W miarę jak organizacje się rozwijają, a ich struktury ulegają zmianom, pojawiają się nowe osoby, kontrahenci oraz systemy, podczas gdy inne odchodzą – jednak ich konta często pozostają. Te porzucone lub „osierocone” konta pozostają bezczynne w różnych aplikacjach, platformach, zasobach oraz konsolach chmurowych.
Przyczyną ich istnienia nie jest niedbalstwo, lecz fragmentacja. Tradycyjne systemy zarządzania tożsamością (IAM) i zarządzania tożsamością i dostępem (IGA) są głównie zaprojektowane z myślą o ludzkich użytkownikach i wymagają ręcznego wprowadzenia oraz integracji dla każdej aplikacji – wymagają specjalnych konektorów, mapowania schematów, katalogów uprawnień oraz modelowania ról. Wiele aplikacji nigdy nie przechodzi przez ten proces. W międzyczasie tożsamości nieludzkie (NHI), takie jak konta serwisowe, boty, API oraz procesy agent-AI, działają na zewnątrz standardowych ram IAM, często bez właścicieli, widoczności czy kontroli cyklu życia.
Rezultatem tego jest powstawanie cieniowej warstwy nieśledzonych tożsamości, które są częścią szerszych ciemnych materii tożsamościowej – konta niewidoczne dla zarządzania, ale nadal aktywne w infrastrukturze.
Dlaczego Konta Osierocone Nie Są Śledzone
Istnieje wiele powodów, dla których konta te pozostają niewidoczne:
- Wąskie gardła integracyjne: Każda aplikacja wymaga unikalnej konfiguracji przed tym, jak IAM może nią zarządzać. Niezarządzane i lokalne systemy rzadko są priorytetem.
- Częściowa widoczność: Narzędzia IAM widzą wyłącznie „zarządzaną” część tożsamości, co pozostawia poza zakresem konta lokalnych administratorów, tożsamości serwisowe oraz systemy dziedziczone.
- Kompleksowość własności: Wysoka rotacja pracowników, fuzje oraz zespoły działające w rozproszeniu powodują niejasności dotyczące tego, kto jest właścicielem jakiej aplikacji czy konta.
- Agenci AI i automatyzacja: Wprowadzenie agentów AI tworzy nową kategorię półautonomicznych tożsamości, działających niezależnie od swoich ludzkich operatorów, co dodatkowo łamie model IAM.
Rzeczywiste Ryzyko
Konta osierocone to niezabezpieczne tylne drzwi w przedsiębiorstwie. Posiadają one ważne poświadczenia, często z podwyższonymi uprawnieniami, ale bez aktywnego właściciela. Napastnicy są tego świadomi i korzystają z tej sytuacji. Przykładem może być atak na kontrolę infrastruktury Colonial Pipeline w 2021 roku, gdzie intruzi wdarli się przez stare, nieaktywne konto VPN, które nie miało włączonej wieloskładnikowej autoryzacji (MFA). Liczne źródła potwierdzają szczegół dotyczący tego „nieaktywnego” konta.
Innym przykładem jest atak na firmę produkcyjną przez ransomware Akira w 2025 roku, gdy intruzowie wykorzystali stary „duchowy” dostęp do konta dostawcy, które nie zostało dezaktywowano. W kontekście fuzji i przejęć (M&A) często można napotkać na tysiące przestarzałych kont/tokenów; przedsiębiorstwa zauważają, że osierocone (często NHI) tożsamości stanowią ciągłe zagrożenie po M&A, podkreślając bardzo wysokie wskaźniki aktywnych tokenów byłych pracowników.
Konta osierocone niosą ze sobą różne ryzyka:
- Ekspozycja na zgodność: Naruszają zasady najmniejszych uprawnień oraz deprowizji wymagana przez standardy takie jak ISO 27001, NIS2, PCI DSS czy FedRAMP.
- Nieefektywność operacyjna: Wzrost kosztów licencji i zbędne obciążenia audytowe.
- Spowolnienie reakcji na incydenty: Analiza i naprawa stają się wolniejsze, gdy w sprawę zaangażowane są niewidoczne konta.
Kierunek: Ciągły Audyt Tożsamości
Przedsiębiorstwa potrzebują dowodów, a nie przypuszczeń. Eliminacja osieroconych kont wymaga pełnej przejrzystości tożsamości – zdolności do zobaczenia i weryfikacji każdego konta, uprawnień oraz aktywności, niezależnie od zarządzania.
Nowoczesne podejścia obejmują:
- Zbieranie telemetryki tożsamości: Bezpośrednie pozyskiwanie sygnałów aktywności z aplikacji, zarówno zarządzanych, jak i niezależnych.
- Zunifikowany szlak audytowy: Korelacja wydarzeń związanych z dołączeniem, zmianą, odejściem, logami autoryzacji oraz danymi o użytkowaniu w celu potwierdzenia własności i legalności.
- Mapowanie kontekstu ról: Zbieranie informacji na temat rzeczywistego wykorzystania oraz kontekstu uprawnień w profilach tożsamości – pokazując, kto, co i kiedy używał.
- Ciągłe egzekwowanie: Automatyczne flagowanie lub dezaktywacja kont bez aktywności lub własności, zmniejszając ryzyko bez oczekiwania na recenzje manualne.
Gdy ta telemetria dostaje się do centralnej warstwy audytu tożsamości, zamyka lukę w widoczności, przekształcając konta osierocone z ukrytych zobowiązań w mierzalne i zarządzane podmioty.
Perspektywa Orchid
Możliwości audytu tożsamości firmy Orchid dostarczają solidne podstawy. Łącząc telemetrykę na poziomie aplikacji z automatyzowanym zbieraniem audytów, zapewniają wiarygodny, ciągły wgląd w to, jak tożsamości – ludzkie, nieludzkie oraz agent-AI – są rzeczywiście używane.
To nie jest kolejny system IAM; to spoiwo, które zapewnia, że decyzje dotyczące IAM opierają się na dowodach, a nie oszacowaniach.
Uwaga: Artykuł został napisany i przekazany przez Roya Katmora, dyrektora generalnego Orchid Security.
