⚡ Não perca: notícia importante no ar! ⚡
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Por Itamar Apelblat, CEO e cofundador da Token Security
A nova fronteira dos desafios de segurança
Cada grande onda tecnológica cria o mesmo momento desconfortável para os líderes de segurança. Muitas vezes, a empresa se move primeiro e a segurança é solicitada para torná-la segura depois. Vimos esse padrão com adoções de nuvem, SaaS e DevOps. Agora, a IA agente está fazendo isso de novo.
A diferença é que os agentes de IA não são apenas mais uma categoria de serviço ou aplicação. Eles são atores digitais que autenticam, recebem permissões, chamam APIs, escrevem códigos, acionam fluxos de trabalho, consultam bancos de dados e agem em ambientes de produção. Em muitas organizações, já estão fazendo isso com credenciais, tokens de API, concessões OAuth e funções de nuvem que ninguém inventou totalmente.
Isto torna a questão central de segurança maior do que "o que o modelo pode dizer?" As verdadeiras questões que precisam de ser respondidas são: quem é este agente, o que lhe é permitido fazer, quem é responsável pelas suas ações e podemos revogá-lo ou restringi-lo quando algo muda?
Sim, a IA agente tem um problema de identidade e os invasores estão começando a perceber.
Por que os programas de identidade tradicionais ficam aquém
A mudança de identidade homem-máquina
As equipes de segurança passaram anos construindo programas de identidade em torno dos humanos. Os funcionários entram, mudam e saem. O acesso pode ser revisado, os gestores podem atestar o que as pessoas precisam e o comportamento pode ser monitorado em relação a uma linha de base relativamente estável.
As identidades das máquinas prejudicaram esse modelo. Contas de serviço, segredos, certificados, identidades de carga de trabalho e chaves de API multiplicadas em ambientes de nuvem e DevOps. Muitos eram superprivilegiados, mal administrados e raramente revisados. Ainda assim, a maioria das identidades de máquinas eram determinísticas e executavam tarefas definidas de maneira previsível.
O problema da autonomia
Os agentes de IA quebram essa suposição. Um agente se comporta mais como um ser humano, pois pode interpretar um objetivo, escolher um caminho e agir entre sistemas. Mas ele é escalável como software e processos na velocidade da máquina.
Ele pode ser criado rapidamente, incorporado em produtos SaaS, copiado por desenvolvedores, permissões delegadas pelos usuários e deixado em execução muito depois de a necessidade original ter desaparecido.
Esta combinação de autonomia, escala e descentralização cria uma nova classe de risco de identidade que os modelos tradicionais nunca foram concebidos para lidar.
O menor privilégio não escala
O menor privilégio tradicional é onde o gerenciamento de identidade e acesso fica aquém da IA agente. Com uma conta humana ou de serviço, privilégio mínimo geralmente significa conceder as permissões estáticas mínimas necessárias para uma função ou função.
Mas um agente pode precisar de acesso diferente dependendo do seu objetivo, dos dados envolvidos, do usuário ou sistema em nome do qual está agindo e do ambiente que está tocando.
Por exemplo, um agente de suporte que resume um ticket não precisa do mesmo privilégio que um agente que pode emitir reembolsos, modificar registros de clientes ou executar comandos em produção.
Um agente de codificação executado em uma sandbox é diferente daquele que pode abrir solicitações pull, acessar segredos ou implantar infraestrutura.
O acesso dos agentes deve ser contextual, baseado na intenção, limitado no tempo e avaliado continuamente, mas não é assim que a maioria das empresas opera hoje.
Administre agentes de IA em escala sem sacrificar a velocidade
A Shadow AI e a expansão de agentes estão crescendo mais rápido do que sua equipe de segurança pode suportar.
A Token Security descobre cada agente, mapeia acessos arriscados e aplica políticas baseadas em intenções automaticamente, para que você possa dimensionar a IA com segurança, sem perder o controle ou retardar a inovação.
Veja-o em ação
Os três problemas críticos
1. Problema de visibilidade
Muitas organizações já possuem Shadow AI, assim como antes tinham Shadow IT. Os agentes são construídos por equipes internas, chegando por meio de plataformas SaaS que adicionam recursos autônomos silenciosamente, executando localmente em endpoints ou dentro de ambientes de desenvolvedores e conectando-se a plataformas de automação, provedores de identidade, consoles de nuvem e sistemas de tickets.
Se as equipes de segurança não souberem da existência desses agentes, não poderão protegê-los e governá-los. Sem saber quais credenciais os agentes usam, eles não entendem o escopo do raio de explosão e, se não tiverem a capacidade de mapear o agente para um proprietário, propósito e ciclo de vida, não serão capazes de responsabilizar ninguém quando o agente tomar uma decisão prejudicial ou for abusado por um invasor.
2. Problema de excesso de privilégios
Os agentes geralmente recebem amplo acesso porque é mais fácil durante a experimentação. Um desenvolvedor pode conceder um token de API para que um protótipo possa funcionar, uma unidade de negócios pode conectar um agente a uma conta SaaS com direitos de administrador ou uma equipe de aplicação pode incorporar segredos em um fluxo de trabalho porque é mais rápido do que projetar a delegação adequada. Esses tipos de atalhos criam uma dívida de identidade, e a IA agente pode acumular essa dívida em escala e na velocidade da máquina.
3. Injeção imediata e entrada
A nova fronteira dos desafios de segurança
Cada grande onda tecnológica cria o mesmo momento desconfortável para os líderes de segurança. Muitas vezes, a empresa se move primeiro e a segurança é solicitada para torná-la segura depois. Vimos esse padrão com adoções de nuvem, SaaS e DevOps. Agora, a IA agente está fazendo isso de novo.
A diferença é que os agentes de IA não são apenas mais uma categoria de serviço ou aplicação. Eles são atores digitais que autenticam, recebem permissões, chamam APIs, escrevem códigos, acionam fluxos de trabalho, consultam bancos de dados e agem em ambientes de produção. Em muitas organizações, já estão fazendo isso com credenciais, tokens de API, concessões OAuth e funções de nuvem que ninguém inventou totalmente.
Isto torna a questão central de segurança maior do que "o que o modelo pode dizer?" As verdadeiras questões que precisam de ser respondidas são: quem é este agente, o que lhe é permitido fazer, quem é responsável pelas suas ações e podemos revogá-lo ou restringi-lo quando algo muda?
Sim, a IA agente tem um problema de identidade e os invasores estão começando a perceber.
Por que os programas de identidade tradicionais ficam aquém
A mudança de identidade homem-máquina
As equipes de segurança passaram anos construindo programas de identidade em torno dos humanos. Os funcionários entram, mudam e saem. O acesso pode ser revisado, os gestores podem atestar o que as pessoas precisam e o comportamento pode ser monitorado em relação a uma linha de base relativamente estável.
As identidades das máquinas prejudicaram esse modelo. Contas de serviço, segredos, certificados, identidades de carga de trabalho e chaves de API multiplicadas em ambientes de nuvem e DevOps. Muitos eram superprivilegiados, mal administrados e raramente revisados. Ainda assim, a maioria das identidades de máquinas eram determinísticas e executavam tarefas definidas de maneira previsível.
O problema da autonomia
Os agentes de IA quebram essa suposição. Um agente se comporta mais como um ser humano, pois pode interpretar um objetivo, escolher um caminho e agir entre sistemas. Mas ele é escalável como software e processos na velocidade da máquina.
Ele pode ser criado rapidamente, incorporado em produtos SaaS, copiado por desenvolvedores, permissões delegadas pelos usuários e deixado em execução muito depois de a necessidade original ter desaparecido.
Esta combinação de autonomia, escala e descentralização cria uma nova classe de risco de identidade que os modelos tradicionais nunca foram concebidos para lidar.
O menor privilégio não escala
O menor privilégio tradicional é onde o gerenciamento de identidade e acesso fica aquém da IA agente. Com uma conta humana ou de serviço, privilégio mínimo geralmente significa conceder as permissões estáticas mínimas necessárias para uma função ou função.
Mas um agente pode precisar de acesso diferente dependendo do seu objetivo, dos dados envolvidos, do usuário ou sistema em nome do qual está agindo e do ambiente que está tocando.
Por exemplo, um agente de suporte que resume um ticket não precisa do mesmo privilégio que um agente que pode emitir reembolsos, modificar registros de clientes ou executar comandos em produção.
Um agente de codificação executado em uma sandbox é diferente daquele que pode abrir solicitações pull, acessar segredos ou implantar infraestrutura.
O acesso dos agentes deve ser contextual, baseado na intenção, limitado no tempo e avaliado continuamente, mas não é assim que a maioria das empresas opera hoje.
Administre agentes de IA em escala sem sacrificar a velocidade
A Shadow AI e a expansão de agentes estão crescendo mais rápido do que sua equipe de segurança pode suportar.
A Token Security descobre cada agente, mapeia acessos arriscados e aplica políticas baseadas em intenções automaticamente, para que você possa dimensionar a IA com segurança, sem perder o controle ou retardar a inovação.
Veja-o em ação
Os três problemas críticos
1. Problema de visibilidade
Muitas organizações já possuem Shadow AI, assim como antes tinham Shadow IT. Os agentes são construídos por equipes internas, chegando por meio de plataformas SaaS que adicionam recursos autônomos silenciosamente, executando localmente em endpoints ou dentro de ambientes de desenvolvedores e conectando-se a plataformas de automação, provedores de identidade, consoles de nuvem e sistemas de tickets.
Se as equipes de segurança não souberem da existência desses agentes, não poderão protegê-los e governá-los. Sem saber quais credenciais os agentes usam, eles não entendem o escopo do raio de explosão e, se não tiverem a capacidade de mapear o agente para um proprietário, propósito e ciclo de vida, não serão capazes de responsabilizar ninguém quando o agente tomar uma decisão prejudicial ou for abusado por um invasor.
2. Problema de excesso de privilégios
Os agentes geralmente recebem amplo acesso porque é mais fácil durante a experimentação. Um desenvolvedor pode conceder um token de API para que um protótipo possa funcionar, uma unidade de negócios pode conectar um agente a uma conta SaaS com direitos de administrador ou uma equipe de aplicação pode incorporar segredos em um fluxo de trabalho porque é mais rápido do que projetar a delegação adequada. Esses tipos de atalhos criam uma dívida de identidade, e a IA agente pode acumular essa dívida em escala e na velocidade da máquina.
3. Injeção imediata e entrada
#samirnews #samir #news #boletimtec #a #agentic #ai #tem #um #problema #de #identidade #e #os #invasores #sabem #disso
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário