A revolução tecnológica não trouxe apenas avanços em termos de dispositivos e conectividade, mas também uma mudança significativa na forma como lidamos com identidades digitais. Continue a leitura do artigo e entenda o impacto e como funcionam as INH (Identidades Não Humanas)!

INH: o que são e o impacto na tecnologia

As Identidades Não Humanas (INH) estão se tornando uma parte crucial do ecossistema digital, especialmente com a ampla adoção de práticas como DevOps, Inteligência Artificial (IA), Cloud e Micro Serviços. Hoje, as INH superam as identidades humanas vivas em mais de 45 vezes, o que destaca sua prevalência e importância.

Com a transformação digital, a automação de tarefas e a gestão de serviços na nuvem, o número de identidades não humanas disparou. Estas identidades incluem desde máquinas, aplicações, serviços até dispositivos IoT (Internet das Coisas). Na prática, isso significa que a maioria das “contas de usuário” em sistemas modernos não pertence a humanos, mas a essas entidades digitais automatizadas.

Essa proliferação de INH traz consigo novos desafios de segurança. Tradicionalmente, a autenticação e o controle de acesso baseavam-se em credenciais estáticas, como nomes de usuário e senhas.

No entanto, estudos mostram que as violações de dados são frequentemente facilitadas por credenciais comprometidas. Segundo um estudo da Identity Defined Security Alliance (IDSA), 94% das organizações pesquisadas sofreram ataques relacionados à identidade, e a maioria desses ataques poderia ter sido evitada com controles adequados.

Existem ameaças nas INHs?

As INH não estão imunes a essas ameaças. Pelo contrário, a natureza automatizada e a grande quantidade de identidades não humanas criam um cenário propício para explorações maliciosas. Exemplos recentes ilustram a gravidade dessa questão:

• Roubo de Código-Fonte da Mercedes Benz: Identidades não humanas foram exploradas para acessar e exfiltrar código-fonte valioso da Mercedes Benz, demonstrando como essas identidades podem ser alvos lucrativos para cibercriminosos.
• Violação da Cloudflare via Okta: Quando o Okta, um provedor de identidade, foi comprometido, segredos e chaves de acesso armazenados na Cloudflare foram roubados, destacando a interconexão e a vulnerabilidade das INH em ambientes integrados.
• Exposição de Dados pela Microsoft no GitHub: A Microsoft acidentalmente publicou dados altamente sensíveis no GitHub, uma plataforma de repositório de código, devido ao mau gerenciamento de identidades não humanas, evidenciando a necessidade de melhores práticas de controle de acesso.

Para mitigar esses riscos, as organizações precisam ir além dos modelos tradicionais de autenticação. Uma abordagem emergente é o uso de tokens efêmeros baseados em certificados, que substituem as senhas estáticas por credenciais temporárias e dinâmicas. 

Esse método garante que cada acesso seja autenticado e autorizado de forma segura, eliminando a necessidade de privilégios permanentes e reduzindo significativamente o risco de ataques baseados em identidade.

Em resumo, as Identidades Não Humanas são um componente inevitável e crescente no panorama tecnológico atual. A sua gestão e proteção adequadas são cruciais para manter a segurança e a integridade dos sistemas digitais. 

A transição para métodos de autenticação dinâmica, como os tokens efêmeros, representa um passo importante para enfrentar esses desafios e proteger as organizações contra as ameaças emergentes associadas às INH.

Para mais detalhes e estratégias sobre como lidar com as INH, consulte o artigo “Non-Human Identities: The New Blindspot in Cybersecurity” por Torsten George.