被盜憑據(jù)導(dǎo)致了80%的企業(yè)數(shù)據(jù)泄露。所有主要安全廠商都得出了相同的結(jié)論:身份管理現(xiàn)在是AI安全的控制平面���。僅規(guī)模因素就要求這種轉(zhuǎn)變�����。管理10萬名員工的企業(yè)在AI代理投入生產(chǎn)后將需要處理超過100萬個(gè)身份。
傳統(tǒng)的身份訪問管理(IAM)架構(gòu)無法擴(kuò)展以保護(hù)代理AI的激增���。這些架構(gòu)是為數(shù)千名人類用戶而構(gòu)建的,而不是為數(shù)百萬個(gè)以機(jī)器速度運(yùn)行且具有人類級(jí)別權(quán)限的自主代理設(shè)計(jì)的�。行業(yè)的響應(yīng)代表了自云計(jì)算采用以來最重要的安全轉(zhuǎn)型。
基于鄰近性的身份驗(yàn)證取代硬件令牌
領(lǐng)先廠商現(xiàn)在使用設(shè)備和筆記本電腦之間的藍(lán)牙低功耗(BLE)來證明物理鄰近性�。結(jié)合加密身份和生物識(shí)別技術(shù),這創(chuàng)造了無需硬件令牌的四因素身份驗(yàn)證�。
思科的Duo大規(guī)模展示了這一創(chuàng)新。他們的鄰近性驗(yàn)證通過基于BLE的鄰近性結(jié)合生物識(shí)別驗(yàn)證提供抗釣魚身份驗(yàn)證��。這一在Cisco Live 2025上揭曉的功能代表了身份驗(yàn)證架構(gòu)的根本轉(zhuǎn)變���。
微軟的Entra ID在單個(gè)試點(diǎn)項(xiàng)目中處理10,000個(gè)AI代理���,同時(shí)每天處理80億次身份驗(yàn)證����。微軟身份副總裁Alex Simons表示:"傳統(tǒng)目錄服務(wù)的架構(gòu)不是為以這種速度運(yùn)行的自主系統(tǒng)設(shè)計(jì)的�����。"
Ping Identity的DaVinci編排平臺(tái)更進(jìn)一步�����。該系統(tǒng)每天處理超過10億個(gè)身份驗(yàn)證事件�����,AI代理占流量的60%���。每次驗(yàn)證在200毫秒內(nèi)完成����,同時(shí)保持加密證明��。
行為分析實(shí)時(shí)捕獲被攻陷的代理
CrowdStrike將AI代理視為任何其他身份威脅。他們的Falcon平臺(tái)在24小時(shí)內(nèi)為每個(gè)代理建立行為基線�。偏差會(huì)在幾秒鐘內(nèi)觸發(fā)自動(dòng)遏制。
CrowdStrike反對(duì)手行動(dòng)負(fù)責(zé)人Adam Meyers告訴VentureBeat:"當(dāng)AI代理突然訪問其既定模式之外的系統(tǒng)時(shí)��,我們將其與被攻陷的員工憑據(jù)同等對(duì)待�。"該平臺(tái)每天在客戶環(huán)境中跟蹤150億個(gè)AI相關(guān)事件。
這種速度很重要����。CrowdStrike的2025年全球威脅報(bào)告記錄顯示,攻擊者在不到10分鐘內(nèi)就能獲得初始訪問權(quán)限��。他們?cè)诘谝粋€(gè)小時(shí)內(nèi)橫向移動(dòng)到15個(gè)系統(tǒng)�。使用被攻陷身份運(yùn)行的AI代理會(huì)成倍放大這種損害。
身份韌性防止災(zāi)難性故障
根據(jù)Gartner的數(shù)據(jù)��,企業(yè)平均在云端和本地系統(tǒng)中擁有89個(gè)不同的身份存儲(chǔ)��。這種碎片化創(chuàng)造了攻擊者每天利用的盲點(diǎn)���。解決方案是將網(wǎng)絡(luò)原則應(yīng)用于身份基礎(chǔ)設(shè)施。
Okta的高級(jí)服務(wù)器訪問實(shí)現(xiàn)了跨身份提供商的冗余��、負(fù)載均衡和自動(dòng)故障轉(zhuǎn)移����。當(dāng)主要身份驗(yàn)證失敗時(shí)�,輔助系統(tǒng)在50毫秒內(nèi)激活����。當(dāng)AI代理每秒執(zhí)行數(shù)千次操作時(shí),這成為強(qiáng)制性要求�。
Okta首席執(zhí)行官Todd McKinnon在Oktane 2024上說:"身份就是安全。當(dāng)你將AI投入生產(chǎn)時(shí)���,你給代理訪問真實(shí)系統(tǒng)�����、真實(shí)數(shù)據(jù)和客戶數(shù)據(jù)的權(quán)限�。一個(gè)被攻陷的代理身份會(huì)級(jí)聯(lián)到數(shù)百萬個(gè)自動(dòng)化操作�����。"
零信任為代理激增而擴(kuò)展
Palo Alto Networks的Cortex XSIAM完全放棄了邊界防御����。該平臺(tái)基于持續(xù)攻陷的假設(shè)運(yùn)行。每個(gè)AI代理在每次操作前都要進(jìn)行驗(yàn)證,而不僅僅是在初始身份驗(yàn)證時(shí)��。
Ivanti現(xiàn)場(chǎng)首席信息安全官M(fèi)ike Riemer在最近接受VentureBeat采訪時(shí)強(qiáng)調(diào)了零信任方法:"它基于'永不信任�����,始終驗(yàn)證'的原則運(yùn)行���。通過采用零信任架構(gòu)����,組織可以確保只有經(jīng)過身份驗(yàn)證的用戶和設(shè)備才能訪問敏感數(shù)據(jù)和應(yīng)用程序�����。"
思科的通用ZTNA將這一模型擴(kuò)展到AI代理��。該平臺(tái)將零信任從人類和物聯(lián)網(wǎng)設(shè)備擴(kuò)展到包含自主AI系統(tǒng)�,提供大規(guī)模的自動(dòng)發(fā)現(xiàn)和委托授權(quán)。
自動(dòng)化劇本立即響應(yīng)身份異常��。當(dāng)惡意軟件觸發(fā)身份驗(yàn)證異常時(shí)�����,XSIAM撤銷訪問權(quán)限并在無人工干預(yù)的情況下啟動(dòng)取證分析��。這種零延遲響應(yīng)成為運(yùn)營(yíng)基線����。
Zscaler首席執(zhí)行官Jay Chaudhry在Zenith Live 2025上識(shí)別了核心漏洞:"網(wǎng)絡(luò)協(xié)議被設(shè)計(jì)為允許受信任的設(shè)備自由通信。AI大規(guī)模武器化了這種傳統(tǒng)架構(gòu)�����。攻擊者制作的釣魚活動(dòng)攻陷代理身份的速度比人類響應(yīng)的速度更快�。"
通用ZTNA框架支持百萬代理部署
架構(gòu)要求是明確的。整個(gè)行業(yè)的通用零信任網(wǎng)絡(luò)訪問(ZTNA)框架提供了AI環(huán)境必需的四種能力��。
思科的實(shí)施展示了所需的規(guī)模����。他們的通用ZTNA平臺(tái)每60秒執(zhí)行一次自動(dòng)發(fā)現(xiàn)掃描,編目新的AI部署和權(quán)限集���。這消除了攻擊者目標(biāo)的盲點(diǎn)��。思科的委托授權(quán)引擎通過每秒處理100,000個(gè)決策的策略引擎強(qiáng)制執(zhí)行最小權(quán)限邊界����。
全面的審計(jì)跟蹤捕獲每個(gè)代理操作以供取證調(diào)查。使用思科等平臺(tái)的安全團(tuán)隊(duì)可以重建跨數(shù)百萬交互的事件��。對(duì)模型上下文協(xié)議等標(biāo)準(zhǔn)的原生支持確保了生態(tài)系統(tǒng)演進(jìn)時(shí)的互操作性。
Ivanti的方法通過AI驅(qū)動(dòng)的分析補(bǔ)充這些功能。Ivanti產(chǎn)品管理高級(jí)副總裁Daren Goeson強(qiáng)調(diào):"AI驅(qū)動(dòng)的端點(diǎn)安全工具可以分析大量數(shù)據(jù)����,比任何人類分析師更快、更準(zhǔn)確地檢測(cè)異常并預(yù)測(cè)潛在威脅�。這些工具提供跨設(shè)備����、用戶和網(wǎng)絡(luò)的清晰可見性,主動(dòng)識(shí)別潛在的安全漏洞�。"
思科的AI安全架構(gòu)設(shè)定行業(yè)方向
思科的AI安全工廠使他們成為英偉達(dá)參考架構(gòu)中第一個(gè)非英偉達(dá)芯片供應(yīng)商。通過將后量子加密與新設(shè)備相結(jié)合����,思科正在構(gòu)建基礎(chǔ)設(shè)施以防范尚不存在的威脅。企業(yè)要點(diǎn):保護(hù)AI不是可選的;它是架構(gòu)性的���。
在Cisco Live 2025上���,該公司推出了一個(gè)全面的身份和AI安全策略,解決了堆棧的每一層問題�����。
跨廠商合作加速
云安全聯(lián)盟零信任推進(jìn)中心現(xiàn)在包括每個(gè)主要的安全廠商。這種前所未有的合作使得跨平臺(tái)的統(tǒng)一安全策略成為可能�����。
CrowdStrike首席執(zhí)行官George Kurtz在最近的平臺(tái)策略討論中強(qiáng)調(diào):"安全廠商必須團(tuán)結(jié)起來對(duì)抗共同威脅���。考慮到攻擊者和威脅演進(jìn)的速度��,以數(shù)據(jù)為中心的方法獲勝��。"
思科總裁兼首席產(chǎn)品官Jeetu Patel在接受VentureBeat采訪時(shí)呼應(yīng)了這一觀點(diǎn):"安全是采用AI的先決條件�。如果人們不信任系統(tǒng),他們就不會(huì)使用它����。"
組織挑戰(zhàn)仍然存在。Ivanti首席信息官Robert Grazioli確定了關(guān)鍵障礙:"CISO和CIO的協(xié)調(diào)在2025年將至關(guān)重要��。如果我們要有效保護(hù)現(xiàn)代企業(yè)�����,這種合作是必不可少的。高管需要整合資源——預(yù)算���、人員�、數(shù)據(jù)和技術(shù)——以增強(qiáng)組織的安全態(tài)勢(shì)���。"
身份清算
當(dāng)思科��、Okta���、Zscaler、Palo Alto Networks和CrowdStrike獨(dú)立得出關(guān)于身份架構(gòu)的相同結(jié)論時(shí)��,這是確認(rèn)而不是巧合�。
身份基礎(chǔ)設(shè)施決定安全結(jié)果。組織面臨兩個(gè)選擇:將身份架構(gòu)為控制平面或接受違規(guī)是不可避免的�����。AI部署速度和身份安全成熟度之間的差距每天都在縮小���。
三個(gè)行動(dòng)不能等待����。在30天內(nèi)審計(jì)每個(gè)AI代理的身份和權(quán)限。立即為所有非人類身份部署持續(xù)驗(yàn)證����。建立24/7身份安全運(yùn)營(yíng)以防止攻擊者利用漏洞。
廠商共識(shí)發(fā)出了明確無誤的信號(hào)���。身份已成為AI安全的控制平面。未能適應(yīng)的企業(yè)將在2025年花時(shí)間管理違規(guī)而不是創(chuàng)新���。
