Rủi ro tiềm ẩn từ các tài khoản mồ côi

Vấn đề: Các danh tính bị bỏ lại phía sau. Khi các tổ chức phát triển và mở rộng, nhân viên, nhà thầu, dịch vụ và hệ thống đến rồi đi – nhưng các tài khoản của họ thường vẫn còn. Những tài khoản bị bỏ quên hoặc "mồ côi" này nằm im lìm trên các ứng dụng, nền tảng, tài sản và bảng điều khiển đám mây. Lý do chúng tồn tại không phải do sơ suất – mà là do sự phân mảnh. Các hệ thống IAM và IGA truyền thống được thiết kế chủ yếu cho người dùng là con người.
Minh họa tài khoản mồ côi

Vấn đề: Các danh tính bị bỏ lại phía sau

Khi các tổ chức phát triển và mở rộng, nhân viên, nhà thầu, dịch vụ và hệ thống đến rồi đi – nhưng các tài khoản của họ thường vẫn còn. Những tài khoản bị bỏ quên hoặc "tài khoản mồ côi" này nằm im lìm trên các ứng dụng, nền tảng, tài sản và bảng điều khiển đám mây.

Lý do chúng tồn tại không phải do sơ suất – mà là do sự phân mảnh.

Các hệ thống IAM và IGA truyền thống được thiết kế chủ yếu cho người dùng là con người và phụ thuộc vào quy trình tích hợp và cấp quyền thủ công cho từng ứng dụng – bao gồm các trình kết nối, ánh xạ schema, danh mục quyền và mô hình hóa vai trò. Nhiều ứng dụng không bao giờ đạt được mức độ tích hợp này. Trong khi đó, các danh tính phi con người (NHIs): tài khoản dịch vụ, bot, APIs, và quy trình agent-AI vốn không được quản lý, hoạt động bên ngoài các khung IAM tiêu chuẩn và thường không có quyền sở hữu, khả năng hiển thị hoặc kiểm soát vòng đời.

Kết quả? Một lớp bóng mờ của các danh tính không được theo dõi, tạo thành một phần của "vật chất tối danh tính" rộng lớn hơn – những tài khoản vô hình đối với quản trị nhưng vẫn hoạt động trong cơ sở hạ tầng.

Lý do chúng không được theo dõi

  1. Nút thắt tích hợp: Mọi ứng dụng đều yêu cầu cấu hình riêng biệt trước khi IAM có thể quản lý. Các hệ thống không được quản lý và cục bộ hiếm khi được ưu tiên.
  2. Khả năng hiển thị hạn chế: Các công cụ IAM chỉ thấy được phần danh tính "được quản lý" – bỏ lại các tài khoản quản trị viên cục bộ, danh tính dịch vụ và hệ thống cũ.
  3. Quyền sở hữu phức tạp: Sự thay đổi nhân sự, các vụ sáp nhập và các nhóm phân tán khiến việc xác định ai sở hữu ứng dụng hoặc tài khoản nào trở nên không rõ ràng.
  4. AI-Agents và Tự động hóa: Agent-AI giới thiệu một loại danh tính bán tự động mới, hoạt động độc lập với người điều khiển là con người, phá vỡ hơn nữa mô hình IAM.
Để tìm hiểu thêm về các "lối tắt" trong IAM và những tác động đi kèm, hãy truy cập đây.
Minh họa lý do tài khoản mồ côi không được theo dõi

Rủi ro trong thế giới thực

Các tài khoản mồ côi là những cánh cửa hậu không khóa của doanh nghiệp.

Chúng chứa thông tin xác thực hợp lệ, thường đi kèm với các đặc quyền nâng cao, nhưng không có chủ sở hữu đang hoạt động. Kẻ tấn công biết điều này và lợi dụng chúng.

  • Colonial Pipeline (2021) – kẻ tấn công xâm nhập thông qua một tài khoản VPN cũ/không hoạt động mà không có MFA. Nhiều nguồn tin xác nhận chi tiết về tài khoản "không hoạt động/cũ" này.
  • Công ty sản xuất bị tấn công bởi Akira ransomware (2025) – vi phạm xảy ra thông qua một "tài khoản ma" của nhà cung cấp bên thứ ba không được vô hiệu hóa (tức là một tài khoản mồ côi/nhà cung cấp). Bài viết của SOC từ Barracuda Managed XDR.
  • Bối cảnh M&A – trong quá trình hợp nhất sau sáp nhập, việc phát hiện hàng nghìn tài khoản/token cũ là điều phổ biến; các doanh nghiệp nhận thấy các danh tính mồ côi (thường là NHI) là một mối đe dọa dai dẳng sau M&A, với tỷ lệ cao các token của cựu nhân viên vẫn còn hoạt động.

Các tài khoản mồ côi tiềm ẩn nhiều rủi ro:

  • Rủi ro tuân thủ: Vi phạm các yêu cầu về nguyên tắc đặc quyền tối thiểu (least-privilege) và hủy cấp quyền (deprovisioning) (ISO 27001, NIS2, PCI DSS, FedRAMP).
  • Thiếu hiệu quả vận hành: Số lượng giấy phép bị thổi phồng và chi phí kiểm toán không cần thiết.
  • Kéo dài thời gian ứng phó sự cố: Công tác điều tra pháp y và khắc phục bị chậm lại khi có sự tham gia của các tài khoản không được nhìn thấy.

Con đường phía trước: Kiểm toán danh tính liên tục

Các doanh nghiệp cần bằng chứng, không phải phỏng đoán. Loại bỏ các tài khoản mồ côi đòi hỏi khả năng quan sát danh tính hoàn chỉnh – khả năng nhìn thấy và xác minh mọi tài khoản, quyền hạn và hoạt động, dù được quản lý hay không.

Các biện pháp giảm thiểu hiện đại bao gồm:

  • Thu thập dữ liệu Telemetry danh tính: Trích xuất tín hiệu hoạt động trực tiếp từ các ứng dụng, dù được quản lý hay không.
  • Dấu vết kiểm toán hợp nhất: Đối chiếu các sự kiện gia nhập/thuyên chuyển/nghỉ việc, nhật ký xác thực và dữ liệu sử dụng để xác nhận quyền sở hữu và tính hợp pháp.
  • Ánh xạ ngữ cảnh vai trò: Đưa thông tin chi tiết về việc sử dụng thực tế và ngữ cảnh đặc quyền vào hồ sơ danh tính – cho thấy ai đã sử dụng gì, khi nào và tại sao.
  • Thực thi liên tục: Tự động gắn cờ hoặc vô hiệu hóa các tài khoản không có hoạt động hoặc quyền sở hữu, giảm thiểu rủi ro mà không cần chờ đợi các đánh giá thủ công.

Khi dữ liệu telemetry này được đưa vào một lớp kiểm toán danh tính trung tâm, nó sẽ thu hẹp khoảng cách về khả năng hiển thị, biến các tài khoản mồ côi từ những khoản nợ tiềm ẩn thành các thực thể có thể đo lường và quản lý.

Minh họa quy trình kiểm toán danh tính
Để tìm hiểu thêm, hãy truy cập Audit Playbook: Continuous Application Inventory Reporting.

Góc nhìn từ Orchid

Khả năng Identity Audit của Orchid cung cấp nền tảng này. Bằng cách kết hợp dữ liệu telemetry cấp ứng dụng với việc thu thập kiểm toán tự động, nó cung cấp cái nhìn sâu sắc liên tục, có thể kiểm chứng về cách các danh tính – con người, phi con người và agent-AI – thực sự được sử dụng.

Đây không phải là một hệ thống IAM khác; đó là lớp kết nối đảm bảo các quyết định về IAM dựa trên bằng chứng, không phải phỏng đoán.

Lưu ý: Bài viết này được viết và đóng góp bởi Roy Katmor, CEO của Orchid Security.

Thẻ liên quan
#tài khoản mồ côi #Identity Governance #IAM #an ninh mạng #kiểm toán danh tính