Классические системы управления доступом (IAM) в крупных организациях выходят на предел возможностей. По мере роста бизнеса идентичности распределяются между тысячами приложений, автономными командами, машинными учетными записями и ИИ‑системами, а значимая часть активности уходит из зоны видимости службы безопасности.
Что такое Identity Dark Matter и почему это критично для безопасности
Эксперты Orchid Security называют эту скрытую зону активности Identity Dark Matter — слой операций с идентичностями, который не фиксируется централизованным IAM и недоступен для анализа службами ИБ.
Согласно анализу Orchid Security, около 46% корпоративной активности идентичностей происходит вне поля зрения централизованных IAM‑систем. Это означает, что практически половина поверхности атаки, связанной с учетными записями, не контролируется. В эту «темную материю» входят:
- неподконтрольные или самонастраиваемые приложения и теневой IT;
- локальные и встроенные учетные записи в приложениях и инфраструктуре;
- непрозрачные сценарии аутентификации и устаревшие механизмы авторизации;
- перепривилегированные машинные и сервисные идентичности, в том числе для интеграций и ботов.
Ситуацию усугубляют разрозненные инструменты, фрагментация зон ответственности между бизнес‑подразделениями и стремительный рост автономных ИИ‑агентов. В результате возникает расхождение между тем, какой доступ, по мнению ИБ, существует в системе, и тем, какой доступ реально используется. Именно в этом разрыве сегодня концентрируются основные риски, связанные с цифровыми идентичностями.
Концепция IVIP Gartner: от видимости к пониманию и контролю
Для закрытия этих слепых зон Gartner вводит класс решений Identity Visibility and Intelligence Platform (IVIP), позиционируя их как базовый «system of systems» в рамках архитектуры Gartner Identity Fabric. В этой модели IVIP занимает уровень 5 — «Visibility and Observability», предоставляя независимый слой наблюдаемости над традиционным управлением доступом и IAM‑губернансом.
По определению Gartner, платформа IVIP должна быстро собирать и унифицировать данные IAM, используя аналитику и ИИ для формирования единого окна наблюдения за событиями идентичностей, связями «пользователь‑ресурс» и фактическим состоянием доступа.
Ключевые требования к зрелой Identity Visibility and Intelligence Platform:
- Непрерывное обнаружение людей и машинных идентичностей во всех релевантных системах, включая те, что не проходят формальное онбординг в IAM.
- Единая платформа данных об идентичностях, объединяющая фрагментированную информацию из каталогов, приложений, инфраструктуры и облаков в консистентный «source of truth».
- Интеллект и аналитика: применение ИИ и поведенческого анализа для превращения разрозненных сигналов в практическую информацию для ИБ и риск‑менеджмента.
С технической точки зрения это подразумевает поддержку возможностей, таких как автоматизированная ремедиация нарушений политик, обмен сигналами в режиме реального времени (например, через стандарты наподобие CAEP для мгновенного применения политик Zero Trust) и intent-based intelligence, где крупные языковые модели помогают отличать нормальное операционное поведение от действительно рискованных паттернов.
Как Orchid Security реализует IVIP: фокус на приложениях и фактическом поведении
Orchid Security предлагает практическую реализацию модели Identity Visibility and Intelligence Platform, делая упор не столько на интеграциях с IAM, сколько на непосредственной видимости того, что происходит в самих приложениях.
Одно из базовых требований IVIP — постоянное обнаружение приложений, идентичностей и сценариев доступа. Orchid достигает этого за счет бинарного анализа и динамической инструментализации, что позволяет исследовать нативную логику аутентификации и авторизации внутри приложений и инфраструктуры без необходимости дорабатывать исходный код или подключать новые API.
Такой подход особенно важен для крупных ландшафтов приложений, где центральная служба безопасности часто не знает обо всех системах, используемых бизнес‑подразделениями. Сначала платформа выявляет реальный «application estate» — кастомные решения, COTS‑продукты, легаси‑системы и теневой IT. Затем в этих системах выявляется скрытая Identity Dark Matter: локальные учетные записи, неучтенные маршруты аутентификации, забытые сервисные и машинные идентичности.
Далее IVIP‑платформа Orchid формирует доказательную слой данных об идентичностях, объединяя собственную телеметрию аудита из приложений с логами и событиями из централизованных IAM‑решений. В результате служба ИБ получает не предположения, основанные на конфигурациях, а картину фактического поведения идентичностей в среде и может сопоставить документированные политики с реально существующим доступом.
ИИ‑агенты как новая волна Identity Dark Matter
Отдельный вызов — автономные ИИ‑агенты, которые действуют от имени компаний, производят операции в ИТ‑системах и нередко получают собственные учетные данные или токены. Такие идентичности часто выходят за пределы традиционных моделей IAM и усиливают слой Identity Dark Matter.
Orchid расширяет рамки IVIP на эти новые типы субъектов за счет архитектуры Guardian Agent, позволяющей применять принципы Zero Trust к ИИ‑агентам: минимально необходимые привилегии, детальная наблюдаемость действий, сегментация контекста и четкая трассируемость всех операций.
Таким образом, сочетание обнаружения приложений, телеметрии идентичностей и AI‑аналитики превращает ранее невидимую активность в управляемую и наблюдаемую поверхность безопасности.
Эффективность решений в области управления идентичностями напрямую зависит от качества исходных данных. Руководителям по информационной безопасности целесообразно смещать фокус от формального «наличия контролей» к метрикам, ориентированным на результаты (Outcome‑Driven Metrics): доля неучтенных идентичностей, скорость обнаружения избыточных прав, процент автоматизированных ремедиаций и т.п. Приоритизация усилий по снижению поверхностей атаки должна включать внедрение платформ наблюдаемости идентичностей (IVIP), ревизию скрытых приложений, ужесточение управления машинными учетными записями и выработку прозрачных правил для ИИ‑агентов. Организациям стоит выходить за рамки «запертой входной двери» IAM и уделять внимание тому, где сегодня по‑настоящему скрываются злоумышленники — в темной материи идентичностей.
