प्रॉक्सी परवाना तुटलेला आहे — आणि प्रमाणीकरण पास केल्याने ते आणखी वाईट होते

अँथनी ग्रेको, सिस्कोचे वरिष्ठ उपाध्यक्ष आणि मुख्य सुरक्षा आणि ट्रस्ट अधिकारी, जेव्हा VentureBeat ने विचारले की बदमाश ग्राहकांच्या घटना सिस्कोच्या ग्राहक बेसपर्यंत पोहोचत आहेत तेव्हा त्यांनी अजिबात संकोच केला नाही.

"शंभर टक्के. आम्ही त्यांना नियमितपणे पाहतो" ग्रीकोने RSAC 2026 मध्ये एका विशेष मुलाखतीत VentureBeat ला सांगितले. "मी काही ऐकले आहे की मी पुनरावृत्ती करू शकत नाही, परंतु ते अशा ठिकाणी पोहोचतात जेथे क्लायंट अशा गोष्टी करत आहेत ज्या त्यांना योग्य वाटतात."

ग्रीकोने वर्णन केलेल्या घटना एक सुसंगत नमुना अनुसरण करतात: ओळख सत्यापित, ओळख सत्यापित. एजंट नेमका तो आहे जो तो असल्याचा दावा करतो. ते नंतर त्या डेटामध्ये प्रवेश करते ज्याला स्पर्श करण्यासाठी किंवा त्या तपशिलाच्या स्तरावर कोणीही अधिकृत केलेली कारवाई करण्यासाठी कधीही स्कोप नाही. अपयश ही ओळख नाही; परवानगी आहे.

"व्यवसाय सांगतो की, आमच्याकडे प्रति कर्मचारी ५०० एजंट असतील," ग्रीकोने व्हेंचरबीटला सांगितले. "आम्ही हे सुरक्षितपणे करतो याची खात्री कशी करायची यावर सुरक्षा नेते खरोखरच लक्ष केंद्रित करतात."

सिस्को स्टेट ऑफ एआय सिक्युरिटी 2026 च्या अहवालात असे आढळून आले की 83% संस्थांनी एजंट क्षमता तैनात करण्याची योजना आखली होती, परंतु केवळ 29% संस्थांनी त्यांना सुरक्षित करण्यासाठी तयार असल्याचे मानले. पाच विक्रेत्यांनी RSAC 2026 मध्ये एजंट ओळख फ्रेमवर्क पाठवले. त्यापैकी कोणीही प्रत्येक अंतर भरले नाही. यामध्ये सिस्कोचा समावेश आहे.

VentureBeat ने Grieco च्या विशेष मुलाखत आणि पाच स्वतंत्र स्त्रोतांद्वारे चार परवाना अंतर ओळखले. त्यांच्याबद्दल काय करावे हे या कथेच्या शेवटी ह्युरिस्टिक मॅट्रिक्स आहे.

परवान्यातील अंतर अद्यापही पूर्ण झालेले नाही

Grieco कंपनीच्या सुरक्षा ऑपरेशनच्या दोन्ही बाजूंची भूमिका घेण्यापूर्वी Cisco च्या अभियांत्रिकी आणि धोका संशोधन संस्थांमार्फत आली: Cisco विकणारी उत्पादने तयार करणे आणि सिस्कोचे स्वतःचे संरक्षण करणारे सॉफ्टवेअर चालवणे.

त्यांनी वर्णन केलेले शिष्टमंडळ अंतर विशिष्ट आणि व्यावहारिक आहे.

"येथे हा एजंट आर्थिक एजंट आहे, परंतु जरी तो आर्थिक एजंट असला तरी, त्याला सर्व आर्थिक डेटामध्ये प्रवेश नसावा;" ग्रीकोने व्हेंचरबीटला सांगितले. "त्याला खर्चाच्या अहवालात प्रवेश करावा लागतो, आणि केवळ खर्चाचे अहवालच नव्हे, तर दिलेल्या वेळी वैयक्तिक खर्चाचे अहवाल. अशा प्रकारचे ग्रॅन्युलर कंट्रोल असणे ही खरोखरच सर्वात मोठी गोष्ट आहे जी आम्हाला बऱ्याच एजंटिक घडामोडींना हो म्हणण्यास मदत करेल."

स्वतंत्र प्रॅक्टिशनर्सनी RSAC 2026 द्वारे या पॅटर्नची पुष्टी केली. IEEE चे वरिष्ठ सदस्य Kayne McGladrey यांनी VentureBeat ला सांगितले की एजंट्ससाठी मानवी वापरकर्ता प्रोफाइल क्लोनिंग करण्यात संस्था मागे पडत आहेत आणि परवानग्यांचा विस्तार पहिल्या दिवसापासून सुरू होतो. रेप्युटेशनमधील एआयचे उपाध्यक्ष कार्टर रीझ यांनी संरचनात्मक कारण ओळखले. एलएलएमचे प्रतिनिधी मंडळ वापरकर्त्याच्या परवानग्यांचा आदर करण्यात अयशस्वी झाले, असे रीसने व्हेंचरबीटला सांगितले. या सपाट स्तरावरील एजंटला विशेषाधिकार वाढवण्याची गरज नाही. तिच्याकडे ते आधीच आहेत.

"काय चालले आहे हे जाणून घेणे हे सर्वात मोठे आव्हान आहे," ग्रीको म्हणाला. "ओळख नकाशे आणि त्यावर नियंत्रण ठेवण्यास सक्षम असणे, खरोखरच गंभीर आहे."

CrowdStrike मधील CTO, Ilya Zaitsev, RSAC 2026 मध्ये VentureBeat सोबतच्या एका विशेष मुलाखतीत दृश्यमानतेचे वर्णन केले. बहुतेक व्हर्च्युअल लॉगिंग कॉन्फिगरेशनमध्ये, एजंटची क्रिया मानवी क्रियाकलापांपेक्षा वेगळी आहे. दोघांमधील फरक ओळखण्यासाठी प्रक्रियेच्या झाडावर चालणे आवश्यक आहे. बहुतेक एंटरप्राइझ नोंदणी प्रक्रिया हा फरक करू शकत नाहीत.

पाच विक्रेत्यांनी RSAC वर प्रॉक्सी ओळख फ्रेमवर्क पाठवले, ज्यात Cisco च्या Duo IAM आणि MCP गेटवे नियंत्रणांचा समावेश आहे. VentureBeat द्वारे ओळखले जाणारे प्रत्येक अंतर कोणीही बंद केले नाही. खाली असलेले चार अंतर उघडे राहिले आहेत.

मानक संस्था समान निदानावर एकत्र होतात

ग्रीकोने वर्णन केलेल्या परवाना आणि ओळखीमधील अंतर ही केवळ विक्रेता निरीक्षणे नाहीत. तीन स्वतंत्र मानक संस्था 2026 च्या सुरुवातीला समांतर निष्कर्षांवर पोहोचल्या. NIST च्या NCCoE ने फेब्रुवारी 2026 मध्ये एक संकल्पना पेपर प्रकाशित केला, "सॉफ्टवेअरचा अवलंब आणि एआय एजंट ओळख आणि अधिकृतता वाढवणे," स्वायत्त एजंटना विद्यमान ओळख मानके कशी लागू होतात याविषयी प्रात्यक्षिक प्रकल्पांसाठी स्पष्टपणे कॉल करा.

डिसेंबर 2025 मध्ये प्रसिद्ध झालेल्या OWASP च्या टॉप 10 प्रॉक्सी ॲप्लिकेशन्सच्या यादीत, अत्याधिक विशेषाधिकार प्रवेश आणि असुरक्षित अधिकृतता याद्वारे साधनाचा गैरवापर हे उच्च-स्तरीय धोके म्हणून ओळखले गेले. क्लाउड सिक्युरिटी अलायन्सने एका मिशनसह RSAC 2026 येथे CSAI लाँच केले "सुरक्षित विमान नियंत्रण एजंट," विकेंद्रित अभिज्ञापक आणि शून्य विश्वास तत्त्वांवर तयार केलेल्या सानुकूल एजंटिक AI IAM फ्रेमवर्कसह. जेव्हा NIST, OWASP आणि CSA स्वतंत्रपणे समान बाजार चक्रात समान अंतर श्रेणी दर्शवतात, तेव्हा सिग्नल पुरवठादार-विशिष्ट ऐवजी संरचनात्मक असतो.

MCP सुरक्षिततेसाठी नियंत्रणापूर्वी शोध आवश्यक आहे

VentureBeat ने Grieco ला MCP च्या विरोधाभासाबद्दल विचारले, RSAC 2026 मधील प्रत्येक विक्रेत्याने त्याच्या सुरक्षा भेद्यता मान्य करताना स्वीकारलेला मॉडेल संदर्भ प्रोटोकॉल. ग्रीकोने असा युक्तिवाद केला नाही की प्रोटोकॉल सुरक्षित आहे. त्यावर बंदी घालणे आता वास्तववादी राहिलेले नाही, असे ते म्हणाले.

"सुरक्षा नेता म्हणून या दिवसात आणि युगात त्याला नाही म्हणता येणार नाही." ग्रीकोने व्हेंचरबीटला सांगितले. "आणि म्हणून आम्ही ते कसे व्यवस्थापित करतो."

Cisco च्या स्वतःच्या वातावरणात, Grieco टीमने AI संरक्षण आणि Cisco Secure Access मध्ये MCP शोध, प्रॉक्सी आणि तपासणी क्षमता जोडल्या. हा दृष्टीकोन MCP सर्व्हरवर ज्या प्रकारे संस्था सावली IT ला वागवतात त्याच प्रकारे वागतात: तुम्ही त्यावर राज्य करण्यापूर्वी त्यावर संशोधन करा.

कॅटो नेटवर्क्समधील थ्रेट इंटेलिजन्सचे उपाध्यक्ष इटाय माओर यांनी या विरोधी दृष्टिकोनाचे प्रमाणीकरण केले. RSAC 2026 मध्ये, Mauer ने AI-चालित आक्रमणाचे प्रात्यक्षिक केले ज्याने Atlassian चे MCP आणि Jira सर्व्हिस मॅनेजमेंटला दूर केले. हल्लेखोर विश्वसनीय साधने, सेवा आणि मॉडेल वेगळे करत नाहीत. ते तिघांना बांधून ठेवतात. "आम्हाला एजंटचे एचआर पाहण्याची गरज आहे," “आम्ही ते करू शकणार नाही,” माऊरने व्हेंचरबीटला सांगितले. "तयारी, देखरेख आणि दिग्दर्शन."

जवळपास निम्म्या गंभीर पायाभूत सुविधा कालबाह्य आणि दुरुस्तीच्या पलीकडे आहेत

प्रॉक्सी ऑथोरायझेशन अयशस्वी शोधणे आणि त्याखालील इन्फ्रास्ट्रक्चरला वर्षांमध्ये सुरक्षा पॅच मिळालेला नसताना ते समाविष्ट करणे कठीण आहे — आणि हे अंतर या कथेतील इतर प्रत्येक भेद्यता वाढवते. यूएस, यूके, फ्रान्स, जर्मनी आणि जपानमधील तंत्रज्ञानाच्या जीवनातील शेवटच्या जोखमींचे परीक्षण करण्यासाठी सिस्कोने यूके-आधारित सल्लागार WPI धोरण सुरू केले. अहवालात असे आढळून आले आहे की त्या भौगोलिक क्षेत्रांमधील जवळजवळ निम्म्या गंभीर नेटवर्क पायाभूत सुविधा कालबाह्य किंवा अप्रचलित आहेत. विक्रेते यापुढे ते दुरुस्त करणार नाहीत.

"या भूगोलातील गंभीर पायाभूत सुविधांपैकी अंदाजे 50% जुन्या, आयुष्याच्या शेवटी किंवा आयुष्याच्या समाप्तीच्या जवळ," ग्रीकोने व्हेंचरबीटला सांगितले. "याचा अर्थ विक्रेते यापुढे त्यांच्यासाठी सुरक्षा पॅच ऑफर करत नाहीत."

सिस्कोचे रेझिलिएंट इन्फ्रास्ट्रक्चर इनिशिएटिव्ह डीफॉल्टनुसार न वापरलेली वैशिष्ट्ये अक्षम करते आणि तीन-रिलीझ डेप्रिकेशन शेड्यूलवर लेगसी प्रोटोकॉल टप्प्याटप्प्याने बंद करते. डीफॉल्टनुसार सुरक्षा ही निश्चित उपलब्धी आहे या गृहीतकावर ग्रीको मागे पडतो. "एक गोष्ट ज्याचा बहुतेक लोक विचार करत नाहीत ती म्हणजे हे वेळेचे निश्चित मुद्दे नाहीत;" ग्रीकोने व्हेंचरबीटला सांगितले. "असे नाही की तुम्ही ते एकदा केले आणि तुमचे पूर्ण झाले."

एंटरप्राइझ सुरक्षा अंतर मॅट्रिक्स

सोमवारी सकाळी सुरक्षा व्यवस्थापक काय करू शकतात हे खालील चार अंतर आहेत. प्रत्येक पंक्ती काय आउटेज आहे ते का आउटेज आहे आणि त्याबद्दल काय करावे यासाठी मॅप करते आणि पाच स्वतंत्र स्त्रोतांद्वारे प्रमाणित केले जाते.

स्रोत: RSAC 2026 मधील Grieco च्या विशेष मुलाखतीचे VentureBeat विश्लेषण, McGladrey (IEEE), Rees (प्रतिष्ठा), Maor (Cato Networks), आणि Zaitsev (CrowdStrike) यांच्या स्वतंत्र अहवालांविरुद्ध सत्यापित. मे 2026.

"खरे सांगायचे तर, विरोधक कोठे जात आहेत ते कायम ठेवण्यासाठी आपल्याला जलद गतीने वाटचाल करावी लागेल आणि हे द्रुतगतीने विकसित करावे लागेल," ग्रीकोने व्हेंचरबीटला सांगितले.

वर वर्णन केलेले अंतर सैद्धांतिक नाहीत. ग्रीकोने पुष्टी केली की घटना प्रत्यक्षात घडत आहेत. अनेक विक्रेत्यांच्या भागांमध्ये नियंत्रणे अस्तित्वात आहेत. कोणत्याही एका विक्रेत्याने पूर्ण संच एकत्र केला नाही.

Source link