ما هي الهوية غير البشرية؟

تُعدّ الهويات غير البشرية حجر الزاوية في الأتمتة. فهي تمكّن البرامج والأجهزة والموارد الأخرى من الاتصال والتواصل وتنفيذ المهام دون الحاجة إلى إشراف بشري.

فكر في خدمة نسخ احتياطي آلي تقوم تلقائياً بنسخ بيانات الشركة الحساسة إلى نظام تخزين سحابي آمن كل ليلة. لن يمنح أي من قاعدة البيانات أو نظام التخزين السحابي حق الوصول لشخص عشوائي دون بيانات اعتماد صالحة. وينطبق الشيء نفسه على البرامج. لذلك يتم منح خدمة النسخ الاحتياطي هوية. تعني هذه الهوية أن خدمة النسخ الاحتياطي يمكنها إثبات هويتها لكل من قاعدة البيانات ونظام التخزين، واللذين بدورهما يمكنهما الوثوق بأن هذه الخدمة مخولة للقيام بما تقوم به.

لقد زاد عدد الهويات غير البشرية (NHIs) في أنظمة المؤسسات على مر السنين، مدفوعاً بشكل كبير بظهور الخدمات السحابية، والذكاء الاصطناعي، والتعلم الآلي. تختلف التقديرات —من 45:1 إلى 92:1— ولكن في نظام تكنولوجيا المعلومات المتوسط، يفوق عدد الهويات غير البشرية عدد البشر بمراحل

يجلب هذا الانفجار في الهويات غير البشرية تحديات أمنية جديدة. وفقاً لتقرير IBM X-Force Threat Intelligence Index، تُعد الهجمات القائمة على الهوية — حيث يستغل المخترقون بيانات اعتماد حسابات صالحة للوصول إلى الشبكات — واحدة من أكثر طرق الهجمات السيبرانية شيوعاً، إذ تتسبب في 30% من حالات اختراق البيانات.

وتُعد الهويات غير البشرية أجزاءً جذابة بشكل خاص في سطح الهجوم الخاص بالمؤسسات، حيث أنها غالباً ما تتمتع بصلاحيات مرتفعة وضوابط أمنية أقل مقارنة بحسابات الأشخاص.

لقد ظهر مجال إدارة الهوية غير البشرية للمساعدة في مكافحة المخاطر الأمنية الفريدة التي تشكلها الهويات غير البشرية وتحسين الوضع الأمني العام للهوية.

توجد الهويات غير البشرية بشكل أساسي لتبسيط سير العمل من خلال تمكين المزيد من الأتمتة.

تحدد الهويات غير البشرية (NHIs) التطبيقات والأجهزة والروبوتات ووكلاء الذكاء الاصطناعي وغيرها من الأشياء ضمن منظومة تكنولوجيا المعلومات، تماماً بنفس الطريقة التي يمتلك بها المستخدمون البشر هويات في نظام إدارة الهوية والوصول التقليدي (IAM).

من خلال تخصيص هويات فريدة للكيانات غير البشرية، يمكن لمحترفي تكنولوجيا المعلومات والأمن منحها صلاحيات مخصصة، وفرض سياسات أمنية، وتتبع نشاطها، وتطبيق ضوابط الوصول بشكل أكثر فعالية.

• إذا لم يكن للكيان غير البشري هوية متميزة، فليس هناك ما يمكن تخصيص الصلاحيات له.
  
  
• لا يمكن للتطبيق أو الجهاز مصادقة نفسه ما لم يكن لديه هوية للمصادقة عليها.
  
  
• لا يمكن تتبع النشاط دون هوية يمكن أن يُنسب إليها هذا النشاط.
  
  
• لا يمكن فرض ضوابط الوصول إلا إذا كانت هناك هوية لفرضها عليها.

كمثال على حالة استخدام، فكر في نظام فوترة يستخدم بيانات من منصة محاسبية ونظام إدارة علاقات العملاء (CRM) لإنشاء الفواتير وإرسالها.

لإجراء هذه العملية يدويًا، سيحتاج شخص ما إلى الدخول إلى كل قاعدة بيانات، وسحب البيانات ذات الصلة، وربطها، وحساب الفاتورة، وإنشاء الفاتورة وإرسالها إلى العميل.

يمكن أتمتة العملية، ولكن نظرًا لأنها تتضمن بيانات حساسة، فإنها تتطلب تدابير أمنية قوية. تتيح الهويات غير البشرية اتصالاً آمناً بين الأنظمة الثلاثة، وتطبيق سياسات الوصول لضمان عدم إساءة استخدام البيانات:

• تمنح الهويات غير البشرية الأنظمة الثلاثة طريقة للمصادقة على بعضها البعض، مما يقلل من مخاطر انزلاق الأنظمة المزيفة إلى هذا المزيج.
  
  
• تُتيح الهويات غير البشرية للمؤسسة منح نظام الفوترة أقل قدر من الصلاحيات التي يحتاجها لأداء عمله. ربما يمتلك نظام الفوترة صلاحية قراءة البيانات فقط دون كتابتها، ولا يمكنه الوصول إلى أدوات المحاسبة وإدارة علاقات العملاء (CRM) إلا في أوقات معينة من اليوم.
  
  
• تجعل الهويات غير البشرية من السهل على المؤسسة مراقبة سلوك الأنظمة الثلاثة طوال العملية، مما يخلق مسار تدقيق.

في نهاية المطاف، تتيح الهويات غير البشرية الأتمتة الآمنة لعمليات تكنولوجيا المعلومات والأعمال المعقدة. يمكن أن تتم عمليات النسخ الاحتياطي، وتحديثات النظام، وحتى مصادقة المستخدم، جميعها في الخلفية، دون مقاطعة نشاط المستخدمين.

إن النمو السريع للهويات غير البشرية مدفوع، في جزء كبير منه، بانتشار البنية التحتية السحابية، وشعبية عمليات التطوير، وتبني أدوات الذكاء الاصطناعي المتقدمة.

مع ظهور السحابة، أصبح المزيد من الأدوات يعمل وفق نموذج البرمجيات كخدمة (SaaS). بدلاً من تشغيل التطبيقات المحلية على الأجهزة المحلية، تتفاعل أجهزة الكمبيوتر الآن مع مختلف الخوادم، ومزودي الخدمة، وأجهزة موازنة الأحمال، والتطبيقات، وغيرها من موارد السحابة—والتي تحمل جميعها هويات خاصة بها. والعديد من تطبيقات SaaS تستخدم بنية الخدمات المصغرة، مما يعني أن تطبيقًا واحدًا قد يحتوي على العديد من المكونات الصغيرة ذات الهويات الفريدة.

تُعد ممارسات عمليات التطوير محركًا آخر للهويات غير البشرية. تركز منهجية عمليات التطوير بشكل متزايد على أتمتة سير العمل الأساسي لتطوير البرمجيات والعمليات، مثل التكامل والاختبار والنشر ضمن مسار CI/CD. كل هذه الأتمتة تتطلب العديد من الهويات غير البشرية.

مؤخراً، أطلق الذكاء الاصطناعي التوليدي والذكاء الاصطناعي الوكيل موجة جديدة من الهويات غير البشرية (NHIs). لكي تصبح أمور مثل التوليد المعزز بالاسترجاع (RAG) واستدعاء الأدوات ممكنة، تحتاج أنظمة الذكاء الاصطناعي إلى هويات رقمية لتمكينها من الوصول الآمن إلى قواعد البيانات، وحسابات المستخدمين، والأجهزة، وموارد الشبكة الأخرى.

تمثل الهويات غير البشرية بمجموعها سطح هجوم هائل. ومع ذلك، فقد تم تصميم العديد من حلول وعمليات إدارة الهوية والوصول (IAM) القديمة للمستخدمين البشريين، مما يخلق ثغرات أمنية للهويات غير البشرية.

أدوات المصادقة الشائعة مثل المصادقة متعددة العوامل (MFA) وحلول تسجيل الدخول الموحد إما صعبة أو مستحيلة التطبيق على الهويات غير البشرية.

وبالتالي، غالبًا ما تفرض الهويات غير البشرية تحديات في مجال الأمن السيبراني لا يمكن معالجتها بسهولة عبر أساليب إدارة الهوية والوصول (IAM) التقليدية.

وفقًا لـ OWASP، فإن الإفراط في الامتيازات هو أحد أهم 10 مخاطر مرتبطة بالهويات غير البشرية.

نظرًا لأنها جزء لا يتجزأ من سير العمل الأساسي، مثل دورة حياة عمليات التطوير والنسخ الاحتياطي للنظام، غالبًا ما تمتلك الهويات غير البشرية وصولاً متميزًا إلى المعلومات الحساسة. ومن أجل ضمان أن هذه العمليات "تعمل ببساطة"، غالباً ما تمنح المؤسسات الهويات غير البشرية صلاحيات أعلى مما تحتاج إليه.

إن منح الهويات غير البشرية امتيازات مفرطة يجعلها هدفاً رئيسياً للمخترقين، ويزيد من حجم الضرر الذي يمكن أن تسببه أي هوية مخترقة. 

قد لا تمتلك التطبيقات والأجهزة كلمات مرور، ولكنها تستخدم مفاتيح واجهة برمجة التطبيقات، ورموز OAuth، والشهادات، وأسرارًا أخرى لإثبات هويتها. يمكن سرقة هذه الأسرار وإساءة استخدامها تماماً مثل كلمات مرور المستخدمين البشر، مما يتيح الوصول غير المصرح به، والحركة الجانبية وتصعيد الامتيازات.

وما يزيد الأمر سوءاً هو أن الهويات غير البشرية (NHIs) لا يمكنها استخدام المصادقة الثنائية بنفس الطريقة التي يستخدمها المستخدم العادي، لذا غالباً ما يكون سرقة اعتماد تسجيل دخول واحد كافياً لاختراق الحساب. بالإضافة إلى ذلك، غالبا ما يتم ترميز بيانات اعتماد الهويات غير البشرية في التطبيقات وقد لا يتم تدويرها بشكل منتظم. وفقاً لقائمة OWASP لأهم عشرة مخاطر للهويات غير البشرية، يعد تسريب الأسرار والأسرار طويلة الأمد من بين المخاطر الأكثر شيوعاً المرتبطة بالهويات غير البشرية. 

تستخدم أنظمة مختلفة الهويات غير البشرية للربط والتواصل فيما بينها. وهذا يعني أن المهاجمين يمكنهم استخدام الهويات غير البشرية المخترقة لاختراق أنظمة أخرى. على سبيل المثال، أدى اختراق Salesloft Drift لعام 2025 إلى قيام قراصنة بسرقة رموز OAuth من روبوت محادثة واستخدامها للوصول إلى مئات من مثيلات Salesforce.

إن العدد الهائل للهويات غير البشرية في النظام، والوتيرة التي تُضاف بها هويات جديدة، يمكن أن يُصعّب من عملية الرؤية والمتابعة، مما يؤدي إلى خلق ثغرات أمنية (نقاط عمياء) يمكن للمخترقين التسلل من خلالها. إن كون بعض الهويات غير البشرية عابرة يزيد من تعقيد مسألة الرؤية بشكل أكبر.

تُهمل الكثير من المؤسسات أيضاً إخراج الهويات غير البشرية من الخدمة بشكل رسمي عند سحب التطبيقات والأجهزة المرتبطة بها. غالباً ما تظل الهويات غير البشرية القديمة هذه دون مراقبة، مع بقاء كامل صلاحياتها فعالة. في الواقع، يعد إنهاء الخدمة بشكل غير صحيح هو الخطر الأول المرتبط بالهويات غير البشرية وفقًا لـ OWASP.

يمكن أن تشكل هويات الذكاء الاصطناعي تحدياً خاصاً عندما يتعلق الأمر بإدارة الامتيازات. لديها، من عدة نواحٍ، قدرات الموظفين البشريين وإمكانية الوصول إلى مجموعة من الأدوات التي يمكن لبعضها استخدامها بشكل مستقل.

لكنها ليست بشرية، مما يعني أنها عرضة لـ حقن المطالبات، وتسميم البيانات وغيرها من التقنيات التي يمكن أن تحولها إلى أدوات في يد الجهات الخبيثة.

يمكن لوكلاء الذكاء الاصطناعي والنماذج اللغوية الكبيرة (LLMs) أيضا تغيير سلوكياتهم بطرق لا تستطيع البرمجيات الأخرى القيام بها—مما يطرح مشكلات أمنية خاصة بها. على سبيل المثال، قد يستنتج موظف خدمة العملاء، الذي وُجِّه بالعمل على تحقيق أقصى قدر من سعادة العملاء، أن العملاء يشعرون بسعادة بالغة عندما يحصلون على استرداد مالي. وبناءً على ذلك، قد يبدأ الوكيل في الموافقة على طلبات استرداد الأموال لكل من يطلبها، حتى وإن لم يكن ينبغي له ذلك.

في مقابلة مع بودكاست Security Intelligence التابع لشركة IBM، شبّه Sridhar Muppidi، وهو زميل IBM ونائب الرئيس وكبير مسؤولي التكنولوجيا في IBM Security، وكيل الذكاء الاصطناعي بـ "مراهق يحمل بطاقة ائتمان":

"أنت تعطيهم البطاقة الائتمانية، وتتوقع منهم التصرف بمسؤولية، ولكن لا تتفاجأ بما قد تكتشفه. الوكلاء مشابهون جدًا لذلك. فهم غير محددين إلى حد ما، وهم في تطور مستمر. ونتيجة لذلك، قد يعانون من توسيع النطاق. لقد طلبت من النظام القيام بشيء ما، ولكن بإمكانه بسهولة القيام بشيء آخر إذا قرر ذلك."

تُعدّ اللائحة العامة لحماية البيانات (GDPR)، وقانون قانون إخضاع التأمين الصحي لقابلية النقل والمساءلة (HIPAA)، وغيرها من القوانين، الضوابط التي تُنظم كيفية حماية المؤسسات للبيانات، وتحدد الجهات المخولة باستخدام المعلومات الحساسة وكيفية القيام بذلك. تكمن المشكلة، كما ذكرنا سابقًا، في أن نفس أدوات إدارة الهوية والوصول (IAM) المستخدمة للمساعدة في ضمان امتثال البشر لهذه القواعد لا يمكن تطبيقها دائمًا بسلاسة على الهويات غير البشرية.

علاوة على ذلك، يمكن للهويات غير البشرية أن تُربك جهود الإسناد والمراقبة الحيوية للعديد من برامج الامتثال. على سبيل المثال، إذا استخدم وكيل الذكاء الاصطناعي البيانات بشكل غير صحيح، فمن المسؤول؟ الشخص الذي أنشأ الوكيل؟ الشخص الذي قدم له الأوامر مؤخرًا؟ وماذا لو كان خيار الوكيل خارجاً تماماً عن النتائج المتوقعة لأوامر المستخدم؟ إن العديد من أطر حوكمة الهوية لم تتمكن من حل هذه المعضلة بعد.

نظرًا لأن منصات وممارسات أمن الهوية التقليدية غالبًا ما تُصمم مع مراعاة المستخدمين البشر، فإن إدارة الهويات غير البشرية تتطلب من فرق الأمن اتباع نهج مختلف قليلاً.

تنطبق العديد من المبادئ نفسها، ولكنها تحتاج فقط إلى التكيف مع الواقع الفريد لإدارة دورة حياة الهوية غير البشرية. تشمل الأساليب والأدوات والتقنيات الأساسية لاستراتيجيات أمن الهوية غير البشرية:

يمكن للمؤسسات نشر أدوات تكتشف تلقائياً الهويات غير البشرية الجديدة والقائمة عبر المنصات السحابية، ومزودي خدمات الهوية، وأنظمة التنسيق، ومن ثم مراقبة سلوك تلك الهويات بشكل مستمر.

يمكن لبعض أدوات كشف التهديدات والاستجابة لها للهوية (ITDR) استخدام التعلم الآلي لإنشاء نموذج أساسي للسلوك الطبيعي لكل هوية غير بشرية، وتحديد الانحرافات عن المعايير في الوقت الفعلي، والاستجابة تلقائياً لحالات سوء الاستخدام والانتهاكات المشتبه بها.

على سبيل المثال، إذا بدأت إحدى أعباء عمل السحابة التي تقرأ عادةً سجلات التطبيقات فجأةً في طلب الوصول إلى معلومات الهوية الشخصية (PII) للعملاء، يمكن لمنصة اكتشاف التهديدات والاستجابة لها في الهوية (ITDR) سحب رمز الوصول الخاص بها فوراً وتنبيه مركز عمليات الأمن (SOC) للتحقيق.

تؤكد الهويات غير البشرية على ضوابط صارمة طوال دورة حياة الهويات غير البشرية بالكامل، بدءاً من التجهيز الأولي، مروراً بالاستخدام الفعال، وصولاً إلى إنهاء الخدمة بشكل آمن. عندما يتم إيقاف خدمة، أو استبدال مسار، أو التوقف عن استخدام روبوت، يجب إلغاء صلاحية بيانات الاعتماد والرموز المميزة والشهادات الخاصة بها فوراً.

تحديد مالك بشري لكل هوية غير بشرية (NHI) يمكن أن يساعد في ضمان وجود شخص مسؤول وخاضع للمساءلة عن تدوير بيانات الاعتماد، والمراجعة الدورية للأذونات، ومعالجة الأخطاء في الإعدادات، وإصلاح الثغرات الأمنية، وغيرها من مهام الصيانة الحيوية. فبدون ملكية صريحة، يسهل نسيان الهويات غير البشرية، رغم أنها غالباً ما تظل محتفظة بصلاحيات وصول قوية.

تحتاج الهويات غير البشرية إلى بيانات اعتماد، ولكن يجب تخزين بيانات الاعتماد هذه في مكان ما. على عكس المستخدم البشري، لا يمكن لأحمال التشغيل تخزين كلمة المرور أو استخدام الهاتف الذكي كمفتاح المرور.

كمن المشكلة في أن بيانات اعتماد الهويات غير البشرية غالباً ما تكون مدمجة برمجياً داخل التطبيقات والخدمات التي تستخدمها، مما يعني أن المتسللين يمكنهم العثور عليها إذا عرفوا أين يبحثون.

يمكن أن تساعد أدوات إدارة الأسرار وإدارة الوصول المميز (PAM)، مثل خزائن بيانات الاعتماد. توفر الخزائن لفرق تكنولوجيا المعلومات والأمن مكاناً آمناً لتخزين بيانات اعتماد الهوية غير البشرية، وغالباً ما تدعم بيانات الاعتماد المؤقتة، والوصول في الوقت المناسب، والتدوير الآلي.

تُعدّ إدارة الوصول أمراً بالغ الأهمية دائماً في أمن الهوية، ولكنها تكتسب أهمية خاصة بالنسبة للهويات غير البشرية، والتي تفتقر إلى فلاتر التقدير والتمييز التي قد تمنع المستخدم البشري من إساءة استخدام صلاحياته. وبناءً على ذلك، يتعين تقييد كل إجراء تتخذه الخدمة أو حمولة العمل أو الروبوت أو الوكيل بضوابط تقنية واضحة.

في ظل نموذج الثقة الصفرية، تُمنح الهويات غير البشرية الحد الأدنى فقط من الأذونات المطلوبة لكل مهمة. يجب عليهم التحقق من هويتهم باستمرار أثناء تنقلهم بين الأنظمة. يمكن أن يساعد تقسيم الشبكة إلى أجزاء دقيقة في منع التطبيقات المخترقة والروبوتات والأجهزة المخترقة من التحرك بشكل جانبي. إن الهوية غير البشرية المخترقة قد تتمكن من الوصول إلى قاعدة البيانات الوحيدة التي تحتاجها شرعياً، ولكنها لن تتمكن من الانتقال إلى أنظمة تخزين غير متعلقة بها. 

فصل الواجبات—أي التأكد من أن الطرف الذي ينفذ المهمة ليس هو نفس الطرف المسؤول عن الموافقة على المهمة—أمر مهم بشكل خاص لوكلاء الذكاء الاصطناعي. لا تمتلك وكلاء الذكاء الاصطناعي نفس القيود الأخلاقية التي يمتلكها البشر، مما يعني أنها قد تتخذ إجراءات مصرحاً بها تماماً ولكنها لا تزال تسبب ضرراً.

على سبيل المثال، تذكر عميل خدمة العملاء الافتراضي القائم على الذكاء الاصطناعي، والمُحسَّن لرفع مستوى رضا العملاء إلى أقصى حد. وبما أن العملاء البشر يحبون استرداد أموالهم، فقد يوافق وكيل الذكاء الاصطناعي بشكل عشوائي على كل طلب استرداد سعياً منه لتحقيق هدفه.

يمكن منع هذا الموقف من خلال اشتراط موافقة شخص —أو نظام آخر— على عمليات الاسترداد قبل أن يتمكن الوكيل من منحها. 

تختلف الهويات غير البشرية والمستخدمون البشريون من نواحٍ واضحة ومهمة. لكن خصائصهم وقدراتهم تتشابه مع تطور أدوات ووكلاء الذكاء الاصطناعي الذين يشكلون جزءا أكبر من شبكة المؤسسة.

ونتيجة لذلك، يتوقع بعض الخبراء أن تختفي الفروق بين إدارة الهوية البشرية وغير البشرية في الغالب. بدلاً من استخدام ضوابط منفصلة لكل نوع من أنواع الهوية، قد يكون الاختلاف الأساسي بين إدارة الهوية البشرية وغير البشرية هو النطاق الذي يتم فيه تطبيق تلك الضوابط.

في نهاية المطاف، الوكلاء هم المستوى التالي من المهددات الداخلية، "هذا ما صرح به Sridhar Muppidi في بودكاست Security Intelligence التابع لشركة IBM:

"تماماً كما تحدد هوية الكائن البشري، عليك أن تحدد هوية الوكيل. وبمجرد تحديد هويته، يتعين عليك القيام بنفس الشيء الذي نفعله مع البشر: التحقق من مصداقيته. ومن ثم تتوصل إلى كيفية تحديد نطاق صلاحيات هذا العميل، بما في ذلك أفعاله النافعة والضارة. وبينما تقوم بذلك، يمكنك حينها التفكير في مستوى دقيق للغاية من تفاصيل القابلية للملاحظة، بحيث يمكنك اكتشاف السلوك غير الطبيعي بسرعة."