Η ψηφιακή ταυτότητα δεν είναι πλέον απλώς ένας κατάλογος χρηστών. Είναι πλέον επιφάνεια επίθεσης. Από IAM και PAM μέχρι cloud tokens και AI agents, εκεί κρίνεται σήμερα η πραγματική πρόσβαση σε συστήματα, δεδομένα και κρίσιμες λειτουργίες.
ΘΑΝΑΣΗΣ ΚΑΡΠΟΥΖΑΣ
Founder & CEO, Principal Penetration Tester
Logisek, www.logisek.com
ΓΙΩΡΓΟΣ ΚΑΡΠΟΥΖΑΣ
Founder & CEO, Principal Penetration Tester
Logisek, www.logisek.com
Στα περισσότερα penetration tests, το πρώτο ουσιαστικό εύρημα δεν είναι απαραίτητα ένα exposed service ή ένα παλιό CVE. Συχνότερα είναι ένας λογαριασμός με υπερβολικά δικαιώματα, ένα stale API key, ένα service principal χωρίς owner ή ένα MFA exception που κανείς δεν θυμάται γιατί αρχικά εγκρίθηκε
Identity ως αρχικό foothold
Το identity έχει γίνει το σημείο όπου συναντιούνται ο άνθρωπος, η εφαρμογή, το workload και πλέον ο AI agent. Όταν αυτός ο κόμβος δεν ελέγχεται αυστηρά, ο επιτιθέμενος δεν χρειάζεται θόρυβο. Χρειάζεται valid credentials.
Από IAM σε attack path
Τα κλασικά IAM μοντέλα οργανώθηκαν γύρω από roles, groups και approvals. Στην πράξη, όμως, ο επιτιθέμενος χαρτογραφεί trust relationships: ποιος μπορεί να κάνει reset password, ποιο group κληρονομεί admin privileges, ποιο OAuth app έχει consent για Graph, ποιο pipeline μπορεί να εκδώσει cloud token. Σε red team ασκήσεις, μας ενδιαφέρει πώς ενώνονται μικρά permissions σε πλήρη διαδρομή επίθεσης. Ένα helpdesk role, ένα misconfigured Conditional Access policy ή ένα legacy protocol μπορούν να οδηγήσουν σε domain ή tenant compromise.
PAM χωρίς operational discipline
Το PAM συχνά αγοράζεται ως password vault, αλλά αποτυγχάνει όταν δεν συνδέεται με την πραγματική χρήση των privileged accounts. Break-glass accounts χωρίς monitoring, shared admin accounts, standing privileges και service accounts που εξαιρούνται από rotation παραμένουν συνηθισμένα ευρήματα. Ως offensive security ομάδα, δεν μας αρκεί να υπάρχει PAM dashboard. Θέλουμε να δούμε αν ο privileged user μπορεί να ανοίξει session χωρίς justification, αν καταγράφεται το command execution και αν τα secrets εμφανίζονται σε scripts, tickets ή CI variables. Κάθε privileged access πρέπει να είναι time-bound, αιτιολογημένη και ανιχνεύσιμη.
CIAM και account takeover
Στα CIAM περιβάλλοντα, η επίθεση μεταφέρεται στην εμπειρία του πελάτη. Account takeover, weak recovery flows, session fixation, JWT misconfigurations και προβληματικά login flows μπορούν να δώσουν πρόσβαση χωρίς να «σπάσει» ο κωδικός. Σε assessments έχουμε δει password reset tokens χωρίς σωστό expiry, refresh tokens που δεν ανακαλούνται μετά από αλλαγή κωδικού και scopes που εκδίδονται ευρύτερα από όσο χρειάζεται η εφαρμογή. Το CIAM δεν είναι μόνο conversion και frictionless login. Είναι trust boundary σε δημόσια κλίμακα και πρέπει να δοκιμάζεται σαν external attack surface.
Cloud identities και privilege sprawl
Στο cloud, οι ταυτότητες δεν είναι μόνο users. Είναι managed identities, roles, pods, functions, keys, federated credentials και third-party integrations. Το πρόβλημα δεν είναι απλώς το overpermission. Είναι ότι τα privileges μετακινούνται δυναμικά. Ένα workload μπορεί να διαβάζει secrets, να κάνει assume role, να τροποποιεί storage policies ή να εκδίδει tokens προς άλλο περιβάλλον. Η αξιολόγηση πρέπει να περιλαμβάνει effective permissions, lateral movement μεταξύ subscriptions ή accounts, abuse paths σε metadata services και exposure σε build systems. Το least privilege πρέπει να αποδεικνύεται, όχι απλώς να δηλώνεται.
AI agents ως non-human identities
Οι AI agents εισάγουν δυσκολότερη μορφή identity: non-human, αυτόνομη και συχνά συνδεδεμένη με εργαλεία. Όταν ένας agent μπορεί να διαβάζει email, να καλεί APIs, να ανοίγει tickets ή να εκτελεί κώδικα, χρειάζεται identity lifecycle όπως κάθε privileged actor. Ένα prompt injection μπορεί να μετατραπεί σε έμμεσο credential abuse. Ένα malicious document μπορεί να οδηγήσει τον agent να καλέσει tool με δικαιώματα που ο χρήστης δεν κατανοεί πλήρως. Εδώ απαιτούνται scoped tokens, tool-level authorization, transaction approval, policy enforcement και audit trails που δείχνουν όχι μόνο τι έγινε, αλλά και ποιο instruction το προκάλεσε.
Τι ελέγχουμε πρακτικά
Σε ένα identity security assessment δεν αρκεί ένα checklist. Ξεκινάμε με enumeration: users, groups, apps, service principals, secrets, federation, Conditional Access, privileged roles και inactive accounts. Στη συνέχεια χτίζουμε attack graphs και επιβεβαιώνουμε paths με ασφαλές exploitation. Ελέγχουμε MFA fatigue, device compliance bypass, token replay, consent phishing, Kerberoasting όπου υπάρχει Active Directory, SAML misbinding, OAuth scope abuse και privilege escalation σε cloud control planes. Το αποτέλεσμα πρέπει να δείχνει ποιο identity οδηγεί σε ποιο asset, με ποιο βήμα και με ποιο business impact.
Συμπέρασμα
Η ψηφιακή ταυτότητα είναι πλέον το control plane της εμπιστοσύνης. Όποιος την αντιμετωπίζει ως directory χάνει την ουσία. Πρέπει να βλέπουμε τα identities όπως τα βλέπει ο attacker: ως paths, tokens, sessions, delegations και exceptions. Εκεί χρειάζονται visibility, privilege reduction, continuous verification και συνεχείς τεχνικές δοκιμές. Στην πραγματική επίθεση, ο πιο γρήγορος δρόμος δεν είναι πάντα το exploit. Είναι το permission που ήδη υπάρχει. Γι’ αυτό κάθε εύρημα πρέπει να συνδέεται με συγκεκριμένη κατάχρηση, μετρήσιμο blast radius και άμεσο remediation από τον system owner.
