Tầm quan trọng
và sự phát triển của PAM
trong kỷ nguyên AI
Góc nhìn từ 10 lãnh đạo an ninh mạng
Định danh số (digital identity) từ lâu đã là nền tảng của bảo mật. Việc nắm rõ quyền truy cập của từng cá nhân giúp các tổ chức thiết lập chính sách, giám sát hoạt động và kịp thời hành động khi có sự cố. Tuy nhiên, trong kỷ nguyên AI, phạm vi của identity đã mở rộng đáng kể. Định danh giờ đây không chỉ bao gồm nhân viên và đối tác, mà còn cả thuật toán, API và các AI agent có khả năng đưa ra quyết định với tốc độ vượt xa con người. Các CISO và lãnh đạo an ninh mạng đang phải đối mặt với thách thức quản lý sự thay đổi này, đồng thời vẫn đảm bảo quản trị, văn hóa tổ chức và khả năng phục hồi.
Chúng tôi đã tìm đến một nhóm các nhà lãnh đạo đang trực tiếp đối mặt với những áp lực này mỗi ngày. Tuy đảm nhiệm chức vụ khác nhau nhưng tất cả đều là những người chịu trách nhiệm về rủi ro an ninh mạng, đảm bảo an toàn cho tổ chức của mình và tư vấn cho ban lãnh đạo cấp cao. Sự đa dạng về chức vụ của họ cũng phản ánh chính bức tranh kinh doanh hiện nay: trách nhiệm về an ninh mạng không còn nằm ở một vị trí duy nhất mà được phân bổ giữa CTO, CISO, heads of security hay IT manager.
Báo cáo này tổng hợp insights về cách PAM cần phải phát triển trong kỷ nguyên AI: sự thay đổi của các mối đe dọa, cách các cơ chế kiểm soát thích ứng và cách tổ chức có thể xây dựng khả năng phục hồi vững chắc. Chúng tôi mang đến những góc nhìn thực tiễn từ tuyến đầu và đưa ra các khuyến nghị theo từng ngành.
Soạn thảo Jane Frankland MBE
Các chuyên gia tham gia
Chúng tôi đã liên hệ với các chuyên gia đến từ năm lĩnh vực và thị trường khác nhau. Các chuyên gia đã chia sẻ góc nhìn về một số thách thức quan trọng mà các nhà lãnh đạo trong lĩnh vực an ninh mạng đang phải đối mặt hiện nay.
Sandy Dunn, CISO tại SPLX.AI
Định danh của Machine và AI agent hiện đã vượt số lượng con người trong hầu hết các tổ chức với tỷ lệ hơn 80:1. Điều quan trọng là các agent này giống như những thực tập sinh có đặc quyền nhưng “khó kiểm soát”: cấp cho mỗi agent một định danh riêng, sử dụng thông tin xác thực có vòng đời ngắn và luôn gắn mọi hoạt động với một con người để đảm bảo trách nhiệm giải trình. Chỉ cấp quyền ở mức cần thiết, duy trì ranh giới rõ ràng và giám sát theo thời gian thực để có thể nhanh chóng phát hiện nếu chúng hoạt động vượt phạm vi cho phép.
George Papakyriakopoulos, CISO tại Skroutz S.A.
Thách thức chính không chỉ là chống lại các cuộc tấn công sử dụng AI, mà còn là bảo mật chính các agent — những thực thể đang dần trở thành các super-admin mới, nắm giữ nhiều định danh quan trọng. Trong tương lai, khái niệm privileged identity sẽ không ngừng được mở rộng để bao gồm cả các agent có quyền truy cập tổng hợp lớn hơn cả con người.
Simon Legg, CISO tại Hastings Direct
Điều quan trọng cần nhận ra là các cơ chế kiểm soát được thiết kế cho con người không nhất thiết phù hợp với hệ thống. Các hệ thống có thể chịu được mức độ kiểm soát phức tạp hơn so với con người.
Stu Hirst, CISO tại Trustpilot
AI agent nhiều khả năng sẽ trở nên phổ biến trong các tổ chức, vì vậy quản lý định danh cần phát triển theo hướng entity-centric. Các AI agent sẽ cần quy trình onboarding, quản lý vòng đời, xác thực (attestation) và offboarding giống như nhân viên — nhưng ở tốc độ của máy móc.
Ejona Preci, Group CISO tại LINDAL Group
Mỗi AI agent phải có một định danh duy nhất và có thể truy vết, được quản lý bằng granular policy control (các chính sách kiểm soát chi tiết) cùng real-time monitoring (hệ thống giám sát theo thời gian thực) với tính năng phát hiện bất thường. Khi hành vi hoặc mức rủi ro của một agent vượt ngưỡng, phải chấm dứt quyền truy cập của agent đó ngay lập tức. Bất kỳ cách tiếp cận nào yếu hơn đều dẫn đến sự hỗn loạn.
Erhan Temurkan, Giám đốc Information security tại công ty dịch vụ tài chính
Theo thời gian - PAM, IAM và AI governance sẽ hội tụ thành một lĩnh vực thống nhất, xoay quanh câu hỏi: ai hoặc điều gì — có quyền truy cập, khi nào và vì sao.
Yasin Carkci, CTO tại Tams Finans
Trong 5 năm tới, PAM sẽ chuyển từ một bộ kiểm soát truy cập tĩnh thành một hệ thống điều phối rủi ro theo thời gian thực. Khi tương tác machine-to-machine trở nên phổ biến, vòng đời của định danh sẽ rút ngắn xuống chỉ còn vài phút. PAM sẽ cần xác thực phiên bản mô hình, thực thi chính sách động và thu hồi quyền truy cập ngay lập tức khi cần.
Goher Mohammad, Head of Information Security tại L&Q
Ngay cả khi nhiều tổ chức tuyên bố không sử dụng AI, việc sử dụng vẫn sẽ diễn ra theo nhiều cách. Ai cũng tò mò về AI, ngay cả với những người không biết sử dụng máy tính.
Panagiotis Soulos, Information Security GRC Senior Manager và Deputy CISO tại STEELME
Khi triển khai PAM cho AI agent, các CISO cần ưu tiên quản trị vòng đời, thực thi nguyên tắc least privilege và giám sát theo thời gian thực đối với các định danh phi con người. Việc xác định rõ quyền sở hữu, đảm bảo khả năng truy vết và áp dụng just-in-time access là yếu tố then chốt. Đồng thời, việc đào tạo nhân viên về sử dụng AI có trách nhiệm và prompt (cyber) hygiene cũng quan trọng không kém.
River Nygryn, COO tại Bullion FX
Công cụ nên giúp nâng cao hiệu quả chứ không thay thế quản trị và nguyên tắc vận hành của bạn.