Tin tức bảo mật về thương vụ Cisco dự kiến mua lại Astrix Security Ltd. cho thấy trọng tâm mới đang dịch chuyển sang bảo vệ Non-Human Identity (NHI) trong môi trường doanh nghiệp. Đây là nhóm định danh không phải con người, thường được dùng bởi AI agents, API, service account và OAuth token để truy cập hệ thống, thực thi tác vụ và trao đổi dữ liệu.
Cisco mở rộng bảo mật NHI trong bối cảnh AI agents tăng nhanh
Thương vụ này nhằm giảm rủi ro bảo mật do bề mặt tấn công mở rộng khi các tác nhân AI được triển khai ở quy mô lớn. Khác với người dùng thông thường, AI agents hoạt động ở tốc độ máy và có thể tự động truy cập dữ liệu, đưa ra quyết định, rồi thực thi lệnh trên nhiều hệ thống khác nhau.
Trong mô hình này, mọi quyền truy cập đều phụ thuộc vào định danh phi con người. Nếu các thông tin xác thực như API key, service account hoặc OAuth token bị lộ, kẻ tấn công có thể thực hiện hành vi trái phép trên diện rộng mà không cần tương tác trực tiếp với người dùng.
Nguy cơ bảo mật từ AI agents và NHI
Theo Cisco’s AI Readiness Index, chỉ 24% tổ chức hiện có các cơ chế kiểm soát đủ chặt để quản lý hành vi AI agents một cách an toàn. Điều này phản ánh khoảng trống lớn trong bảo mật thông tin khi doanh nghiệp mở rộng tự động hóa nhưng chưa có guardrails tương ứng.
Các hệ thống AI hiện đại tạo ra nhiều lớp tương tác mới giữa máy với máy. Khi không được giám sát đầy đủ, những định danh này có thể trở thành điểm yếu để xâm nhập trái phép, leo thang quyền truy cập hoặc thực hiện hành động không mong muốn trên tài nguyên nội bộ.
Nhóm định danh cần kiểm soát
- API keys dùng để xác thực giữa dịch vụ và ứng dụng.
- Service accounts được cấp quyền vận hành tự động.
- OAuth tokens cấp quyền truy cập theo phiên hoặc theo ngữ cảnh.
Khả năng kỹ thuật Astrix mang lại cho Cisco
Astrix Security chuyên bảo vệ các thông tin xác thực phục vụ giao tiếp máy với máy trong 5 năm qua. Sau khi tích hợp, Cisco sẽ có thêm năng lực để phát hiện, giám sát và bảo vệ toàn bộ AI agents cùng NHI trong doanh nghiệp.
Những năng lực này sẽ được tích hợp vào Cisco Identity Intelligence, đồng thời mở rộng sang Cisco Secure Access và Duo Identity and Access Management. Mục tiêu là đảm bảo việc xác thực và cấp quyền cho NHI tuân theo mô hình Zero Trust.
Trong mô hình Zero Trust, AI agents không được mặc định tin cậy. Mỗi yêu cầu truy cập phải được đánh giá theo ngữ cảnh, quyền hạn và trạng thái của định danh, tương tự cách xử lý với tài khoản người dùng.
Tích hợp với SOC và SIEM
Khi dữ liệu định danh được đưa vào Splunk hoặc các hệ thống SIEM khác, trung tâm vận hành an ninh mạng có thể có cái nhìn hợp nhất về hành vi của AI agents. Điều này hỗ trợ phát hiện tấn công theo thời gian thực và phân tích hoạt động bất thường của các định danh không phải con người.
Mô hình này đặc biệt quan trọng khi các hành vi truy cập do AI tạo ra có thể diễn ra ở tốc độ cao và với tần suất lớn. Nếu không có cơ chế giám sát tập trung, SOC sẽ khó phân biệt giữa hành vi tự động hợp lệ và dấu hiệu mối đe dọa.
Các điểm kiểm soát cần ưu tiên
- Khám phá và lập danh mục toàn bộ NHI đang hoạt động.
- Giám sát vòng đời của API key, token và service account.
- Ràng buộc quyền truy cập theo ngữ cảnh và nguyên tắc tối thiểu.
- Đẩy telemetry định danh vào SIEM để tương quan sự kiện.
Liên hệ với chiến lược an ninh mạng của Cisco
Thương vụ này là một phần trong chiến lược rộng hơn nhằm bảo vệ kỷ nguyên AI. Cisco đang xây dựng nhiều lớp kiểm soát hạ tầng và định danh, bao gồm các nâng cấp như Project Glasswing, Live Protect và thương vụ Galileo.
Việc khóa chặt các thông tin xác thực phi con người mà AI agents có thể lạm dụng giúp tổ chức triển khai tự động hóa an toàn hơn. Đây là hướng tiếp cận phù hợp với an ninh mạng hiện đại, nơi danh tính máy đang trở thành bề mặt tấn công quan trọng không kém tài khoản người dùng.
Tham khảo thêm thông tin nền về Non-Human Identity tại OWASP: https://cybersecuritynews.com/owasp-nhi-top-10/.
Ý nghĩa kỹ thuật của mô hình bảo vệ NHI
Trong môi trường có AI agents, bảo vệ danh tính không còn dừng ở xác thực người dùng. Doanh nghiệp cần quản lý toàn bộ chuỗi định danh, từ cách tạo token, phân quyền, thu hồi đến ghi log và kiểm tra hành vi bất thường.
Nếu NHI không được kiểm soát, kẻ tấn công có thể biến quyền truy cập hợp lệ thành công cụ để thực thi hành vi độc hại, gây hệ thống bị xâm nhập ở quy mô lớn. Vì vậy, bảo vệ định danh máy đang trở thành thành phần cốt lõi của an toàn thông tin trong hạ tầng AI.
