Yönetişim ve Risk Yönetimi, Kimlik ve Erişim Yönetimi, Çok Faktörlü ve Risk Tabanlı Kimlik Doğrulama
Ajan AI iş akışlarını devraldıkça, geleneksel kimlik doğrulama uygulamaları yetersiz kalır
Suparna goswami (Gsuparna) •
21 Temmuz 2025
Ajan yapay sistemlerin ve otonom botların, sistemler arası görevleri düzenlemek için patlaması, çok faktörlü kimlik doğrulamayı kırılgan bir savunmaya dönüştürmektedir. İnsan olmayan kimlikler genellikle insan merkezli güvenlik kontrollerini atlar, statik kimlik bilgileri ve tanımsız sahiplik ile faaliyet gösterir, sömürülebilir kimlik riskleri yaratır.
Ayrıca bakınız: Kimlik ve Erişim Yönetimi (IAM) Pazar Rehberi 2025
Güvenlik çerçeveleri insan olmayan ajanları tanımak için gelişmiş olabilir, ancak geleneksel erişim araçları geride kalmıştır. Uzmanlar, evrensel bir düzeltme olarak MFA’ya güvenmeye devam etmenin en güçlü sıfır güven stratejilerini bile zayıflattığı konusunda uyarıyor.
Geleneksel MFA’lar insan davranışları etrafında tasarlanmış ve bildiğiniz bir şey, sahip olduğunuz bir şey veya olduğunuz bir şey üzerinde tasarlanmıştır. Singapur’da Standard Chartered ile siber güvenlik değerlendirmesi ve test başkanı Reuben Athaide, “Botlar arayüz olmadan çalışıyor,” dedi. “Bir push bildirimini onaylamak için döngüde hiçbir insan olmadan programlı olarak görevleri yürütüyorlar.”
Aslında, hizmet hesapları genellikle statik, uzun ömürlü kimlik bilgilerine güvenerek MFA’yı tamamen atlar. Bu kimlik bilgileri altyapıda sessizce devam eder ve genellikle belgesizdir. Zamanla, işletmelerin genellikle düzeltmekten korkma riski haline gelir.
İlaç şirketi Dr Reddy’nin laboratuvarlarının baş teknoloji sorumlusu Rajdeep Ghosh, sorunun kuruluşların botlara davranma şekli nedeniyle ortaya çıktığını söyledi. “Botlara kimlikler değil teknik eserler olarak davranıyoruz. Bu zihniyet, günümüzün sıfır güven dünyasında statik kimlik bilgilerine ve örtük güvene tehlikeli.”
İnsan olmayan kimliklerin yönetişim zorlukları kimlik doğrulamasının ötesine geçer. İnsan olmayan kimlikler, insan meslektaşlarının aksine, bir proje bittiğinde veya bir çalışan bıraktığında ayrılmaz. Son kullanma, mülkiyet veya tedarik etme gibi yaşam döngüsü politikaları olmadan, botlar genellikle yüksek ayrıcalıklarla süresiz olarak devam edebilir.
“Ayrıcalık sürünmesi gerçek,” dedi Ghosh. Örneğin, “Başlangıçta faturaları işlemek için oluşturulan bir bot sonunda resmi inceleme olmadan veritabanı okuma erişim veya müşteri PII izinleri kazanabilir.” Sağlık ve finans dahil olmak üzere yüksek düzenlenmiş sektörlerde, yetim bir bot sadece bir güvenlik endişeleri değil, aynı zamanda bir uyum kabusu da ortaya koymaktadır.
Athaide, “Etiketleme, onaylama veya meta veri yaptırım yapmadan görünmez saldırı vektörleri haline geliyorlar” dedi.
Çözüm? Birinci sınıf vatandaşlar gibi botlara davranın. Her hizmet hesabının bir sahibi, amacı ve tanımlanmış bir kapsamı olmalıdır. Erişim rol veya öznitelik tabanlı, asla statik olmalıdır. Sağlık işlemi, proje kapatma veya faaliyet eksikliği gibi olaylara bağlı olmalıdır. Ve tüm bunlar, uzmanlar, kod olarak altyapı ve otomatik boru hatları aracılığıyla kodlanması gerektiğini söyledi.
Athaide, insan merkezli MFA’yı makine iş akışlarına güçlendirmek yerine, endüstrinin otomasyon ana alternatiflerine doğru ilerlemesi gerektiğini söyledi. “Bu, kimlik doğrulamasının iş yükü bağlamı, kriptografik güven ve çalışma zamanı sinyalleri etrafında oluşturulduğu ve bildirimleri veya OTP’leri değil, makine -yerli kimlik modelleri de dahildir” dedi.
OKTA India Bölge Başkan Yardımcısı ve Ülke Müdürü Shakeel Khan, AI ajanlarının uygulamalar arasında giderek daha fazla bağlandığını, görevleri otomatikleştirdiğini ve hassas işletme verilerine eriştiğini söyledi. “Kurumsal politikalar tarafından yönetilen kısa ömürlü, bağlama duyarlı erişim belirteçlerini uygulayan merkezi kimlik katmanlarına ihtiyacımız var” dedi. Bu vizyon, Gmail ve Slack gibi hizmetler arasında ajan-ajan kimlik doğrulamasını sağlayan Cross App Access ve Genai için Auth gibi çözümlerle gerçekleştirilmektedir.
AWS IAM Rolleri Her Yerde veya Azure Yönetilen Kimlik, Düzenleme Kimliğini Statik Kimlik Bilgileri yerine Çalışma Zamanı Bağlamına Çevirme gibi modellerde görülen İş Yükü Kimlik Federasyonu dahil yaklaşımlar. Karşılıklı TLS, Spiffe ve Dinamik Gizli Dönme gibi tamamlayıcı teknolojiler, insan müdahalesi olmadan güvenli kimlik doğrulamasını sağlar. “Sürtünmesiz güvensiz anlamına gelmez,” dedi Athaide. “Amaç, etkileşimli sürtünmeden otomatik, politikaya bağlı güvene geçmektir.”
Uzmanlar ayrıca, bir botun aktivitesinin beklenen kalıplarla uyumlu olup olmadığını sürekli olarak değerlendirerek davranış analizi ve kimlik tehdidi tespiti üzerine bahse girerler.
WSO2’deki CTO olan Dev Wijewardane, dövüşün sadece insan ve botlarla değil, aynı zamanda iyi botlara karşı kötü botlara ve normal bot davranışına karşı anormal bot davranışıyla ilgili olduğu konusunda uyardı.
Wijewardane, “Paylaşılan botlar için, rol izolasyonunun korunmasını sağlamak ve A Bölümü için hareket eden bir botun yanlış veya kötü niyetli bir şekilde B Bölümü için eylemler yapmadığından emin olmak hayati önem taşıyor” dedi. Sıkı rol izolasyonunu sürdürmek, bot örneği başına benzersiz tanımlayıcılara sahip, katı kimlik bilgisi rotasyonuna ve her eylemi günlüğe kaydetmeye sahip olduğunu söyledi.
İleriye Bakış: Çok Alan Kimlik Doğrulaması
Uzmanlar, çok iddialı kimlik doğrulamasının-şifreleme onaylama, davranışsal analiz ve gerçek zamanlı politika kararları yoluyla güven vermenin-insan olmayan kimlikleri yönetmenin geleceği olduğunu söylüyor. Bu yaklaşım altında, botların sahip oldukları erişimi her hak ettiklerini kanıtlamak zorunda kalacaklar.
İşletmeler yapay zeka ve otomasyonu ölçeklendirdikçe, insan merkezli kimlik modellerine yapışması sadece riske maruz kalmayı derinleştirecektir. Gelecek, botların eser olarak değil, yönetilen kimlikler olarak ele alındığı sıfır güven çerçevelerinde yatıyor, dedi Wijewartane.
Khan, “Botlar tam denetim parkurları, otomatik teminat ve granüler erişim kontrolleri ile ayrıcalıklı insan kimlikleri gibi yönetilmelidir” dedi.