Semperis, công ty chuyên về khả năng phục hồi mạng và ứng phó khủng hoảng dựa trên danh tính, vừa công bố những phát hiện từ một nghiên cứu toàn cầu. Nghiên cứu này đã xem xét cách trí tuệ nhân tạo (AI) đang định hình lại bề mặt tấn công của các hệ thống danh tính doanh nghiệp, bao gồm Active Directory, Entra ID và Okta. Kết quả cho thấy AI đang âm thầm mở rộng ranh giới các bề mặt tấn công danh tính toàn cầu và các tổ chức đang cấp quyền truy cập vào các hệ thống quan trọng cho các tác nhân AI nhanh hơn tốc độ thiết lập các biện pháp bảo vệ xung quanh những danh tính mới này.
Nghiên cứu “Tình Trạng An Ninh Danh Tính Trong Kỷ Nguyên AI” đã khảo sát 1.100 tổ chức tại Mỹ, Anh, Pháp, Đức, Ý, Tây Ban Nha, Úc và Singapore. Kết quả chỉ ra rằng 66% tổ chức tại Singapore tin rằng AI sẽ làm gia tăng các cuộc tấn công vào hạ tầng danh tính. Đồng thời, tới 93% các tổ chức này đã và đang sử dụng hoặc có kế hoạch sử dụng các tác nhân AI cho các tác vụ bảo mật nhạy cảm như đặt lại mật khẩu và truy cập VPN.
Ông Gerry Sillars, Phó Chủ tịch khu vực Châu Á Thái Bình Dương và Nhật Bản của Semperis, nhận định: “Các tổ chức ở Singapore đã nhanh chóng khám phá AI trong các hoạt động kinh doanh và an ninh, nhưng mỗi tác nhân AI được giới thiệu vào doanh nghiệp cũng tạo ra một danh tính mới cần được quản lý, giám sát và phục hồi nếu bị xâm phạm. Thật đáng khích lệ khi 90% số người được hỏi ở Singapore xem quản lý danh tính AI là một ưu tiên, nhưng ưu tiên này phải được chuyển hóa thành các biện pháp kiểm soát thực tế. Khi AI tiến gần hơn đến các hệ thống đặc quyền, khả năng phục hồi danh tính cần được xây dựng vào quá trình áp dụng AI ngay từ đầu.”
Xu hướng tại Singapore phản ánh một mối lo ngại rộng lớn hơn trên toàn cầu: khi các tổ chức triển khai tác nhân AI vào các quy trình làm việc nhạy cảm hơn, họ đang làm tăng đáng kể số lượng danh tính phi con người được kết nối với các hệ thống quan trọng.
Ông Alex Weinert, Giám đốc Sản phẩm của Semperis, cho biết: “Việc sử dụng AI tăng tốc đang giới thiệu một loạt các tác nhân mới, mỗi tác nhân đều có danh tính phi con người (NHI) riêng trong các doanh nghiệp toàn cầu và nhiều công ty quá lạc quan về khả năng phục hồi hạ tầng danh tính của họ sau một vụ vi phạm, ngay cả khi họ đang mở rộng cảnh quan NHI này.”
Trên toàn cầu, chỉ 65% tổ chức cho biết danh tính AI được đăng ký, xác thực và ủy quyền đầy đủ trong một hệ thống chính thức, trong khi 6% thừa nhận họ hoàn toàn không theo dõi chúng. Trong các tổ chức có theo dõi danh tính AI, 57% sử dụng cùng hệ thống với danh tính con người, trong khi 43% xác thực và ủy quyền chúng bằng một hệ thống riêng biệt.
Điều này tạo thêm một lớp phức tạp mới cho các đội ngũ an ninh tại Singapore. Các tác nhân AI có thể không hoạt động giống như người dùng con người, nhưng chúng vẫn có thể nắm giữ quyền truy cập, tương tác với các hệ thống nhạy cảm và trở thành một phần của kiến trúc danh tính của tổ chức. Nếu không có quy trình đăng ký, xác thực, ủy quyền và phục hồi rõ ràng, những danh tính phi con người này có thể mở rộng bề mặt tấn công và làm phức tạp quá trình ứng phó sự cố.
Các tổ chức đã sẵn sàng cho các vụ vi phạm danh tính do AI thúc đẩy?
Nghiên cứu phát hiện ra rằng AI đã được đặt gần hạ tầng danh tính nhạy cảm. Hơn một phần tư các tổ chức được khảo sát (29%) đã sử dụng tác nhân AI để quản lý các yêu cầu hỗ trợ liên quan đến bảo mật, bao gồm đặt lại mật khẩu và truy cập VPN. 65% khác dự định làm như vậy trong năm tới. Song song đó, 92% số người được hỏi cho biết một tỷ lệ nào đó trong lực lượng lao động của họ đã cài đặt AI trên các máy cục bộ, nơi nó có thể truy cập SSH và khóa mã hóa.
Đối với các tổ chức ở Singapore, nơi việc áp dụng AI ngày càng được khám phá trong các hoạt động kinh doanh, các trường hợp sử dụng bảo mật và năng suất, điều này củng cố nhu cầu coi các tác nhân AI là một phần của môi trường danh tính doanh nghiệp chứ không phải là các công cụ độc lập.
Ông Chris Inglis, Giám đốc An ninh Mạng Quốc gia đầu tiên của Hoa Kỳ và Cố vấn Chiến lược của Semperis, nhận định: “Kiểu mẫu các tổ chức toàn cầu đánh giá quá cao tốc độ phục hồi của họ sau một cuộc tấn công mạng là có thật, đặc biệt khi danh tính nằm trong phạm vi ảnh hưởng. Trên lý thuyết, các tổ chức có kế hoạch và sao lưu; trên thực tế, các sự cố về danh tính biến các sự cố kỹ thuật thành các cuộc khủng hoảng kinh doanh kéo dài, phơi bày một khoảng cách nguy hiểm giữa khả năng phục hồi được nhận thức và thực tế.”
Điểm tích cực là 90% số người được hỏi ở Singapore cho biết quản trị danh tính AI là ưu tiên hàng đầu của họ trong những tháng tới. Vậy, làm thế nào các tổ chức có thể quản lý các danh tính khó kiểm soát này? Hiện tại, các phương pháp tốt nhất bao gồm:
- Coi các tác nhân AI một cách rõ ràng là danh tính phi con người trong cấu trúc danh tính.
- Thực thi quyền hạn tối thiểu (least-privilege), quyền truy cập vừa đủ (just-enough) và đúng lúc (just-in-time) cho các tác nhân một cách nghiêm ngặt như đối với con người.
- Phân tách các ranh giới tin cậy giữa tác nhân và con người khi thích hợp.
- Sử dụng phân tích kiểu UEBA để phát hiện hành vi bất thường hoặc “zombie” của tác nhân.
- Đảm bảo rằng tổ chức của bạn có thể nhanh chóng khôi phục hệ thống danh tính về trạng thái đáng tin cậy nếu chúng bị vi phạm.
Nghiên cứu AI đầy đủ có thể được tìm thấy tại đây: Tình Trạng An Ninh Danh Tính Trong Kỷ Nguyên AI.
Phương pháp nghiên cứu
Để thực hiện nghiên cứu này, Semperis đã hợp tác với Censuswide, một công ty tư vấn nghiên cứu thị trường quốc tế. Vào đầu năm 2026, Censuswide đã khảo sát 1.100 tổ chức tại Mỹ, Anh, Pháp, Đức, Ý, Tây Ban Nha, Úc và Singapore.