La IA está inundando los sistemas IAM con nuevas identidades

La mayoría de las organizaciones ven las identidades de IA a través de la misma lente que se utiliza para otras identidades no humanas , como cuentas de servicio, claves API y chatbots, según el informe El estado de la identidad no humana y la seguridad de IA de Cloud Security Alliance.

Las identidades de IA heredan antiguas debilidades de IAM

Tratar las identidades de IA como otra categoría de identidad no humana implica heredar las mismas debilidades que han afectado a los programas de identidad durante años. La proliferación de credenciales, la propiedad incierta y los controles desiguales del ciclo de vida ya plantean desafíos a gran escala. Los sistemas de IA aumentan el número de identidades en circulación y acortan el tiempo entre su creación y su uso, lo que aumenta la presión sobre estos controles.

Muchos programas de identidad se basan en modelos diseñados para sistemas más lentos y predecibles. Las identidades de IA se crean programáticamente, se distribuyen en distintos entornos y se utilizan continuamente, lo que aumenta la cantidad de credenciales que requieren seguimiento y revisión.

La gestión de riesgos a menudo se centra en los mecanismos de acceso, con una visibilidad limitada de cómo se comportan los sistemas de IA una vez que se concede el acceso.

La política no se mantiene al día con la automatización

En muchas organizaciones, las identidades de IA se encuentran en una zona gris. A menudo faltan reglas definidas sobre cómo crearlas, gestionarlas y retirarlas, y los equipos las gestionan de forma diferente según el sistema o el caso de uso.

La automatización ofrece un alivio limitado. Las identidades de IA aún se crean y eliminan mediante procesos que incluyen pasos manuales, lo que dificulta mantener la coherencia a medida que los sistemas de IA generan acceso regularmente. Ningún equipo posee una identidad de IA de forma consistente a lo largo de su ciclo de vida, y los permisos tienden a acumularse con el tiempo.

Cuando ocurre un problema o se activa una alerta, los equipos de seguridad pueden dedicar tiempo valioso a determinar la propiedad antes de poder actuar. El resultado es un conjunto creciente de identidades con amplio acceso y supervisión limitada , lo cual se vuelve cada vez más difícil de gestionar a medida que los sistemas de IA se expanden por el entorno.

Las organizaciones con visibilidad limitada y propiedad incierta están sintiendo la presión de las identidades basadas en IA y de su seguridad en la era de la IA. Establecer unas bases de identidad sólidas ahora es fundamental para reducir el riesgo y escalar con seguridad el uso de la IA, afirmó Hillary Baron , vicepresidenta adjunta de Investigación de Cloud Security Alliance.

La IAM heredada se une a la creación continua de identidades

La mayoría de las herramientas de identidad y acceso se diseñaron para usuarios humanos y cuentas de servicio de larga duración. Su escalabilidad es difícil, ya que los sistemas de IA crean y utilizan identidades continuamente.

Los equipos de seguridad reportan poca confianza en su capacidad para controlar identidades no humanas a gran escala. Las plataformas IAM tradicionales dependen de revisiones manuales, gestión de excepciones y flujos de trabajo basados en tickets, lo que ralentiza la supervisión y deja muchas identidades generadas por IA fuera de las rutas de gobernanza establecidas.

Las identidades no humanas vinculadas a las cargas de trabajo de IA suelen considerarse excepciones. Evitan las revisiones de acceso y los ciclos de certificación, lo que reduce la visibilidad sobre la ubicación de las credenciales y los recursos a los que pueden acceder.

Esta brecha entre la actividad impulsada por IA y los controles de identidad obliga a los equipos a adoptar una postura reactiva y abordar el riesgo solo después de que ya se haya otorgado el acceso .

Los puntos ciegos en torno a las credenciales de IA

Las debilidades de las herramientas y la gobernanza de IAM heredadas son más visibles en la forma en que las organizaciones gestionan las credenciales detrás de los sistemas de IA. Los equipos a menudo carecen de una forma fiable de detectar la creación de nuevas identidades o tokens relacionados con la IA, lo que permite que persistan las credenciales de proyectos o experimentos a corto plazo.

Cuando una credencial queda expuesta o ya no se necesita, la rotación o revocación suele retrasarse. Los equipos de seguridad pueden dedicar horas o días a identificar dónde se usa un token, quién lo posee y qué sistemas dependen de él. Durante ese tiempo, la credencial permanece activa.

La revisión, rotación y auditoría de identidades no humanas consume una parte constante del tiempo del personal cada mes, lo que sobrecarga aún más las operaciones de seguridad.

Fuente y redacción: helpnetsecurity.com

Las identidades de IA heredan antiguas debilidades de IAM

La política no se mantiene al día con la automatización

La IAM heredada se une a la creación continua de identidades

Los puntos ciegos en torno a las credenciales de IA

Google Cloud bloquea un ataque DDoS récord de 46 millones de solicitudes por segundo

Por qué los enlaces públicos exponen su superficie de ataque SaaS

Qué es el malware sin archivos.