การบริหารจัดการข้อมูล 'Human & Non-Human Identity'
เมื่อภูมิทัศน์ทางเทคโนโลยีในปัจจุบันกำลังพัฒนาอย่างต่อเนื่อง การเติบโตของโซลูชันที่ขับเคลื่อนด้วย AI ซึ่งมีศักยภาพเพิ่มสูงขึ้นและการโยกย้ายระบบคลาวด์ได้รับความนิยมอย่างรวดเร็วในบรรดาผู้ใช้งาน
แต่สิ่งที่ตามมาอย่างหลีกเลี่ยงไม่ได้คือความเสี่ยงที่มาในรูปแบบต่างๆ ความปลอดภัยของข้อมูลประจำตัวและการบริหารจัดการข้อมูลประจำตัวมนุษย์และไม่ใช่มนุษย์ (Human & Non-Human Identity-NHI) จึงเป็นสิ่งสำคัญ
โดยเฉพาะอย่างยิ่ง NHI ที่กำลังแพร่หลายในรูปแบบไฮบริดและมัลติคลาวด์ เพราะโซลูชันความปลอดภัยของข้อมูลประจำตัวแบบเดิมมักประสบปัญหาในการปรับใช้งานให้เท่าทัน
เนื่องจากถูกออกแบบมาเพื่อรักษาความปลอดภัยของข้อมูลประจำตัวมนุษย์ ซึ่งมีพฤติกรรมแตกต่างจาก NHI ที่มีเครื่องมือเฉพาะทางจัดการอยู่แล้ว แต่จะมุ่งเน้นไปที่การรักษาความปลอดภัยข้อมูลลับมากกว่าวิธีการรักษาความปลอดภัยที่เน้นที่ข้อมูลประจำตัวและมักไม่สามารถบูรณาการกับโซลูชันที่สำคัญได้
จากงานวิจัยพบว่า 66% ขององค์กรเคยถูกโจมตีทางไซเบอร์เพราะ NHI ไม่ได้รับการจัดการที่เหมาะสมจึงถูกบุกรุกได้ อย่างที่ทราบกันดีว่า องค์กรต่างๆ ต้องเผชิญกับความเสี่ยงจากการสูญหายของข้อมูลและการรั่วไหลของข้อมูลลับจากการใช้บอท AI ของพนักงาน
และเพื่อต่อสู้กับภัยคุกคามเหล่านี้ องค์กรต้องรวมการจัดการข้อมูลประจำตัวมนุษย์และ NHI ไว้บนแพลตฟอร์มเดียวซึ่งรวมองค์ประกอบสำคัญ 3 อย่าง ได้แก่ เครื่อง บัญชี และข้อมูลประจำตัว
โดยเริ่มจากเครื่องซึ่งประกอบด้วย เวิร์กโหลดบนคลาวด์ บอท AI โทรศัพท์มือถือ และแล็ปท็อป แต่ละเครื่องจะได้รับมอบหมายบัญชี ซึ่งแสดงลักษณะเฉพาะตัวภายในระบบหรือแอปพลิเคชันที่กำหนด จากนั้นการเข้าถึงบัญชีจะได้รับการตรวจสอบความถูกต้องโดยใช้ข้อมูลประจำตัว เช่น โทเค็น ใบรับรอง หรือคีย์ API
เหตุผลที่ทำให้การรักษาความปลอดภัย NHI เป็นเรื่องยากเพราะ พนักงานสามารถให้บอท AI เข้าถึงระบบภายในขององค์กร หรือพนักงานที่ไม่ใช่ฝ่ายเทคนิคจัดเตรียม NHI โดยไม่มีการกำกับดูแลด้านความปลอดภัยหรือการปฏิบัติตามข้อกำหนดที่เหมาะสม โดยจากการวิจัยพบว่า 73% ขององค์กรเคยประสบปัญหาด้านความปลอดภัยเนื่องจากสินทรัพย์ที่ไม่รู้จักหรือไม่ได้รับการจัดการ
สำหรับแนวทางในการรักษาความปลอดภัยของ NHI ที่ดีควรเริ่มจากหลักการ Zero Trust คือการเข้าถึงที่มีสิทธิ์น้อยที่สุด การตรวจสอบยืนยันตัวตนอย่างชัดเจน และการสันนิษฐานว่าเกิดการละเมิด วิธีนี้จะช่วยให้ทีมสามารถประเมินถึงความสอดคล้องของวัตถุประสงค์การใช้งาน NHI และสิทธิ์การเข้าถึงระบบ
รวมถึงสามารถแก้ไข NHI ที่ไม่จำเป็นหรือไม่ได้รับการตรวจสอบทั้งหมดได้ นอกจากนี้องค์กรยังสามารถลดความเสี่ยงได้โดยการเปลี่ยนจากข้อมูล static credentials เช่น ซีเคร็ทหรือคีย์ API ไปสู่การเข้าถึงแบบ Just-in-Time ที่ไม่มีซีเคร็ท ทำให้ข้อมูลประจำตัวจะถูกสร้างขึ้นในแต่ละเซสชันและหมดอายุทันทีหลังจากนั้น ซึ่งช่วยลดความเสี่ยงจากการถูกโจมตีได้
แน่นอนว่า การรวมการจัดการข้อมูลประจำตัวบุคคลและ NHI เข้าด้วยกันจะช่วยให้สามารถสร้างระบบรักษาความปลอดภัยที่แข็งแกร่งและทีมรักษาความปลอดภัยเข้าใจว่าใครมีสิทธิ์เข้าถึงข้อมูลใด และระบุว่าข้อมูลประจำตัวเป็นผู้ใช้งาน บัญชีเซอร์วิส AI agents, LLM หรือ MCP
แนวทางนี้ช่วยทำลายจุดบอดที่เป็นช่องโหว่และช่วยให้ทีมต่างๆ สามารถสร้างกระบวนการทางธุรกิจที่เป็นมาตรฐานเดียวกันสำหรับการจัดเตรียมและยกเลิกการจัดเตรียม NHI ในสภาพแวดล้อมแบบไฮบริดและมัลติคลาวด์
ดังนั้น องค์กรต่างๆ ที่กำลังเร่งพัฒนาเพื่อให้นำไปสู่การเชื่อมต่อทางไซเบอร์และใช้ซอฟต์แวร์เป็นตัวกำหนด การกำกับดูแลข้อมูลประจำตัวที่ไม่ใช่มนุษย์จะเป็นรากฐานสำคัญสำหรับความปลอดภัย ความน่าเชื่อถือ และความสมบูรณ์ของการดำเนินงาน
ด้วยการรับมือแบบเชิงรุกอย่างมีวิสัยทัศน์ก็จะสามารถช่วยลดความเสี่ยง พร้อมกับสร้างนวัตกรรมที่รวดเร็วและมีประสิทธิภาพมากขึ้น โดยมั่นใจได้ว่าระบบภายในมีความมั่นคง ปลอดภัยและเชื่อถือได้ครับ