2026-ra egy dolog vált világossá: a támadók és a modern IT-környezetek között az identitáskezelés az utolsó valódi védelmi vonal. A gond csak az, hogy a legtöbb szervezet komoly vakfolttal működik.
Az ok egyszerű, de súlyos következményekkel jár: az identitásláthatóság többnyire csak a központilag menedzselt rendszerekre (PAM, IGA) terjed ki, miközben az alkalmazások jelentős része teljesen kívül esik ezen a körön.
A valóság az, hogy még a legérettebb biztonsági csapatok és költségvetések mellett is az enterprise környezetek csak az alkalmazások nagyjából felét kezelik központilag. Ez olyan, mintha egy szemmel vezetnénk az autópályán, miközben az identitásalapú sebezhetőségek és kihasználások száma meredeken emelkedik.
A menedzselt identitások stratégiai vakfoltja
A probléma méretét számszerűsítette Robert Wiseman, az Orchid Security CTO-ja:
- az alkalmazások 70%-a túljogosított,
- a fiókok 40%-a árva identitás (orphaned account).
Ezek közül sok már megjelent a dark weben, vagyis aktív célponttá vált a támadók számára. Ez azt jelenti, hogy a biztonsági vezetők hiányos adatok alapján hoznak nagy kockázatú döntéseket – mert az identitásdöntések csak annyira jók, amennyire teljes a mögöttük álló láthatóság.
Az alkalmazáskódban rejtőző „sötét anyag”
A rejtett kockázatok feltárása nem dokumentációk vagy architektúra-rajzok elemzésével történt, hanem maguknak az alkalmazásoknak a vizsgálatával Észak-Amerikában és Európában – pénzügyi szolgáltatóknál, kiskereskedelmi, energetikai és biztosítási környezetekben.
Nir Jakoel, az Orchid Security kutatóelemzője rámutatott egy meglepően banális, mégis veszélyes példára:
👉 egyetlen elgépelés egy e-mail domainben (hiányzó vagy felcserélt betű) láthatatlan identitásokat hoz létre.
Ezek a fiókok gyakran évekig életben maradnak, miután a hibát kijavították, és semmilyen standard IAM- vagy governance-folyamat nem látja őket. Ez egyszerre jelent compliance- és kiberbiztonsági kockázatot.
A harmadik felek hozzáférésének rejtett veszélyei
A kutatás feltárta azt is, hogy külső beszállítók számára létrehozott adminisztratív fiókok gyakran alapértelmezetten léteznek éles rendszerekben, a szervezet tudta nélkül.
Rotem Yashar, az Orchid Security kutatója több környezetben is talált olyan vendor-fiókokat, amelyek:
- teljes admin joggal rendelkeztek,
- minden standard hozzáférés-ellenőrzést megkerültek,
- semmilyen láthatóságot nem adtak arról, hogy a beszállító oldalán ki használja őket és mire.
Ez gyakorlatilag kontroll nélküli „hátsó ajtókat” jelent a termelési rendszerekben.
A személyes e-mailek mint identitásmegkerülő útvonal
Karin Berger, az Orchid Security biztonsági kutatója egy másik súlyos mintára hívta fel a figyelmet:
alkalmazások, amelyekbe munkavállalók saját, személyes e-mail címmel (Gmail, ingyenes webmail) regisztrálnak.
Ezek a fiókok:
- teljesen kívül esnek a vállalati e-mail védelem és auditálás körén,
- lehetővé teszik, hogy az adatok consumer-grade infrastruktúrába áramoljanak,
- nem egyszerű policy-sértések, hanem rendszerszintű identitás-megkerülések.
Az ok gyakran prózai: az alkalmazásokat nem integrálták megfelelően az identitásrendszerekkel.
A nem emberi identitások robbanásszerű terjedése
A nem emberi identitások (NHI) – szolgáltatásfiókok, API-kulcsok, automatizmusok – ma a leggyorsabban növekvő és legkevésbé szabályozott identitásréteget alkotják.
Noam Moshka, az Orchid Security elemzője rendszeresen talál:
- tulajdonos nélküli service accountokat,
- lifecycle-menedzsment nélkül hagyott API-kulcsokat,
- automatizmusokat, amelyek jogosultságai sosem kerültek felülvizsgálatra.
Az agentic AI gyors terjedésével ez a kockázat szinte minden vállalatot érinteni fog.
Örökölt identitásadósság felvásárlások után
Az M&A folyamatok során gyakran keletkezik jelentős identitásadósság, amikor az alkalmazásszintű fiókok kiesnek az integrációs folyamatból.
Katya Donchenko, az Orchid Security kutatója olyan eseteket tárt fel, ahol ezek a fiókok:
- teljesen leváltak az alkalmazotti életciklus-kezelésről,
- láthatatlanok maradtak az IAM rendszerek számára,
- azonnali ügyfélbeavatkozást igénylő kockázatot jelentettek.
Ez nem ritka kivétel, hanem gyakori mellékhatása a gyors integrációknak.
A konfigurációtól a megfigyelhető viselkedésig
Az Identity Audit bevezetése az Orchid Security részéről paradigmaváltást jelez:
az identitás többé nem statikus konfiguráció, hanem megfigyelhető viselkedés.
A megközelítés lényege:
- közvetlen betekintés az alkalmazásokba,
- az autentikációs és autorizációs logika elemzése,
- menedzselt és nem menedzselt környezetek egyaránt,
- folyamatos identitás-megfigyelhetőség és auditbizonyíték.
Ez lehetővé teszi, hogy a csapatok ne feltételezések, hanem valós viselkedési adatok alapján hozzanak döntéseket – és végre a teljes képet lássák, ne csak a felét.
