Identiteit is altijd een centraal onderdeel geweest van informatiebeveiliging, maar de snelle toename van AI-agenten verandert de uitdaging rondom het beheer en de beveiliging van identiteit ingrijpend. Dit dwingt CISOs om hun strategieën en zelfs de definitie van identiteit te herzien. Dustin Wilcox, senior VP en CISO bij S&P Global, benadrukt dat identiteit nu zowel een controle- als een aanvalsvlak is. Waar eerder niet-menselijke identiteiten zoals API-sleutels en service-accounts bestonden, is er nu een nieuwe categorie: agenten.

Een belangrijke uitdaging is het toewijzen van acties aan deze niet-menselijke identiteiten, omdat traditionele signalen, zoals het gedrag op een toetsenbord, niet toepasbaar zijn bij volledig digitale agenten. Michael Adams, CISO bij DocuSign, legt uit dat het moeilijker wordt om een volledig overzicht te behouden van hoeveel agenten er zijn, waarvoor ze worden ingezet en welke rechten ze hebben. Het hanteren van bestaande modellen voor menselijke of service-accounts leidt tot zichtbaarheid- en controlelacunes. Tegelijkertijd zorgen AI-systemen voor een snelle groei van niet-menselijke identiteiten, waaronder nieuwe credentials en tokens die veel inventarisatieprocessen niet kunnen bijhouden.

Daarnaast maakt generatieve AI social engineering overtuigender, waardoor gedragsindicatoren die verdedigers traditioneel gebruikten minder betrouwbaar worden. Dit vergroot het aanvalsvlak terwijl traditionele detectiemethoden afnemen in effectiviteit. Adams adviseert daarom een identity-first beveiligingsmodel, waarbij identiteit de fundamentele laag van de beveiligingsarchitectuur vormt en elke toegangsbeslissing continu wordt geverifieerd in plaats van alleen bij de toegangspoort.

CISOs beheren nu een nieuwe klasse identiteiten, waaronder copiloten, autonome agenten en AI-gestuurde workflows die niet passen binnen bestaande kaders. Deze kunnen systemen benaderen, acties uitvoeren en beslissingen nemen op machinesnelheid. Wilcox en Adams benadrukken het belang van een identity-centric architectuur met een sterke basis. Adams waarschuwt dat organisaties eerst de basis op orde moeten hebben, zoals schone directories, strikt least privilege en betrouwbare offboarding, voordat ze geavanceerde tools inzetten. Het simpelweg overnemen van bestaande rolmodellen leidt vaak tot permissie-uitbreiding en verhoogde risico’s. Een start vanuit least privilege is daarom essentieel.

Tot slot is het cruciaal om een volledig overzicht te creëren van alle niet-menselijke identiteiten, inclusief verantwoordelijken en toegangsrechten, voordat het aantal agenten verder toeneemt. Dit is zowel een governance- als een technische uitdaging. Voor meer informatie en verdieping zijn Wilcox en Adams te horen op de CSO Cybersecurity Awards & Conference in mei.