Разговор о безопасности ИИ застрял на неправильном уровне

Организации годами накапливали разрозненные системы идентификации: слишком много ролей, слишком много учётных данных, слишком много несвязанных инструментов. Для персонала из людей эта раздробленность была управляемой. Люди входят в систему, выходят из неё и принимают решения достаточно медленно, чтобы пробелы в контроле редко превращались в немедленные инциденты. ИИ-агенты действуют иначе.

«ИИ-агенты полностью меняют ситуацию», — заявил Ев Концевой, генеральный директор Teleport. «Теперь вы внедряете недетерминированных акторов, которые не спят, не следуют предсказуемым путям и могут перемещаться по вашей инфраструктуре за секунды. И в большинстве сред мы подключаем их к той самой модели, с которой уже с трудом справляемся: со статическими учётными данными, разрозненной идентификацией, чрезмерно широкими правами доступа и очень слабой видимостью в реальном времени того, что они на самом деле делают».

Концевой утверждает, что расползание идентификации было ошибочно диагностировано как проблема масштабирования. Коренная проблема — это контроль, а именно отсутствие идентификации как единой плоскости управления для всей инфраструктуры.

«Это тот момент, когда расползание идентификации перестаёт быть чем-то, что можно навести позже, и становится чем-то, что вы вообще не можете контролировать», — сказал он. «Если вы не можете в реальном времени ответить, что представляет собой идентификатор, как он проверен и что он делает, — вы уже потеряли нить управления».

Базовые элементы существуют. Единообразное применение — нет.

Управление идентификацией людей развивалось десятилетиями, породив стандарты вроде SAML и OAuth, которые теперь лежат в основе корпоративной аутентификации. У идентификации не-людей такой согласованности нет — не потому, что отсутствуют технические основы, а потому, что их применение непоследовательно.

Краткосрочные криптографические учётные данные, привязанные к проверяемой идентификации, и политики контроля доступа — всё это доступно. Проблема в том, что каждая платформа, каждый облачный провайдер и каждый инструмент реализуют их по-своему, создавая ту же самую раздробленность, что накопилась с человеческой идентификацией, но в большем масштабе и с более высокой скоростью.

«Настоящая архитектура должна быть гораздо проще, — заявил Концевой. — В её основе лежит единый уровень идентификации, который рассматривает каждого участника — человека, машину или ИИ-агента — как полноценную идентичность. Каждая нечеловеческая идентичность должна быть строго привязана к чему-то верифицируемому: рабочей нагрузке, устройству или агенту. Доступ должен быть краткосрочным, постоянно проверяемым и ограниченным только тем, что разрешено политиками для данной идентичности, и ничем более».

Концевой описал эту архитектуру как технически реализуемую и отметил, что она воплощена в Teleport. Основное препятствие носит концептуальный характер: большинство организаций по-прежнему рассматривает идентификацию как нечто, добавляемое после построения инфраструктуры, а не как саму инфраструктуру.

Регуляторы пытаются применить старые модели ответственности к новому поведению

Регулируемые отрасли, включая финансы, здравоохранение и критическую инфраструктуру, внедряют агентный ИИ такими темпами, с которыми не успевают справляться регуляторные рамки. Существующие модели ответственности предполагают, что в конечном итоге за любое решение отвечает человек, и что решения прослеживаются по линейной цепочке согласований.

Агентные системы разрушают это предположение. Они могут совершать действия, связывать решения в цепочки и производить результаты, которые сложно объяснить постфактум. Может не быть единой точки принятия решения, а в некоторых случаях — и вовсе прямого человеческого участия.

«Регуляторы начинают это осознавать, но они ещё в самом начале пути, — сказал Концевой. — Большинство текущих рамок сосредоточено на управлении, классификации рисков и документации. Это необходимо, но не решает ключевую проблему — операционную подотчётность».

Он заявил, что операционная подотчётность в среде с агентами в конечном итоге будет зависеть от контроля над идентичностью и политиками, которые ею управляют. Организации, которые могут в реальном времени продемонстрировать, что каждое действие было связано с верифицированной идентичностью, действующей в рамках применяемых политик, окажутся в лучшем положении перед лицом регуляторной проверки, чем те, которые могут предъявить лишь документацию по политикам.

Три шага для руководителей по безопасности и одна привычка, от которой нужно отказаться

Для руководителей в области безопасности, начинающих заниматься нечеловеческой идентичностью, Концевой обозначил последовательность из трёх действий.

Первый шаг — сделать идентификацию единой плоскостью управления для всей инфраструктуры. «Не путём полного демонтажа и замены всего, — пояснил он, — а за счёт превращения идентификации в центральную систему контроля. Каждый человек, машина, рабочая нагрузка и ИИ-агент должны функционировать как полноценная идентичность в рамках единой системы.»

Второй шаг — отказаться от статических, долгоживущих учётных данных. «Статические ключи, общие секреты, любые данные, которые просто хранятся в ожидании использования — эта модель не работает, когда в систему вводятся постоянно действующие агенты. Все учётные данные должны быть краткосрочными, выдаваться по запросу, динамически формироваться и быть привязанными к криптографически проверяемой идентичности.»

Третий шаг — использовать возможности мониторинга, полученные благодаря первым двум шагам, для постоянного усиления защиты среды. Без полной картины всех существующих идентичностей, включая сервисные аккаунты, рабочие нагрузки и токены, команды безопасности принимают решения о доступе, не обладая достаточной информацией.

Относительно действий, которые следует прекратить: «Прекратите создавать новые сервисные аккаунты в качестве быстрого решения. Прекратите встраивать учётные данные в скрипты и рабочие процессы. Прекратите считать, что если что-то находится «внутри» сети, это автоматически безопасно. Эти привычки уже были рискованными, но с появлением ИИ их негативные последствия масштабируются таким образом, что исправить ситуацию становится крайне сложно.»

В дискуссиях о безопасности моделей упускается более важный вопрос

Значительная часть публичных обсуждений рисков ИИ сосредоточена на поведении моделей: галлюцинациях, согласованности, качестве ответов. Концевой отметил, что более серьёзный риск в корпоративных развёртываниях лежит в слое идентификации и авторизации, а не в самих моделях.

«Если модель даёт неправильный ответ, это обычно можно исправить, — сказал он. — Если же агент с неподходящим уровнем доступа совершает неверное действие — вот где возникает реальный ущерб. Идентификация определяет, станет ли ошибка инцидентом.»

Он описал многие риски ИИ, которые беспокоят компании, как знакомые проблемы безопасности, проявившиеся в новой форме. Фрагментированная идентификация, статические учётные данные и избыточные разрешения — явления не новые. Разница в том, что ИИ-системы могут использовать этот доступ непрерывно и на машинной скорости.

«Вопрос не только в том, безопасна ли модель. Вопрос в том, проверяется ли идентичность, стоящая за ней, постоянно и ограничивается ли она политиками безопасности.»

В большинстве корпоративных сред агенты подключаются к существующим системам с широким доступом, так как скорость внедрения важнее контроля над правами. Такой подход наследует все проблемы фрагментации идентификации и риски, связанные с учётными данными, уже присутствующие в этих средах. «Если правильно настроить идентификацию, вы устраните большую часть реальных угроз», — отметил Концевой. «Если же этого не сделать, искусственный интеллект просто усилит каждую уже существующую уязвимость».