Identidades Não Humanas (INH) e Sua Prevalência na Indústria de Tecnologia
O que é o Compliance e Qual a Sua Importância para a Governança Corporativa
30 de maio de 2024
Não Basta Avaliar o Desempenho: É Preciso Fazer Gestão Dele
11 de junho de 2024Identidades Não Humanas (INH) e Sua Prevalência na Indústria de Tecnologia
A revolução tecnológica não trouxe apenas avanços em termos de dispositivos e conectividade, mas também uma mudança significativa na forma como lidamos com identidades digitais. Continue a leitura do artigo e entenda o impacto e como funcionam as INH (Identidades Não Humanas)!
INH: o que são e o impacto na tecnologia
As Identidades Não Humanas (INH) estão se tornando uma parte crucial do ecossistema digital, especialmente com a ampla adoção de práticas como DevOps, Inteligência Artificial (IA), Cloud e Micro Serviços. Hoje, as INH superam as identidades humanas vivas em mais de 45 vezes, o que destaca sua prevalência e importância.
Com a transformação digital, a automação de tarefas e a gestão de serviços na nuvem, o número de identidades não humanas disparou. Estas identidades incluem desde máquinas, aplicações, serviços até dispositivos IoT (Internet das Coisas). Na prática, isso significa que a maioria das “contas de usuário” em sistemas modernos não pertence a humanos, mas a essas entidades digitais automatizadas.
Essa proliferação de INH traz consigo novos desafios de segurança. Tradicionalmente, a autenticação e o controle de acesso baseavam-se em credenciais estáticas, como nomes de usuário e senhas.
No entanto, estudos mostram que as violações de dados são frequentemente facilitadas por credenciais comprometidas. Segundo um estudo da Identity Defined Security Alliance (IDSA), 94% das organizações pesquisadas sofreram ataques relacionados à identidade, e a maioria desses ataques poderia ter sido evitada com controles adequados.
Existem ameaças nas INHs?
As INH não estão imunes a essas ameaças. Pelo contrário, a natureza automatizada e a grande quantidade de identidades não humanas criam um cenário propício para explorações maliciosas. Exemplos recentes ilustram a gravidade dessa questão:
- Roubo de Código-Fonte da Mercedes Benz: Identidades não humanas foram exploradas para acessar e exfiltrar código-fonte valioso da Mercedes Benz, demonstrando como essas identidades podem ser alvos lucrativos para cibercriminosos.
- Violação da Cloudflare via Okta: Quando o Okta, um provedor de identidade, foi comprometido, segredos e chaves de acesso armazenados na Cloudflare foram roubados, destacando a interconexão e a vulnerabilidade das INH em ambientes integrados.
- Exposição de Dados pela Microsoft no GitHub: A Microsoft acidentalmente publicou dados altamente sensíveis no GitHub, uma plataforma de repositório de código, devido ao mau gerenciamento de identidades não humanas, evidenciando a necessidade de melhores práticas de controle de acesso.
Para mitigar esses riscos, as organizações precisam ir além dos modelos tradicionais de autenticação. Uma abordagem emergente é o uso de tokens efêmeros baseados em certificados, que substituem as senhas estáticas por credenciais temporárias e dinâmicas.
Esse método garante que cada acesso seja autenticado e autorizado de forma segura, eliminando a necessidade de privilégios permanentes e reduzindo significativamente o risco de ataques baseados em identidade.
Em resumo, as Identidades Não Humanas são um componente inevitável e crescente no panorama tecnológico atual. A sua gestão e proteção adequadas são cruciais para manter a segurança e a integridade dos sistemas digitais.
A transição para métodos de autenticação dinâmica, como os tokens efêmeros, representa um passo importante para enfrentar esses desafios e proteger as organizações contra as ameaças emergentes associadas às INH.
Para mais detalhes e estratégias sobre como lidar com as INH, consulte o artigo “Non-Human Identities: The New Blindspot in Cybersecurity” por Torsten George.
