Thực trạng phân mảnh của định danh doanh nghiệp hiện đại
Hệ thống IAM của doanh nghiệp đang tiến gần đến điểm giới hạn. Khi các tổ chức mở rộng quy mô, định danh ngày càng trở nên phân mảnh trên hàng nghìn ứng dụng, các nhóm phi tập trung, định danh máy và các hệ thống tự trị.
Kết quả là sự xuất hiện của "Vật chất tối Định danh" (Identity Dark Matter): các hoạt động định danh nằm ngoài tầm kiểm soát của IAM tập trung và vượt xa khả năng quan sát của các đội ngũ bảo mật.
Theo phân tích của Orchid Security, 46% hoạt động định danh doanh nghiệp diễn ra bên ngoài tầm nhìn của IAM tập trung. Nói cách khác, gần một nửa bề mặt định danh của doanh nghiệp có thể đang hoạt động mà không được giám sát. Lớp ẩn này bao gồm các ứng dụng không được quản lý, tài khoản cục bộ, luồng xác thực thiếu minh bạch và các định danh phi nhân loại (non-human identities) được cấp quyền quá mức. Tình trạng này càng trở nên trầm trọng hơn do các công cụ rời rạc, quyền sở hữu bị chia cắt và sự gia tăng nhanh chóng của Agentic AI.
Hệ quả là khoảng cách ngày càng lớn giữa những gì tổ chức bảo mật nghĩ rằng họ có và các quyền truy cập thực sự tồn tại. Khoảng cách đó chính là nơi rủi ro định danh hiện đại đang trú ngụ.
Định nghĩa danh mục IVIP: Lớp Hiển thị và Quan sát
Để lấp đầy những khoảng trống này, Gartner đã giới thiệu Nền tảng Hiển thị và Tình báo Định danh (IVIP) như một "Hệ thống của các Hệ thống" cơ bản. Trong khung làm việc Identity Fabric, IVIP chiếm giữ Lớp 5: Hiển thị và Quan sát (Visibility and Observability), cung cấp một lớp giám sát độc lập phía trên quản lý truy cập và quản trị.
Theo định nghĩa chính thức, một giải pháp IVIP nhanh chóng thu nạp và thống nhất dữ liệu IAM, tận dụng các phân tích do AI thúc đẩy để cung cấp một cửa sổ duy nhất hiển thị các sự kiện định danh, mối quan hệ giữa người dùng - tài nguyên và trạng thái bảo mật.
| Tính năng | IAM / IGA truyền thống | IVIP / Khả năng quan sát |
|---|---|---|
| Phạm vi hiển thị | Chỉ các ứng dụng được tích hợp và quản trị | Toàn diện: các hệ thống được quản lý, không được quản lý và bị ngắt kết nối |
| Nguồn dữ liệu | Xác nhận của chủ sở hữu và tài liệu thủ công | Thông tin chi tiết runtime liên tục và dữ liệu đo lường cấp ứng dụng |
| Phương pháp phân tích | Đánh giá cấu hình tĩnh và "Suy luận" | Khám phá liên tục và bằng chứng dựa trên thực tế |
| Trí tuệ | Logic dựa trên quy tắc cơ bản | Khám phá ý định được hỗ trợ bởi LLM và phân tích hành vi |
Một IVIP thực sự phải làm được những gì?
Một IVIP đáng tin cậy không thể chỉ là một kho lưu trữ định danh khác. Nó phải đóng vai trò là một công cụ tình báo chủ động cho hệ sinh thái định danh doanh nghiệp.
Đầu tiên, nó phải cung cấp khả năng khám phá liên tục cả định danh con người và phi nhân loại trên mọi hệ thống liên quan, bao gồm cả những hệ thống nằm ngoài quy trình IAM chính thức. Thứ hai, nó phải hoạt động như một nền tảng dữ liệu định danh, thống nhất thông tin phân mảnh từ các thư mục, ứng dụng và cơ sở hạ tầng thành một nguồn sự thật (source of truth) mạch lạc hơn. Thứ ba, nó phải cung cấp tình báo, sử dụng phân tích và AI để chuyển đổi các tín hiệu định danh rải rác thành thông tin bảo mật có ý nghĩa.
Về mặt kỹ thuật, điều đó có nghĩa là hỗ trợ các khả năng như khắc phục tự động, để các lỗ hổng trạng thái có thể được sửa chữa trực tiếp trên toàn bộ ngăn xếp IAM; chia sẻ tín hiệu thời gian thực, sử dụng các tiêu chuẩn như CAEP để kích hoạt các hành động bảo mật ngay lập tức; và tình báo dựa trên ý định, nơi các LLM giúp giải thích mục đích đằng sau hoạt động định danh và phân biệt hành vi vận hành bình thường với các mô hình thực sự rủi ro.
Đây là bước chuyển mình từ việc hiển thị định danh sang hiểu biết về định danh và cuối cùng là kiểm soát định danh.
Orchid Security: Cung cấp mặt phẳng điều khiển IVIP
Orchid Security hiện thực hóa mô hình IVIP bằng cách chuyển đổi các tín hiệu định danh phân mảnh thành tình báo cấp ứng dụng liên tục. Thay vì chỉ dựa vào các tích hợp IAM tập trung, Orchid xây dựng khả năng hiển thị trực tiếp từ chính hạ tầng ứng dụng, cho phép các tổ chức khám phá, thống nhất và phân tích hoạt động định danh trên các hệ thống mà các công cụ truyền thống không thể nhìn thấy.
1. Phạm vi dữ liệu và hiển thị: Nhìn thấy toàn bộ hệ sinh thái ứng dụng và định danh
Một yêu cầu cốt lõi của IVIP là khám phá liên tục các định danh và hệ thống mà chúng hoạt động. Orchid đạt được điều này thông qua phân tích nhị phân và công cụ hóa động (dynamic instrumentation), cho phép kiểm tra logic xác thực và phân quyền gốc trực tiếp bên trong ứng dụng và cơ sở hạ tầng mà không cần API, thay đổi mã nguồn hoặc tích hợp kéo dài.
Cách tiếp cận này mang lại lợi thế quan trọng trong việc khám phá hệ sinh thái ứng dụng. Nhiều doanh nghiệp không thể quản trị định danh trên các ứng dụng mà các đội ngũ bảo mật trung tâm thậm chí không biết là có tồn tại. Orchid làm nổi bật các hệ thống này trước tiên, vì bạn không thể đánh giá, quản trị hoặc bảo mật những gì bạn không nhìn thấy.
2. Thống nhất dữ liệu: Xây dựng lớp bằng chứng định danh
Các nền tảng IVIP phải thống nhất dữ liệu định danh phân mảnh thành một bức tranh vận hành nhất quán. Orchid thực hiện điều này bằng cách nắm bắt dữ liệu đo lường kiểm toán độc quyền từ bên trong ứng dụng và kết hợp nó với nhật ký (logs) và tín hiệu từ các hệ thống IAM tập trung.
Kết quả là một lớp dữ liệu định danh dựa trên bằng chứng hiển thị cách các định danh thực sự hành xử trong môi trường. Thay vì dựa vào các giả định cấu hình, các tổ chức có được cái nhìn thống nhất về định danh trên các ứng dụng, luồng xác thực và các đường dẫn truy cập bên ngoài.
3. Tình báo: Chuyển đổi dữ liệu đo lường thành thông tin hành động
Một IVIP phải chuyển đổi dữ liệu đo lường định danh thành tình báo có thể hành động. Các cuộc kiểm toán định danh của Orchid cho thấy sức mạnh của lớp này khi hoạt động định danh được phân tích trực tiếp ở cấp độ ứng dụng.
- 85% ứng dụng chứa các tài khoản từ các domain cũ hoặc bên ngoài, tạo ra rủi ro rò rỉ dữ liệu lớn.
- 70% ứng dụng chứa các đặc quyền quá mức, với 60% cấp quyền quản trị rộng rãi cho bên thứ ba.
- 40% tổng số tài khoản là tài khoản mồ côi (orphaned accounts), con số này tăng lên 60% trong một số môi trường cũ.
Mở rộng IVIP cho biên giới định danh tiếp theo: AI Agents
Các AI agents tự trị đại diện cho làn sóng vật chất tối định danh tiếp theo, thường hoạt động với các định danh và quyền độc lập nằm ngoài các mô hình quản trị truyền thống. Orchid mở rộng khung IVIP cho các định danh mới nổi này thông qua kiến trúc Guardian Agent, cho phép các tổ chức áp dụng quản trị Zero Trust cho hoạt động do AI thúc đẩy.
Việc áp dụng AI agent an toàn được dẫn dắt bởi năm nguyên tắc:
- Gán trách nhiệm từ Người sang Agent: Mọi hành động của agent đều được liên kết với một chủ sở hữu là con người chịu trách nhiệm.
- Kiểm toán hoạt động: Một chuỗi lưu ký hoàn chỉnh được ghi lại (Agent → Công cụ/API → Hành động → Mục tiêu).
- Rào chắn nhận thức ngữ cảnh (Context-Aware Guardrails): Các quyết định truy cập được đánh giá động dựa trên độ nhạy cảm của tài nguyên.
- Đặc quyền tối thiểu: Truy cập Just-in-Time thay thế cho các thông tin xác thực đặc quyền vĩnh viễn.
- Khắc phục tự động: Hành vi rủi ro có thể kích hoạt các phản ứng tự động như xoay vòng thông tin xác thực hoặc chấm dứt phiên làm việc.
Đo lường thành công: Chỉ số hướng kết quả (ODMs) và Khắc phục
Các quyết định định danh chỉ tốt khi dữ liệu đằng sau chúng chính xác. Các CISO phải chuyển từ việc "triển khai kiểm soát" sang Chỉ số hướng kết quả (ODMs).
- Ví dụ về ODM: Thay vì đếm số giấy phép IGA, hãy đo lường mức giảm các quyền không sử dụng (ngủ đông) từ 70% xuống 10% trong một quý tài chính.
- Thỏa thuận mức độ bảo vệ (PLAs): Thương lượng các kết quả mục tiêu với doanh nghiệp, ví dụ như thu hồi quyền truy cập quan trọng trong vòng 24 giờ khi nhân viên nghỉ việc.
- ROI doanh nghiệp: Bằng cách chuyển sang khả năng quan sát liên tục, các tổ chức có thể rút ngắn thời gian chuẩn bị kiểm toán từ hàng tháng xuống còn vài phút.
Lộ trình triển khai chiến lược cho các lãnh đạo IAM
- Thành lập nhóm đặc nhiệm đa ngành: Kết nối vận hành IT, chủ sở hữu ứng dụng, IAM và GRC để phá bỏ các rào cản kỹ thuật.
- Thực hiện phân tích khoảng trống rủi ro: Bắt đầu với định danh máy, vì đây thường là nơi có rủi ro cao nhất và khả năng hiển thị thấp nhất.
- Triển khai khắc phục No-code: Tự động sửa chữa các sai lệch trạng thái ngay khi phát hiện.
- Tận dụng hiển thị thống nhất cho các sự kiện quan trọng: Sử dụng dữ liệu IVIP trong các đợt M&A để kiểm tra trạng thái định danh của các tài sản mới.
- Kiểm toán rủi ro kinh doanh: Sử dụng khả năng quan sát liên tục để phát hiện các vi phạm ở cấp độ ứng dụng mà các công cụ truyền thống bỏ lỡ.
Tầm nhìn thống nhất không còn là một tính năng phụ trợ; nó là mặt phẳng điều khiển thiết yếu. Các tổ chức phải vượt ra ngoài việc "khóa cửa trước" và triển khai khả năng quan sát định danh để quản trị phần vật chất tối nơi những kẻ tấn công hiện đại đang ẩn nấp.
Lưu ý: Bài viết này được đóng góp bởi Roy Katmor, CEO của Orchid Security.