Está cada vez mais complexo definir o perímetro de TI e, com isso, as identidades não humanas (NHIs) se tornaram um vetor de ataque propício para os criminosos cibernéticos. Inclusive vêm atuando em várias violações recentes de alto perfil.
Quando falamos sobre o novo perímetro de redes, precisamos lembrar que os modelos de segurança de zero trust estão perdendo força, e parecem promissores até o momento da implementação. O gerenciamento de acesso a identidades (IAM) traz uma maneira mais intuitiva e de fácil uso para implementar o zero trust, especialmente porque o IAM pode se adaptar ao perfil de segurança de dados, às operações e aos processos de TI de uma empresa.
Resumindo: a identidade ainda é o novo perímetro em 2025. Mas “identidade” passou a ter uma definição muito mais ampla este ano. São as que chamo de identidades de zumbis (ou seja, contas de usuários não utilizadas ou esquecidas), os “mortos-vivos” ou não humanos que roubam os seus dados.
A multiplicação das identidades não humanas
Táticas de identidade e segurança que se concentram no gerenciamento apenas de identidades humanas deixarão de detectar um número cada vez maior de vetores de ataque em potencial na forma de identidades não humanas (NHIs). As NHIs incluem chaves de API, agentes de fluxo de trabalho automatizados, cookies, assistentes de IA e IDs de máquina mal configurados. As NHIs costumam ser legítimas, e existem muitas delas. Estima-se que elas superem as identidades humanas em um fator de 100 para 1 na empresa média — uma métrica que ficará ainda mais desequilibrada com o tempo.
Os cibercriminosos identificaram as NHIs como um vetor de ataque promissor. É fácil que elas passem despercebidas, porque elas frequentemente existem no nível do código e podem não ter uma propriedade clara. Os desenvolvedores podem atribuir credenciais a essas entidades para ajudar a acelerar o processo de desenvolvimento. E o pior de tudo é que muitas vezes não têm gerenciamento de ciclo de vida, o que significa que persistem por muito tempo após serem usadas.
As NHIs comprometidas estiveram presentes em alguns casos recentes de grande visibilidade, incluindo uma violação de segurança no Departamento do Tesouro dos EUA envolvendo uma chave de API comprometida, uma violação de dados da Toyota com a exposição de uma chave secreta no GitHub, e, por fim, até o New York Times expôs um token do GitHub, resultando no vazamento de 5.600 repositórios de código online.
A solução para evitar essas violações pode ser simples: gerenciar cada credencial, chave, token e identidade não humanos com as mesmas técnicas, processos e rigor aplicados às identidades humanas.
Por que essa legião de contas é uma ameaça?
Hoje em dia, está crescendo o interesse por uma abordagem específica dentro da gestão de identidade e acesso (IAM), chamada zero standing privilege (privilégio zero permanente).
Em muitas empresas, os sistemas de segurança são ótimos em dar acesso às pessoas certas na hora certa. Por exemplo, quando alguém é contratado ou muda de cargo, rapidamente recebe acesso aos sistemas, pastas e informações que precisa. O problema é que esses mesmos sistemas nem sempre são tão bons em retirar esses acessos quando a pessoa sai da empresa ou muda de função.
Aí acontece um risco comum: uma pessoa que saiu da empresa ou foi transferida pode deixar para trás credenciais (usuários, senhas, acessos) que continuam existindo, mesmo sem serem mais usadas. É como se essas credenciais ficassem em um “limbo”, nem ativas, nem totalmente apagadas.
Isso abre uma porta perigosa, porque essas credenciais esquecidas podem acabar sendo exploradas por hackers, por exemplo.
O modelo de zero standing privilege tenta mudar isso. A ideia é que ninguém tenha acesso permanente a sistemas críticos. Os acessos são liberados só por um tempo determinado e para tarefas específicas, e depois são automaticamente cortados.
Como sobreviver ao ataque às contas zumbis?
O foco agora é o quão evoluído o ecossistema do cibercrime se tornou. Sabemos bastante sobre ransomware, sobre os corretores de dados para golpes e dos hackers que buscam o que está ao seu alcance, ou seja, aqueles que roubam dados de plataformas ou aplicações de armazenamento mal protegidos ou vulneráveis.
Mas, abaixo dessas camadas, existem agentes que usam malware infostealer para roubar dados em uso. Esse malware pode estar oculto em anúncios online, anexos de e-mail, aplicativos de mensagens, mensagens de mídia social ou resultados de pesquisa maliciosos. Uma vez ativado secretamente, o malware infostealer coleta capturas de tela, conteúdo de campos, texto da área de transferência — qualquer coisa que um invasor possa vender posteriormente — do dispositivo host e de seu tráfego de redes.
Se houver credenciais ocultas na massa de dados roubados, outro agente no ecossistema analisará e as encontrará antes de repassá-las a um corretor de dados. A maioria dos malwares infostealer é implementada em massa como parte de campanhas, mas o malware também pode ter como alvo empresas ou até mesmo indivíduos específicos. Estes são apenas os dados mais recentes que mostram que os perímetros de TI continuam a se transformar, o que significa que identidades de todos os tipos precisam de ser geridas durante o ciclo de vida.
Para se proteger contra ameaças de uma economia criminosa cada vez mais sofisticada, o gerenciamento de acesso a identidades precisa se tornar ainda mais criterioso na forma como enxerga a identidade para repelir os criminosos e se adaptar a uma ampla variedade de cenários de risco.
Por Paulo de Godoy, country manager da Pure Storage.
