Коли IBM-івський подкаст Security Intelligence добирається до теми ідентичностей, це зазвичай означає холодний душ для тих, хто вважає, що керує доступами більш-менш упевнено. У свіжому випуску ведучий Метт Косінскі разом із фахівцями зі X‑Force та напрямку identity & access management розбирають звіт Sophos State of Identity Security 2026. Центральний висновок: сервісні обліковки, API‑ключі та інші non‑human identities (NHI) вже давно не «другорядний шум», а ключовий фактор успішних атак.
Звіт ґрунтується на опитуванні 5000 ІТ‑ та кібербезпекових лідерів і показує те, що українські компанії, які масово автоматизуються та запускають AI‑агентів, воліли б не бачити: більшість організацій регулярно навіть не дивиться в бік нелюдських облікових даних, попри те, що саме через них проходить значна частина зламів.
Коли кожен другий інцидент — про ідентичність
Sophos у своєму звіті опитала 5000 керівників ІТ та безпеки й виявила, що 71% респондентів пережили щонайменше один identity‑related breach за останній рік. Для фахівців це не новина: IBM X‑Force роками фіксує, що атаки на ідентичності тримаються у верхніх рядках глобальної статистики.
Новим у звіті стало інше — спроба розділити людські та нелюдські ідентичності. Sophos окремо порахувала інциденти, де зловмисники крали облікові записи користувачів, і випадки, коли компрометувалися саме non‑human identities: сервісні акаунти, API‑ключі, обліковки технічних сервісів і агентів.
Результат виявився неприємним: NHI були залучені у 41% успішних identity‑зламів. Тобто майже у половині випадків зловмисники атакували не людей, а «мовчазну інфраструктуру» — те, чим зазвичай ніхто не цікавиться, поки воно працює.
Ще один тривожний маркер: лише приблизно третина організацій регулярно аудиту або ротують свої NHI‑креденшіали. Іншими словами, дві третини компаній фактично не мають системного огляду над тим, хто і як діє від імені їхніх сервісних акаунтів.
Сервісні обліковки як ідеальна ціль
Керівник напрямку X‑Force threat intelligence Нік Бредлі формулює головну причину такої популярності NHI в атаках максимально просто: «Тому що ніхто не дивиться».
Якщо зловмисник краде пароль користувача й входить від його імені, шанс виявлення досить високий. Людина рано чи пізно помітить, що облікові дані кимось використано: зміняться налаштування, з’являться дивні дії в журналах чи сповіщеннях, доступи почнуть поводитися нетипово.
Але якщо атакувальник отримує сервісний акаунт, ситуація інакша. «Якщо я краду твій пароль, ти рано чи пізно помітиш, що щось не так. Але якщо я отримую сервісний акаунт, ти взагалі коли‑небудь це помітиш, якщо його ніхто не моніторить?» — звучить риторичне запитання під час обговорення.
Тут критичними стають дві властивості NHI:
По‑перше, сервісні обліковки часто сприймаються як частина «фону» — щось, що «просто має працювати». Ніхто не заходить у такий акаунт «подивитися пошту», ніхто не використовує його для щоденної роботи. Відповідно, будь‑яка активність, якою б дивною вона не була, проходить майже без шансів бути поміченою, якщо немає спеціально налаштованого моніторингу.
По‑друге, багато таких акаунтів живуть поза стандартним життєвим циклом: не проходять регулярний перегляд прав, не потрапляють у обов’язкову ротацію паролів, не прив’язані до актуальних бізнес‑процесів.
«Деякі сервісні обліковки створюють і використовують роками: вони не ротуються, не відстежуються, про них згадують лише коли щось ламається й ніхто навіть не памʼятає, хто їх завів», — констатує один із експертів.
Для зловмисника це майже ідеальний ресурс: широкі технічні права, нуль користувацької уваги та слабка або взагалі відсутня аналітика поведінки.
Identity & Access Management: 25 років боротьби з одними й тими самими проблемами
Тема ідентичностей у безпеці не нова. Один із учасників подкасту, який понад чверть століття працює в identity & access management, визнає: «Ідентичність завжди була складною. Я понад чверть століття в identity & access management, і ми досі вирішуємо ті самі проблеми знову й знову».
Класична еволюція виглядала так. Спочатку облікові записи створювалися за паперовими заявками, з ручними підписами й «адміном», який руками заносив користувача в систему. Потім усе це переносили в автоматизовані IAM‑платформи, з’явилася рольова модель, авто‑призначення прав, автоматичне відключення при звільненні.
Та навіть ці системи здебільшого про людей — про співробітників, підрядників, іноді партнерів. Нелюдські ідентичності весь цей час жили паралельним життям. На них не поширювалися звичні тригери на кшталт «новий співробітник» чи «зміна посади», з ними рідше працювали HR і менеджери, їхній життєвий цикл визначався радше технічними зручностями, ніж політикою безпеки.
Звіт Sophos показує, що ця «тіньова зона» перетворюється з організаційної незручності на реальний вектор атаки. І старі підходи IAM просто не встигають за новою реальністю, де кількість NHI зростає разом із хмарною інфраструктурою, мікросервісами й AI‑агентами.
Ефемерні ID для AI‑агентів: мінімум прав, мінімум часу
Окрема лінія дискусії — як саме вписати агентні фреймворки та AI‑сервіси в модель доступів. Сьогодні чимало експериментів і пілотів запускаються максимально просто: «під основним користувачем».
«Багато хто запускає агентні фреймворки типу Open‑сlaw просто під основним користувачем — фактично під root або “адміном”, тож якщо агент помиляється, він робить дуже великий безлад дуже швидко», — наголошують учасники розмови.
Агент у такій конфігурації стає «швидким дурнем»: він може за лічені секунди виконати те, на що людині знадобилися б години, і з тією самою швидкістю масштабувати помилки. Якщо цей агент працює від імені високопривілейованого облікового запису, будь‑яка помилка миттєво перетворюється на інцидент.
Запропонований контрхід — змінити сам принцип роботи з агентами й сервісами.
«Для агентів нам потрібні ефермерні ID: обліковка зʼявляється на кілька секунд, отримує мінімально необхідні привілеї за принципом найменших прав і зникає», — окреслюється нова цільова модель.
Ключові елементи підходу:
-
Ефемерність. Ідентичність створюється під конкретну дію або короткий набір дій і живе лише стільки, скільки потрібно для їх виконання. Жодних «вічних» сервісних акаунтів для агентів, які працюють роками з незмінними токенами.
-
Принцип найменших прав. Агент отримує лише ті привілеї, що строго необхідні для поточного завдання. Немає жодної «запасної» або «про всяк випадок» влади над системою.
-
Точне обмеження контексту. Правила повинні жорстко окреслювати, до яких ресурсів агент має доступ і в яких межах може діяти.
Сьогодні це радше орієнтир, ніж повсюдна практика: «це ті системи, які нам лише належить побудувати». Проте саме в такому напрямку починає рухатися інфраструктура, де AI‑агенти мають бути не екзотичним експериментом, а штатним елементом.
Нелюдські ідентичності все одно починаються з людей
Ще один нюанс, який легко випускають з поля зору: non‑human не означає «безлюдний». Креативна директорка IBM X‑Force Cyber Range Клер Нуньєс нагадує, що в кожній NHI десь на початку ланцюга все одно є людина.
Обліковий запис сервісу, API‑ключ чи агентний токен не виникають самі по собі. Хтось визначив, як вони будуть створюватися, які права отримають, на який термін і за якою логікою будуть оновлюватися. «Які б помилки ця людина не зробила, вони потім подорожують ланцюгом далі», — звучить у дискусії на подкасті.
Порівняння, яке використовує Нуньєс, — із пластиком у харчовому ланцюжку: маленька рибка ковтає шматочок, її з’їдає більша, потім ще більша, і в підсумку концентрація лише зростає. Аналогічно з погано налаштованою NHI: спочатку це дрібна зручність, потім її починають наслідувати інші системи, і через кілька років уже важко відстежити, де закінчується первинна помилка.
Саме тому тема NHI часто викликає подив на рівні керівництва. «Ми бачимо, як клієнти починають враховувати non‑human identities у своїх сценаріях, і іноді їхні керівники трохи губляться: “Як це — у нас є люди й у нас їх одночасно немає? Ми просто маємо всі ці ідентичності”», — описує вона типову реакцію.
Це не про футуристичних «цифрових істот», а про дуже конкретну сукупність технічних акаунтів, які опосередковано успадковують усі помилки та компроміси, допущені людьми.
Висновок: AI створює проблему й допомагатиме її вирішувати
Окрема іронія ситуації, яку відзначають учасники подкасту: масштаб і складність проблеми NHI, ймовірно, доведеться вирішувати за допомогою того ж AI, що цю складність посилює.
Один із гостей підсумовує: «Я думаю, нам доведеться вигадати якийсь динамічний аналіз поведінки, про який ми ще навіть не думали. І, на жаль, найімовірніше, нам знадобиться AI, щоб це розв’язати. Ми просто зробили повне коло. AI розв’язує проблеми, які AI для нас створює».
Для українських команд, що будують нові сервіси, переходять у хмару й піднімають власні AI‑платформи, сигнал Sophos і дискусії навколо нього досить однозначний. Ідентичність — це вже не лише про людей, а non‑human identities перестали бути технічними деталями й перетворилися на один із головних інструментів атакувальників.
Ігнорувати їх через складність чи «метафоричність» поняття — означає залишити відкритими двері, через які злом відбуватиметься тихо, довго й без шансів бути поміченим, поки щось нарешті не впаде.