Класичні системи управління доступом (IAM) у великих компаніях дедалі частіше працюють на межі можливостей. Ідентичності людей, сервісів, ботів та AI‑агентів розпорошуються між тисячами застосунків і хмар, а значна частина дій з обліковими записами взагалі не потрапляє в поле зору служби безпеки.
Що таке Identity Dark Matter в корпоративній IAM‑архітектурі
Фахівці Orchid Security позначають цю приховану зону активності терміном Identity Dark Matter — це шар операцій з ідентичностями, який не фіксується централізованими IAM‑сервісами і не піддається повноцінному аналізу з боку команди безпеки.
За оцінками Orchid Security, до 46% усієї корпоративної активності ідентичностей відбувається поза зоною видимості IAM. Тобто майже половина пов’язаного з обліковими записами периметру атаки залишається некерованою. До цієї «темної матерії» зазвичай належать:
- самостійно розгорнуті або «тіньові» застосунки без формального онбордингу в IAM;
- локальні й вбудовані облікові записи в ПЗ та інфраструктурі;
- закриті сценарії аутентифікації та застарілі механізми авторизації;
- перепривілейовані сервісні й машинні ідентичності, у тому числі інтеграційні акаунти та боти.
Проблему підсилюють фрагментація ІТ‑ландшафту, розподіл відповідальності між бізнес‑підрозділами та стрімке зростання автономних AI‑агентів. Виникає розрив між тим, який доступ, на думку служби ІБ, має існувати, і тим, як доступ реально використовується. Саме в цьому розриві концентруються найкритичніші ризики, пов’язані з цифровими ідентичностями.
Identity Visibility and Intelligence Platform (IVIP) за Gartner
Щоб закрити ці «сліпі зони», Gartner виділяє окремий клас рішень — Identity Visibility and Intelligence Platform (IVIP). У концепції Gartner Identity Fabric IVIP розглядається як базова «system of systems» на рівні 5 — Visibility and Observability, тобто незалежний шар спостережуваності над традиційним IAM та IAM‑governance.
Згідно з визначенням Gartner, платформа IVIP повинна швидко збирати та уніфікувати дані про ідентичності, застосовувати аналітику та штучний інтелект для формування єдиного вікна огляду всіх подій, зв’язків «користувач‑ресурс» і фактичних прав доступу.
Ключові можливості зрілої IVIP‑платформи
- Неперервне виявлення людських, сервісних та машинних ідентичностей у всіх критичних системах — включно з тими, що ніколи формально не підключалися до IAM.
- Єдиний дата‑шар про ідентичності, який консолідує фрагментовані дані каталогів, застосунків, інфраструктури та хмар у надійний «source of truth».
- Інтелект і аналітика: використання поведінкового аналізу та AI, щоб перетворювати розрізнені сигнали на практичні рекомендації для ІБ та ризик‑менеджменту.
На технічному рівні сучасна Identity Visibility and Intelligence Platform підтримує автоматизовану ремедіацію порушень політик, обмін сигналами в реальному часі (наприклад, через CAEP для миттєвої реалізації політик Zero Trust) та intent‑based intelligence, де великі мовні моделі допомагають відрізнити нормальну операційну активність від справді ризикових патернів.
Підхід Orchid Security до IVIP: фокус на застосунках і реальній поведінці
Orchid Security пропонує практичну реалізацію Identity Visibility and Intelligence Platform, роблячи акцент не стільки на інтеграціях з IAM, скільки на глибокій видимості процесів усередині самих застосунків.
Одне з ключових вимог IVIP — безперервне виявлення застосунків, ідентичностей і сценаріїв доступу. Orchid досягає цього за рахунок бінарного аналізу та динамічної інструменталізації, досліджуючи нативну логіку аутентифікації й авторизації без зміни вихідного коду та додаткових API‑інтеграцій.
Спершу платформа формує реальний application estate: власні розробки, коробкові рішення (COTS), легасі‑системи й тіньовий IT. Далі в цих системах ідентифікується прихована Identity Dark Matter: локальні акаунти, неочевидні маршрути логіна, забуті сервісні та машинні облікові записи.
На наступному етапі IVIP‑платформа Orchid будує доказовий дата‑шар про ідентичності, об’єднуючи власну телеметрію з застосунків із логами та подіями централізованих IAM‑рішень. Це дає службі безпеки змогу порівняти задекларовані політики з фактичним використанням доступу і точково закривати найнебезпечніші діри.
AI‑агенти як нова хвиля Identity Dark Matter
Окремий виклик — автономні AI‑агенти, що виконують операції від імені компанії, працюють з корпоративними даними й отримують власні токени або облікові записи. Такі ідентичності часто не вписуються в традиційні IAM‑моделі і значно збільшують шар Identity Dark Matter.
Orchid розширює модель IVIP на ці нові типи суб’єктів завдяки архітектурі Guardian Agent, яка дозволяє застосувати принципи Zero Trust до AI‑агентів: мінімально необхідні привілеї, детальна спостережуваність дій, сегментація контексту та повна трасованість операцій.
Управління ідентичностями сьогодні напряму залежить від якості вихідних даних. Керівникам з інформаційної безпеки варто зміщувати фокус від формальної наявності контролів до метрик, орієнтованих на результат: частка неінвентаризованих ідентичностей, швидкість виявлення зайвих прав, відсоток автоматизованих ремедіацій тощо. Пріоритизація зусиль зі зменшення поверхні атаки має включати впровадження платформ спостережуваності ідентичностей (IVIP), ревізію прихованих застосунків, посилене управління машинними обліковими записами й чіткі правила роботи для AI‑агентів. Компаніям доцільно виходити за межі «замкнених дверей» IAM і приділяти увагу саме тій зоні, де сьогодні найчастіше ховаються зловмисники, — в темній матерії ідентичностей.
