Apa itu identitas non-manusia?

By Matthew Kosinski

Identitas non-manusia, definisi

Dalam lingkungan TI, identitas non-manusia (NHI) adalah identitas digital yang melekat pada bot, agen AI, aplikasi, layanan, beban kerja, perangkat, atau pengguna non-manusia lainnya.

Identitas bukan manusia adalah landasan otomatisasi. Mereka memungkinkan perangkat lunak, perangkat keras, dan sumber daya lainnya untuk menghubungkan, berkomunikasi, dan melaksanakan tugas tanpa memerlukan pengawasan manusia.

Pertimbangkan layanan pencadangan otomatis yang secara otomatis menyalin data sensitif perusahaan ke sistem penyimpanan cloud yang aman setiap malam. Baik database maupun sistem penyimpanan cloud tidak akan memberikan akses ke manusia acak tanpa kredensial yang valid. Hal yang sama berlaku untuk perangkat lunak. Jadi layanan cadangan diberi identitas. Identitas ini berarti bahwa layanan cadangan dapat mengautentikasi dirinya sendiri ke basis data dan sistem penyimpanan, yang pada gilirannya dapat mempercayai bahwa layanan ini memiliki wewenang untuk melakukan apa yang dilakukannya.

Jumlah NHI dalam sistem perusahaan telah berkembang selama bertahun-tahun, sebagian besar didorong oleh munculnya layanan cloud, kecerdasan buatan, dan machine learning. Perkiraannya bervariasi—dari 45:1 hingga 92:1—tetapi dalam rata-rata sistem TI, non-manusia secara signifikan melebihi jumlah manusia

Ledakan NHI ini membawa tantangan keamanan baru. Menurut IBM X-Force Threat Intelligence Index, serangan berbasis identitas—di mana peretas menyalahgunakan kredensial akun yang valid untuk mendapatkan akses ke jaringan—adalah salah satu metode serangan siber yang paling umum, terhitung 30% dari pelanggaran.

Dan identitas non-manusia adalah bagian yang sangat menarik dari permukaan serangan perusahaan, karena mereka sering kali memiliki izin yang lebih tinggi dan kontrol keamanan yang lebih sedikit daripada akun manusia.

Bidang manajemen identitas non-manusia telah muncul untuk membantu memerangi risiko keamanan unik yang ditimbulkan oleh identitas non-manusia dan meningkatkan postur keamanan identitas secara keseluruhan. 

Buletin Think

Apakah tim Anda akan mampu mendeteksi zero-day berikutnya tepat waktu?

Bergabunglah dengan para pemimpin keamanan yang mengandalkan Buletin Think untuk berita yang dikurasi tentang AI, keamanan siber, data, dan otomatisasi. Pelajari dengan cepat dari tutorial pakar dan penjelas—dikirimkan langsung ke kotak masuk Anda. Lihat Pernyataan Privasi IBM®.

Langganan Anda akan disediakan dalam bahasa Inggris. Anda akan menemukan tautan berhenti berlangganan di setiap buletin. Anda dapat mengelola langganan atau berhenti berlangganan di sini. Lihat Pernyataan Privasi IBM® kami untuk informasi lebih lanjut.

https://www.ibm.com/id-id/privacy

Jenis-jenis identitas non-manusia

Identitas mesin

Identitas mesin adalah identitas yang terkait dengan perangkat, seperti server, laptop, perangkat Internet of Things (IoT) atau perangkat teknologi operasional (OT). Di lingkungan cloud, kategori ini juga dapat mencakup mesin virtual. Istilah ini kadang-kadang digunakan sebagai panggilan longgar untuk NHI apa pun, meskipun penggunaan ini secara teknis salah.
Akun layanan

Kadang-kadang disebut identitas layanan, akun layanan adalah identitas yang terkait dengan aplikasi dan layanan perangkat lunak. Mereka berfungsi seperti akun pengguna manusia. Mereka mewakili fitur pengenal perangkat lunak dan izin sistem, dan mereka digunakan untuk mengautentikasi perangkat lunak dan mengotorisasi aktivitasnya. 
Identitas beban kerja

Identitas beban kerja adalah jenis identitas perangkat lunak, yang terkait dengan akun layanan. Sedangkan akun layanan mengidentifikasi aplikasi dan layanan sebagai entitas yang tetap, identitas beban kerja mengidentifikasi contoh spesifik dari aplikasi dan layanan saat sedang berjalan.

Misalnya, alat intelijen bisnis (BI) mungkin memiliki identitas akun layanan yang persisten. Jika seseorang menggunakan alat BI untuk mengambil data dari gudang data untuk menjalankan laporan, aktivitas tersebut—menjalankan laporan—akan memiliki identitas beban kerja yang berbeda. Identitas beban kerja ini hanya bersifat sementara dan akan tidak ada lagi saat aktivitas selesai.  
Identitas bot dan skrip 

Kategori ini mencakup identitas yang terkait dengan bot dan skrip sederhana yang menjalankan proses otomatis. Contohnya termasuk otomatisasi proses robotik (RPA), pekerjaan cron, dan skrip ekstrak, transformasi, muat (ETL).
AI dan identitas agen

Kategori ini berisi identitas yang terkait dengan sistem berbasis AI yang lebih canggih, terutama agen AI otonom yang dapat melakukan tugas-tugas kompleks dengan merancang alur kerja dan memanggil alat.

Sementara banyak aplikasi AI tradisional berbasis aturan menggunakan layanan standar atau identitas beban kerja, agen dan entitas AI canggih lainnya sering kali memerlukan pendekatan yang berbeda. Karena mereka dapat membuat keputusan, bertindak sendiri, dan bahkan mengubah perilaku mereka dari waktu ke waktu, mereka membutuhkan kebijakan, kontrol, dan pengawasan akses yang lebih bernuansa. 

Mengapa NHI penting

NHI terutama ada untuk merampingkan alur kerja dengan mengaktifkan otomatisasi yang lebih besar.

NHI mengidentifikasi aplikasi, perangkat keras, bot, agen AI, dan hal-hal lain dalam ekosistem TI, sama seperti pengguna manusia memiliki identitas dalam sistem manajemen identitas dan akses tradisional (IAM).

Dengan memberikan identitas unik kepada entitas non-manusia, para profesional TI dan keamanan dapat memberikan hak akses yang disesuaikan, menegakkan kebijakan keamanan, melacak aktivitas mereka, dan menerapkan kontrol akses dengan lebih efektif.

  • Jika entitas non-manusia tidak memiliki identitas yang unik, tidak ada yang perlu ditetapkan hak istimewanya.

  • Aplikasi atau perangkat tidak dapat mengautentikasi dirinya sendiri kecuali memiliki identitas untuk diautentikasi.

  • Seseorang tidak dapat melacak aktivitas tanpa identitas yang dapat dikaitkan dengan aktivitas tersebut.

  • Kontrol akses hanya dapat diterapkan jika ada identitas untuk ditargetkan.

Sebagai contoh penggunaan, pikirkan sistem penagihan yang menggunakan data dari platform akuntansi dan sistem manajemen hubungan pelanggan (CRM) untuk menghasilkan dan mengirim faktur.

Untuk melakukan proses ini secara manual, seseorang perlu masuk ke setiap database, menarik data yang relevan, menghubungkannya, menghitung tagihan, menghasilkan faktur dan mengirimkannya ke pelanggan.

Prosesnya dapat diotomatisasi, tetapi karena melibatkan data sensitif, diperlukan langkah-langkah keamanan yang kuat. NHI memungkinkan komunikasi yang aman antara ketiga sistem dan penegakan kebijakan akses sehingga data tidak disalahgunakan:

  • NHI memberikan ketiga sistem cara untuk mengautentikasi satu sama lain, sehingga mengurangi risiko sistem penipu yang menyelinap ke dalam alur.

  • NHI memungkinkan organisasi untuk menetapkan sistem penagihan hak istimewa paling sedikit yang dibutuhkan untuk melakukan tugasnya. Mungkin sistem penagihan hanya dapat membaca data, tidak menulisnya, dan dapat mengakses alat akuntansi dan CRM hanya selama waktu-waktu tertentu dalam sehari.

  • NHI memudahkan organisasi untuk memantau perilaku ketiga sistem sepanjang proses, menciptakan jejak audit.

Pada akhirnya, NHI memungkinkan otomatisasi aman operasi TI dan bisnis yang kompleks. Cadangan, pembaruan sistem, dan bahkan autentikasi pengguna semuanya dapat terjadi di latar belakang, tanpa mengganggu aktivitas pengguna manusia.

Mengapa NHI melebihi jumlah orang di sebagian besar sistem TI

Pertumbuhan pesat identitas non-manusia didorong, sebagian besar, oleh proliferasi infrastruktur cloud, popularitas DevOps, dan adopsi alat AI canggih.

Dengan lahirnya cloud, lebih banyak alat beroperasi pada model perangkat lunak sebagai layanan (SaaS). Alih-alih menjalankan aplikasi lokal pada perangkat keras lokal, komputer sekarang berinteraksi dengan berbagai server, penyedia layanan, penyeimbang beban, aplikasi, dan sumber daya cloud lainnya—semua membawa identitas mereka sendiri. Dan banyak aplikasi SaaS menggunakan arsitektur layanan mikro, yang berarti satu aplikasi mungkin berisi banyak komponen yang lebih kecil dengan identitas unik.

Praktik DevOps adalah pendorong NHI lainnya. DevOps menempatkan penekanan yang meningkat pada otomatisasi pengembangan perangkat lunak inti dan operasi alur kerja seperti integrasi, pengujian, dan penerapan dalam saluran CI/CD. Semua otomatisasi ini membutuhkan banyak NHI.

Baru-baru ini, AI generatif dan AI agen telah mendorong gelombang baru NHI. Agar hal-hal seperti retrieval augmented generation (RAG) (RAG) dan panggilan alat menjadi mungkin, sistem AI memerlukan identitas sehingga mereka dapat mengakses basis data, akun pengguna, perangkat, dan sumber daya jaringan lain dengan aman.

Tantangan mengamankan identitas non-manusia

Secara kolektif, NHI mewakili permukaan serangan besar-besaran. Namun banyak solusi dan proses manajemen identitas dan akses (IAM) lama dirancang untuk pengguna manusia, menciptakan celah keamanan untuk NHI.

Alat autentikasi umum seperti autentikasi multifaktor (MFA) dan solusi sistem masuk tunggal sulit atau tidak mungkin diterapkan pada identitas bukan manusia.

Dengan demikian, NHI sering menimbulkan tantangan keamanan siber yang tidak dapat dengan mudah diperbaiki oleh taktik IAM tradisional.

Memberikan hak istimewa berlebihan

Menurut OWASP, pemberian hak yang berlebihan adalah salah satu dari 10 risiko teratas yang terkait dengan identitas non-manusia.

Karena mereka merupakan bagian integral dari alur kerja inti, seperti siklus hidup DevOps dan cadangan sistem, NHI sering memiliki akses istimewa ke informasi sensitif. Dan untuk memastikan bahwa proses ini “hanya berfungsi,” organisasi sering memberi NHI hak istimewa yang lebih tinggi daripada yang mereka butuhkan.

Hak istimewa berlebihan menjadikan NHI target utama bagi peretas dan meningkatkan kerusakan yang dapat dilakukan oleh NHI yang disusupi. 

Pencurian kredensial

Aplikasi dan perangkat mungkin tidak memiliki kata sandi, tetapi mereka menggunakan kunci API, token OAuth, sertifikat, dan rahasia lainnya untuk mengautentikasi diri mereka sendiri. Rahasia ini dapat dicuri dan disalahgunakan dengan cara yang sama seperti kata sandi pengguna manusia, sehingga memungkinkan akses yang tidak sah, gerakan lateral, dan eskalasi hak istimewa.

Hal ini tidak membantu karena NHI tidak dapat menggunakan autentikasi dua faktor seperti halnya pengguna, sehingga satu kredensial yang dicuri sering kali hanya cukup untuk membajak sebuah akun. Selain itu, kredensial NHI sering kali dikodekan ke dalam aplikasi dan mungkin tidak dirotasi secara teratur. Menurut NHI Top 10 OWASP, kebocoran rahasia dan rahasia yang berumur panjang merupakan salah satu risiko paling umum yang terkait dengan identitas non-manusia. 

Serangan rantai pasokan

Berbagai sistem menggunakan NHI untuk terhubung dan berkomunikasi satu sama lain. Itu berarti penyerang dapat menggunakan NHI yang disusupi untuk membobol sistem lain. Sebagai contoh, pelanggaran Salesloft Drift tahun 2025 melibatkan peretas yang mencuri token OAuth dari chatbot dan menggunakannya untuk mengakses ratusan instance Salesforce.

Kurangnya visibilitas

Banyaknya NHI dalam suatu sistem, dan kecepatan penambahan yang baru, dapat membuat visibilitas menjadi sulit, menciptakan titik buta yang dapat disusupi oleh peretas. Fakta bahwa beberapa NHI bersifat sementara mempersulit visibilitas lebih lanjut.

Banyak organisasi juga lalai untuk secara resmi menonaktifkan NHI ketika menghentikan penggunaan aplikasi dan perangkat terkait. NHI lama ini seringkali tidak dipantau, dengan izin penuh yang masih berlaku. Faktanya, proses pemutusan hubungan kerja yang tidak tepat adalah risiko nomor satu yang terkait dengan NHI menurut OWASP.

Manajemen akses AI

Identitas AI dapat menimbulkan tantangan khusus dalam hal mengelola hak istimewa. Mereka memiliki, dalam banyak hal, kemampuan karyawan manusia dan akses ke berbagai alat, yang beberapa dapat digunakan secara otonom.

Namun mereka bukanlah manusia, yang berarti mereka rentan terhadap injeksi prompt, peracunan data, dan teknik lain yang dapat mengubah mereka menjadi alat bagi pelaku jahat.

Agen AI dan model bahasa besar (LLM) juga dapat mengubah perilaku mereka dengan cara yang tidak dapat dilakukan perangkat lunak lain — yang membawa masalah keamanannya sendiri. Misalnya, agen layanan pelanggan yang telah diarahkan untuk memaksimalkan kebahagiaan pelanggan mungkin belajar bahwa pelanggan sangat senang ketika mereka mendapatkan pengembalian uang. Oleh karena itu, agen mungkin mulai menyetujui pengembalian uang bagi siapa saja yang meminta, bahkan jika seharusnya tidak.

Dalam sebuah wawancara dengan podcast Intelijen Keamanan IBM, Sridhar Muppidi, IBM Fellow, VP dan CTO IBM Security, menyamakan agen AI dengan “remaja dengan kartu kredit”:

“Anda memberi mereka kartu kredit, dan Anda mengharapkan mereka untuk berperilaku baik, tetapi jangan terkejut dengan apa yang Anda temukan. Agen sangat mirip dengan itu. Mereka tidak deterministik sampai batas tertentu, dan mereka berkembang. Jadi akibatnya, mereka mungkin menderita scope creep. Saya meminta sistem untuk melakukan sesuatu, tetapi agen dapat dengan mudah melakukan sesuatu yang lain jika memutuskan untuk melakukannya.”

Tantangan kepatuhan

Peraturan Perlindungan Data Umum (GDPR), Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (HIPAA) dan undang-undang lainnya mengatur bagaimana organisasi melindungi data, siapa yang dapat menggunakan informasi sensitif dan bagaimana. Masalahnya adalah, seperti yang disebutkan sebelumnya, alat IAM yang sama yang digunakan untuk membantu memastikan bahwa manusia mematuhi aturan ini tidak selalu dapat diterapkan dengan lancar ke NHI.

Selain itu, NHI dapat mengacaukan upaya atribusi dan pemantauan yang penting bagi banyak program kepatuhan. Misalnya, jika agen AI menggunakan data secara tidak benar, siapa yang bertanggung jawab? Orang yang menciptakan agen? Orang yang memberi prompt baru-baru ini? Bagaimana jika pilihan agen jauh di luar hasil yang dapat diperkirakan dari prompt pengguna? Banyak kerangka kerja tata kelola identitas yang belum memahami teka-teki ini.

Keamanan identitas non-manusia

Karena platform dan praktik keamanan identitas tradisional sering dirancang dengan mempertimbangkan pengguna manusia, manajemen NHI mengharuskan tim keamanan mengambil pendekatan yang sedikit berbeda.

Banyak prinsip yang sama berlaku—mereka hanya perlu disesuaikan dengan realitas unik dari manajemen siklus hidup identitas non-manusia. Taktik inti, alat, dan teknik untuk strategi keamanan identitas non-manusia meliputi:

Pemantauan berkelanjutan

Organisasi dapat menerapkan alat yang secara otomatis menemukan identitas non-manusia baru dan yang sudah ada di seluruh platform cloud, penyedia identitas, dan sistem orkestrasi, kemudian terus mengamati bagaimana identitas tersebut berperilaku.

Beberapa alat deteksi dan respons ancaman identitas (ITDR) dapat menggunakan machine learning untuk membuat model dasar perilaku normal untuk setiap NHI, menandai penyimpangan dari norma secara real time dan secara otomatis menanggapi dugaan penyalahgunaan dan pelanggaran.

Misalnya, jika beban kerja cloud yang biasanya membaca log aplikasi tiba-tiba mulai meminta akses ke PII pelanggan, platform ITDR dapat segera mencabut token aksesnya dan memberi tahu SOC untuk penyelidikan.

Manajemen siklus hidup NHI

Manajemen NHI menekankan kontrol yang kuat di seluruh siklus hidup NHI, mulai dari penyediaan awal, melalui penggunaan aktif, hingga offboarding yang aman. Ketika layanan dinonaktifkan, pipeline diganti atau bot tidak lagi digunakan, kredensial, token dan sertifikatnya harus segera dicabut.

Menunjuk pemilik manusia untuk setiap NHI dapat membantu memastikan bahwa ada seseorang yang bertanggung jawab dan akuntabel atas rotasi kredensial, peninjauan izin secara berkala, penanganan kesalahan konfigurasi, remediasi kerentanan, dan pemeliharaan penting lainnya. Tanpa kepemilikan eksplisit, identitas nonmanusia mudah terlupakan, namun seringkali mereka tetap memiliki akses yang kuat.

Manajemen rahasia dan kredensial

NHI membutuhkan kredensial, tetapi kredensial tersebut perlu disimpan di suatu tempat. Tidak seperti pengguna manusia, beban kerja tidak dapat menghafal kata sandi atau menggunakan smartphone sebagai kunci sandi.

Masalahnya adalah bahwa kredensial NHI sering di-hardcode ke dalam aplikasi dan layanan yang menggunakannya, yang berarti peretas dapat menemukannya jika mereka tahu di mana mencarinya.

Manajemen rahasia dan alat manajemen akses istimewa (PAM), seperti vault kredensial, dapat membantu. Vault memberi tim TI dan keamanan tempat yang aman untuk menyimpan kredensial NHI, dan mereka sering mendukung kredensial sementara, akses tepat waktu, dan rotasi otomatis.

Zero trust

Manajemen akses selalu penting dalam keamanan identitas, tetapi terutama untuk NHI, yang tidak memiliki filter kebijaksanaan yang dapat menghentikan pengguna manusia untuk menyalahgunakan izin mereka. Oleh karena itu, setiap tindakan yang dilakukan layanan, beban kerja, bot atau agen harus dibatasi oleh kontrol teknis eksplisit.

Di bawah model zero trust, NHI hanya diberikan izin minimum yang diperlukan untuk setiap tugas. Mereka harus terus mengautentikasi saat mereka bergerak di antara sistem. Microsegmenting jaringan dapat membantu menghentikan aplikasi, bot, dan perangkat yang disusupi agar tidak bergerak secara lateral. NHI yang dibajak mungkin dapat mengakses satu database yang dibutuhkannya secara sah, tetapi tidak akan dapat pindah ke sistem penyimpanan yang tidak terkait. 

Pemisahan tugas

Pemisahan tugas—yaitu, memastikan bahwa pihak yang melaksanakan tugas bukanlah pihak yang sama yang bertanggung jawab untuk menyetujui tugas—sangat penting bagi agen AI. Agen AI tidak memiliki batasan etis yang sama dengan manusia, yang berarti mereka dapat mengambil tindakan resmi yang masih menyebabkan kerusakan.

Misalnya, ingat agen layanan pelanggan AI hipotetis yang dioptimalkan untuk memaksimalkan kepuasan pelanggan. Pelanggan manusia menyukai pengembalian dana, sehingga agen AI mungkin secara sembarangan menyetujui setiap permintaan pengembalian dana untuk mengejar tujuannya.

Situasi ini dapat dicegah dengan membuat agen manusia—atau sistem lainnya—harus menyetujui pengembalian uang sebelum agen dapat memberikannya. 

Mengaburkan batas antara identitas manusia dan non-manusia

NHI dan pengguna manusia berbeda dalam cara yang jelas dan penting. Tetapi karakteristik dan kemampuan mereka tumbuh serupa karena alat dan agen AI membentuk bagian yang lebih besar dari jaringan perusahaan.

Akibatnya, beberapa pakar memperkirakan bahwa perbedaan antara manajemen identitas manusia dan non-manusia sebagian besar akan hilang. Alih-alih menggunakan kontrol terpisah untuk setiap jenis identitas, perbedaan utama antara manajemen ID manusia dan non-manusia mungkin adalah skala di mana kontrol tersebut diterapkan.

“Pada akhirnya, agen adalah orang dalam tingkat lebih tinggi,” kata Sridhar Muppidi di podcast Intelijen Keamanan IBM:

“Sama seperti Anda mengidentifikasi manusia, Anda harus mengidentifikasi agen. Dan begitu Anda mengidentifikasi mereka, Anda harus melakukan hal yang sama seperti yang kita lakukan dengan manusia: mengautentikasi mereka. Dan kemudian Anda mencari tahu bagaimana menentukan apa yang bisa dilakukan agen itu, baik dan buruk. Dan saat Anda melakukannya, saat itulah Anda dapat berpikir tentang tingkat perincian pengamatan yang sangat, sangat halus sehingga Anda dapat mendeteksi perilaku anomali dengan cepat.”

Penulis

Matthew Kosinski

Staff Editor

IBM Think
Solusi terkait
IBM Verify

Bangun kerangka kerja identitas yang aman dan agnostik vendor yang memodernisasi IAM, terintegrasi dengan alat yang ada, dan memungkinkan akses hybrid tanpa menambah kerumitan.

 Jelajahi IBM Verify
Solusi keamanan

Lindungi lingkungan hybrid cloud dan AI Anda dengan perlindungan cerdas dan otomatis di seluruh data, identitas, dan ancaman.

 Jelajahi solusi keamanan
Layanan Manajemen Identitas & Akses

Lindungi dan kelola akses pengguna dengan kontrol identitas otomatis dan tata kelola berbasis risiko di seluruh lingkungan hybrid cloud.

         Jelajahi layanan IAM
    Ambil langkah selanjutnya

    Tingkatkan IAM with Verify untuk akses hybrid yang mulus, dan perkuat perlindungan identitas dengan mengungkap risiko berbasis identitas tersembunyi dengan AI.

         Kenali IBM® Verify  Jelajahi perlindungan identitas IBM® Verify