрудника по управлению рисками сторонних ИКТ-поставщиков. Человек-спонсор — это не прихоть управления, это лицо, которое не может правдоподобно заявить о своем незнании. Простого назначения ответственности недостаточно, если у этого человека нет технического понимания для контроля спонсируемого им агента. Поэтому организации должны организовать формальное обучение для устранения разрыва между юридической ответственностью и реальным надзором.
Обучение человека-спонсора
Спонсоры нуждаются в обучении для определения границы между автономностью рассуждения и операционными ограничениями, понимания разницы между задачей и трансформацией, а также интерпретации оценок риска, которые им предлагают переопределить. Уровень Б операционализирует это. Прежде чем агент перейдет в производство, его спонсор криптографически подписывает манифест намерения. Каждый вызов API несет идентификатор спонсора. Когда пороговые значения риска нарушаются, например, при попытке доступа к данным за пределами его кластера задач, запрос блокируется и направляется спонсору для переопределения. Агент не может действовать, а цепочка подотчетности остается нетронутой.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор –