
Itu bukan berita utama ransomware atau eksploitasi nol-hari yang paling menonjol di Laporan Investigasi Pelanggaran Data Verizon 2025 (DBIR) tahun ini-itulah yang memicu mereka. Diam -diam, namun secara konsisten, dua faktor yang mendasari berperan dalam beberapa pelanggaran terburuk: Paparan pihak ketiga Dan Penyalahgunaan Kredensial Mesin.
Menurut 2025 DBIR, keterlibatan pihak ketiga dalam pelanggaran Doubled tahun-ke-tahun, melompat dari 15% hingga 30%. Secara paralel, penyerang semakin mengeksploitasi kredensial mesin dan akun mesin yang tidak diatur untuk mendapatkan akses, meningkatkan hak istimewa, dan mengekspam data sensitif.
Pesannya jelas: tidak lagi cukup untuk melindungi pengguna karyawan Anda sendiri. Untuk benar -benar bertahan melawan ancaman modern, organisasi harus memerintah semua identitas -Manusia, non-karyawan, dan mesin-dalam strategi keamanan terpadu.
Risiko Pihak Ketiga: Memperluas lebih cepat dari yang dapat dikendalikan oleh organisasi
Perusahaan saat ini adalah tambalan kemitraan: kontraktor, vendor, mitra bisnis, penyedia layanan terkelola, afiliasi, dan banyak lagi. Sementara hubungan ini mendorong efisiensi, mereka juga menciptakan ekosistem identitas yang luas. Tanpa tata kelola yang kuat identitas pihak ketiga menjadi titik buta yang matang untuk eksploitasi.
Pelanggaran yang terkait dengan akses pihak ketiga yang sering berasal dari Manajemen Siklus Hidup yang buruk – Misalnya, akun kontraktor dibiarkan aktif setelah proyek berakhir, atau mitra bisnis login dengan hak istimewa yang berlebihan. 2025 DBIR mencatat bahwa tren ini semakin cepat, dan tidak terbatas pada satu industri: perawatan kesehatan, keuangan, manufaktur, dan sektor publik semuanya melaporkan insiden besar yang berasal dari paparan pihak ketiga.
Organisasi harus memperluas tata kelola identitas kepada non-karyawan dengan kekakuan yang sama diterapkan pada staf internal, memastikan visibilitas, akuntabilitas, dan penonaktifan tepat waktu di berbagai pengguna pihak ketiga.
Identitas Mesin: Penjaga gerbang tersembunyi ke sistem kritis
Sementara identitas manusia tetap rentan, identitas mesin adalah risiko yang lebih cepat tumbuh. Akun layanan, bot, RPA, agen AI, API – tenaga kerja digital – meledak dalam jumlah, seringkali tanpa kepemilikan atau pengawasan yang jelas. Saat agen AI berlipat ganda, mereka akan mendorong pertumbuhan identitas mesin – dan kompleksitas – bahkan melampaui apa yang dikelola organisasi saat ini.
2025 DBIR tahun ini menemukan bahwa serangan berbasis kredensial tetap menjadi metode akses awal teratas, dan penyerang semakin menargetkan akun mesin yang tidak diatur untuk masuk. Akun mesin yang tidak dilindungi terikat pada pelanggaran besar dan meningkatkan serangan ransomware.
Taruhannya tumbuh; Namun sebagian besar alat keamanan identitas tradisional masih memperlakukan mesin seperti warga negara kelas dua. Itulah mengapa penting untuk bergerak melampaui manajemen mesin ad hoc ke model yang dibangun untuk skala dan otomatisasi. Untuk menyelam lebih dalam ke masalah, Lihat Whitepaper “Siapa yang menonton mesin?”
Pendekatan terpadu tidak lagi opsional
Tata kelola identitas yang terfragmentasi bukanlah kelemahan lagi. Itu adalah tanggung jawab. Mengelola karyawan dalam satu silo, pengguna pihak ketiga di yang lain, dan mesin-jika sama sekali-dalam daun ketiga retak cukup lebar untuk dilalui penyerang. Mereka tidak perlu melanggar semuanya. Mereka hanya perlu satu pembukaan.
Pelanggaran yang terkait dengan pengguna pihak ketiga dan akun mesin semakin cepat daripada yang terkait dengan karyawan internal-tanda peringatan yang jelas bahwa tata kelola yang tidak konsisten memicu kerentanan baru. Kenyataannya adalah: Identitas adalah identitas. Manusia, non-karyawan, atau mesin, setiap identitas harus dikelola dengan baik, diatur, dan diamankan di bawah strategi terpadu.
Organisasi yang bertahan dari ancaman masa depan bukanlah orang -orang yang mencoba menyelaraskan solusi – mereka adalah orang -orang yang mengakui bahwa mengatur setiap identitas bersama adalah satu -satunya jalan ke depan. Konsolidasi keamanan identitas di seluruh karyawan, kontraktor, mitra, akun layanan, bot, dan agen AI menutup kesenjangan kritis, meningkatkan visibilitas, dan mengeraskan pertahanan ketika itu paling penting.
SailPoint membantu organisasi mengamankan spektrum penuh identitas dengan solusi yang dirancang untuk lingkungan perusahaan yang kompleks saat ini – pada skala perusahaan. Apakah Anda mengelola identitas mesin atau mengamankan akses non-karyawan, SailPoint memberikan pengalaman keamanan identitas terpadu-didukung oleh platform SailPoint Atlas-yang mengubah kekacauan identitas menjadi kejelasan.

Untuk menggali lebih dalam mengapa identitas mesin, membutuhkan pendekatan baru-dan mengapa model tradisional manusia-sentris tidak lagi cukup- Jelajahi seri artikel tiga bagian kami Meliputi apa identitas mesin (dan mengapa definisi itu penting), bagaimana identitas mesin berevolusi di samping identitas manusia, dan mengapa metode tata kelola tradisional gagal di dunia yang digerakkan mesin.
Kesenjangan antara keamanan identitas manusia dan mesin semakin melebar. Saatnya menutupnya – sebelum penyerang melakukannya untuk Anda.
Sumber:
Laporan Investigasi Pelanggaran Data Verizon 2025 (DBIR)