سطح حمله سازمانها دیگر متمرکز بر کاربران، تجهیزات و شبکههای داخلی نیست. در معماریهای جدید دیجیتال، هزاران هویت ماشینی، سرویس ابری، API و عامل نرمافزاری در حال اجرای بخشی از عملیات حیاتی سازمانها هستند که اکنون بیشتر هدف قرار میگیرند. تغییری که بهگفته KPMG، مدل سنتی امنیت سایبری را وارد مرحله از فرسودگی معماری کرده و مساله اصلی را از «محافظت از پیرامون» به «مدیریت هویتها و تعاملات ماشینی» منتقل کرده است.
بهگزارش پیوست، معماری امنیت سازمانی در آستانه تغییر مهمی قرار گرفته، تغییری که منشا آن گسترش بیسابقه هویتهای غیرانسانی، اتوماسیون و وابستگی سازمانها به زیرساختهای ابری و زنجیرههای نرمافزاری توزیعشده است. در این معماری، بخش بزرگی از تعاملات حساس سازمانی دیگر از مسیر کاربران انسانی عبور نمیکند، بلکه از طریق حساب سرویسها، شناسههای پردازشی (Workload Identities)، رابطهای برنامهنویسی، توکنهای دسترسی، گواهیهای دیجیتال مسیرهای توسعه و استقرار نرمافزار (CI/CD Pipelines) و عاملهای نرمافزاری مبتنی بر هوش مصنوعی انجام میشود.
هویتهای غیرانسانی یا Non-Human Identities به حسابها، کلیدها و سرویسهای ماشینی گفته میشود که بدون دخالت انسان در زیرساختهای دیجیتال احراز هویت میشوند و میان سیستمها، Cloudها و APIها ارتباط برقرار میکنند. افزایش شدید این هویتها در معماریهای مدرن، آنها را به یکی از مهمترین نقاط ریسک در امنیت سایبری تبدیل کرده است.
گزارش Cybersecurity Considerations 2026 شرکت KPMG درباره روندی هشدار میدهد که در آن مدیریت هویت و دسترسی دیگر با مدلهای ایستا و انسانمحور قابل اداره نیست. در این چارچوب، «عاملهای سایه» بیش از آنکه تصویر ماشینهای مستقل و تصمیمگیر باشند، نشانهای از کاهش دیدپذیری سازمانیاند. موجودیتهایی که ممکن است در سامانههای نرمافزاری، بسترهای ابری، ابزارهای هوش مصنوعی یا زنجیره تامین دیجیتال فعال باشند، اما در فهرست داراییها، مدل حکمرانی و چارچوب ممیزی سازمان جایگاه روشنی نداشته باشند. خطر اصلی، نه شورش ماشینها، بلکه گسترش لایهای از عملیات ماشینی است که سازمان آن را بهطور کامل نمیبیند.
هشت محور کلیدی تحول امنیت سایبری در ۲۰۲۶
- امنیت هویتهای غیرانسانی و عاملهای مبتنی بر هوش مصنوعی (Non-Human Identities & AI Agents)
- تابآوری عملیاتی و آمادگی برای اختلالهای سایبری (Operational Resilience)
- ریسکهای زنجیره تأمین دیجیتال و وابستگی به طرفهای ثالث (Third-Party & Supply Chain Risk)
- امنیت و حکمرانی محیطهای ابری و چندابری (Cloud & Multi-Cloud Security Governance)
- افزایش پیچیدگی مقرراتگذاری و الزامات انطباق (Regulatory Complexity & Compliance Pressure)
- همگرایی تهدیدات ژئوپلیتیکی و عملیات سایبری (Geopolitical Cyber Risk Convergence)
- کمبود مهارت و بازآرایی نیروی انسانی امنیت سایبری (Cybersecurity Workforce Transformation)
- گسترش سطح حمله ناشی از خودکارسازی، APIها و معماریهای توزیعشده (Expanding Attack Surface Through Automation & Distributed Architectures)
قلمرو خاموش هویتهای عملیاتی
هویتهای غیرانسانی برای عملکرد زیرساخت دیجیتال ضروریاند. چالش از آنجا آغاز میشود که این هویتها اغلب عمر، مالک، سطح دسترسی و چرخه ممیزی روشنی ندارند. در بسیاری از سازمانها، حسابهای سرویس سالها فعال میمانند، توکنها بیش از نیاز واقعی مجوز میگیرند، گواهیها دیر تمدید یا دیر باطل میشوند و وابستگی میان سامانهها بهصورت شفاف مستند نمیشود. در معماریهای ابری و مبتنی بر میکروسرویسها، این وضعیت پیچیدهتر است، زیرا هویتها ممکن است دارای عمر کوتاه، پویا و وابسته به زنجیرهای از سرویسهای خارجی باشند.
هر هویت غیرانسانی حامل بخشی از اعتماد سازمان است و هر اعتماد بیش از حد، یک امکان حرکت جانبی، دسترسی غیرمجاز یا اختلال عملیاتی ایجاد میکند. این منطق در بخشهایی مانند بانکداری، مخابرات، انرژی، سلامت و خدمات دولتی اهمیت بیشتری پیدا میکند، زیرا اختلال در هویتهای ماشینی میتواند از نشت داده فراتر رود و به توقف خدمت، بحران زنجیره تامین یا آسیب به اعتماد عمومی منجر شود.
فاصله میان خودکارسازی و خودمختاری
یکی از خطاهای تحلیلی در بحث امنیت مبتنی بر هوش مصنوعی، یکسان گرفتن خودکارسازی (Automation) با خودمختاری (Autonomy) است. صنعت امنیت هنوز در اغلب حوزهها به مرحلهای نرسیده که ماشینها بهصورت گسترده و مستقل درباره عملیات حساس امنیتی تصمیم بگیرند. آنچه امروز در سازمانها دیده میشود، بیشتر ترکیبی از تحلیل کمکی، اجرای سناریوهای از پیش تعریفشده، اولویتبندی هشدارها و واکنشهای مبتنی بر دستورالعمل است.
در مرکز عملیات امنیت، هوش مصنوعی میتواند حجم زیادی از رخدادها را تحلیل کند، هشدارهای کماهمیت را کنار بگذارد، الگوهای رفتاری غیرعادی را برجسته کند و برای تحلیلگر انسانی پیشنهاد اقدام تولید کند. اما در بیشتر سازمانها، بهویژه در محیطهای حساس، تصمیم نهایی همچنان به سیاست سازمانی، تأیید انسانی یا قواعد سختگیرانه عملیاتی وابسته است.
در تجهیزات زیرساختی مانند روتر، سوئیچ، دیواره آتش (Firewall) و سامانههای عملیاتی، این فاصله حتی بیشتر است. آنچه فروشندگان گاه با عنوان امنیت مبتنی بر هوش مصنوعی معرفی میکنند، در بسیاری موارد شامل تشخیص ناهنجاری، طبقهبندی ترافیک، شناسایی الگو، همبستهسازی رویدادها یا خودکارسازی مبتنی بر نیت است. این قابلیتها ارزشمندند، اما معادل استدلال مستقل نیستند.
بااینحال، بیاهمیت دانستن روند عاملمحور نیز خطاست. گزارش KPMG نیز دقیقا به همین روند اشاره دارد: نه واقعیت مسلط امروز، بلکه جهتگیری معماری امنیت در چند سال آینده.
حکمرانی در تاریکی پلتفرمها
رشد هویتهای ماشینی را نمیتوان جدا از وابستگی سازمانها به بسترهای ابری، فروشندگان نرمافزار بهعنوان خدمت (SaaS)، زنجیرههای توسعه نرمافزار و ارائهدهندگان بزرگ زیرساخت تحلیل کرد. بخش مهمی از داده، پردازش، هویت و پایش امنیتی اکنون در محیطهایی انجام میشود که سازمان مالک کامل آنها نیست. این وضعیت، مرز میان ریسک داخلی و خارجی را کمرنگ کرده است.
در گذشته، مدیر امنیت میتوانست بخش بزرگی از معماری کنترل را درون مرز سازمان تعریف کند. امروز اما هویتهای ماشینی از طریق خدمات ابری، رابطهای برنامهنویسی، ابزارهای شخص ثالث، عاملهای نرمافزاری و پلتفرمهای تحلیلی در چندین حوزه مالکیتی پراکنده شدهاند. این پراکندگی باعث میشود سازمان برای دیدن زیرساخت خود، به همان پلتفرمهایی وابسته باشد که بخشی از ریسک را نیز تولید میکنند.
این وابستگی پیامدهای ژئوپلیتیکی و سیاستی دارد. وقتی بخش قابلتوجهی از هماهنگی هویت (Identity Orchestration)، پردازش رخدادهای امنیتی، تحلیل ترافیک و قابلیتهای هوش مصنوعی امنیتی بر بستر چند ابرفروشنده جهانی متمرکز میشود، مساله کنترل دیجیتال از سطح مدیریت فناوری فراتر میرود. برای دولتها، نهادهای حیاتی و صنایع راهبردی، پرسش اصلی این نیست که کدام ابزار کارآمدتر استبلکه باید پرسید چه کسی لایه دیدپذیری، داده و تصمیمسازی امنیتی را کنترل میکند.
از همین جاست که مقررات جدید سایبری به سمت تابآوری عملیاتی، حاکمیت داده و پاسخگویی حرکت کردهاند. چارچوبهایی مانند NIS2، قانون تابآوری عملیاتی دیجیتال (Digital Operational Resilience Act یا DORA) و مقررات تابآوری نهادهای حیاتی (Critical Entities Resilience یا CER) صرفا درباره جلوگیری از نفوذ نیستند؛ آنها از سازمان میخواهند بتواند نشان دهد که زیرساخت، زنجیره تامین، هویتها و قابلیت بازیابی خود را میشناسد و در شرایط اختلال نیز توان ادامه عملیات دارد.
در این فضا، امنیت هویتهای ماشینی به مسئلهای فراتر از مدیریت دسترسی تبدیل میشود. این حوزه به معماری اعتماد ملی، ثبات خدمت عمومی، امنیت اقتصادی و کنترل زنجیره تامین دیجیتال پیوند میخورد. سازمانی که نداند کدام هویت غیرانسانی به کدام داده، سامانه یا شریک تجاری متصل است، در واقع بخشی از حاکمیت عملیاتی خود را به تاریکی واگذار کرده است.
اقتصاد پنهان کنترل و ممیزی
پیامد اقتصادی این تحول کمتر از پیامد فنی آن نیست. افزایش هویتهای غیرانسانی هزینهای پنهان بر سازمانها تحمیل میکند: هزینه کشف، ثبت، پایش، تمدید، ابطال، ممیزی و محدودسازی دسترسی. این هزینهها در ابتدا در بودجه امنیتی بهروشنی دیده نمیشوند، اما در مقیاس بزرگ به یکی از عوامل اصلی پیچیدگی عملیاتی تبدیل میشوند.
در معماریهای مدرن، یک خطای کوچک در مدیریت چرخه عمر گواهیها (Certificate Lifecycle Management)، چرخش اعتبارنامهها، تنظیم مجوزهای حساب سرویس یا کنترل دسترسی میان سرویسها میتواند پیامدهایی فراتر از یک رخداد امنیتی داشته باشد. اختلال در یک هویت ماشینی ممکن است سرویس را متوقف کند، افشای آن ممکن است مسیر نفوذ ایجاد کند و مجوز بیش از حد آن ممکن است دامنه رخداد را گسترش دهد.
به همین دلیل، بازار امنیت بهتدریج از حفاظت پیرامونی و ابزارهای منفرد به سمت دیدپذیری هویت، مدیریت وضعیت امنیت هویت (Identity Security Posture Management)، تشخیص و پاسخ به تهدیدات هویتی (Identity Threat Detection and Response) و پایش زمان اجرا (Runtime Monitoring) حرکت میکند. این جابهجایی نشان میدهد که ارزش اصلی دیگر صرفا در شناسایی بدافزار یا مسدودسازی ترافیک نیست، بلکه در فهم این است که چه موجودیتی، با چه مجوزی، در چه زمینهای و به نمایندگی از چه فرآیندی عمل میکند.
در صنایع حیاتی، این منطق اهمیت دوچندان دارد. وقتی هویتهای ماشینی به سامانههای صنعتی، شبکههای انرژی، سامانههای درمانی یا زیرساختهای ارتباطی متصل میشوند، خطا یا سوءاستفاده میتواند اثر فیزیکی و اجتماعی داشته باشد. به همین دلیل، مدیریت هویتهای غیرانسانی بهتدریج از یک حوزه تخصصی امنیت اطلاعات به بخشی از برنامه تابآوری سازمانی و حتی ملی تبدیل میشود.
جمعبندی
هویتهای غیرانسانی در وضعیت فعلی صنعت امنیت، عموما موجودیتهایی هوشمند و تصمیمگیر نیستند. آنها اغلب بر پایه سیاست، پیکربندی، سناریوهای از پیش تعریفشده و منطق اجرایی مشخص عمل میکنند. در تجهیزات شبکه، سامانههای عملیاتی و بسیاری از سرورهای سازمانی، آنچه دیده میشود عمدتا کنترل قاعدهمند و خودکارسازی محدود است، نه خودمختاری امنیتی.
بااینحال، همین واقعیت نباید اهمیت تحول را کمرنگ کند. مساله بنیادین، انفجار تعداد هویتهای ماشینی، پراکندگی آنها در محیطهای ابری و زنجیره تامین، افزایش مجوزهای پنهان و کاهش دیدپذیری سازمانی است. اینها صرفا سناریوهای آیندهنگرانه نیستند و باید آنها را ریسکهایی واقعی و فعال دانست.
جهت حرکت صنعت نیز روشن است. امنیت سازمانی بهتدریج از کنترل کاربران و دستگاهها به حکمرانی بر هویتها، رفتارها و تعاملات ماشینی منتقل میشود. عاملهای مبتنی بر هوش مصنوعی ممکن است هنوز در بسیاری از حوزهها نقش محدود و کنترلشده داشته باشند، اما معماریای که آنها در آن رشد میکنند همین امروز نیز نیازمند بازطراحی است.
در نهایت، مزیت راهبردی متعلق به سازمانهایی خواهد بود که میان خودکارسازی، نظارت انسانی، حاکمیت داده و کنترل هویت تعادل برقرار کنند. آینده امنیت سایبری نه با رها کردن تصمیمگیری به ماشینها، بلکه با توانایی دیدن و govern کردن اکوسیستم ماشینی سازمان شکل خواهد گرفت.
گزارش ملاحظات راهبردی امنیت سایبری در سال ۲۰۲۶
منبع
