Guia do CISO para a segurança de identidades não humanas

O que são identidades não humanas?

À primeira vista, o termo “identidade não humana” pareceria incluir qualquer coisa que não seja uma pessoa, como servidores, dispositivos, cargas de trabalho, contas de serviço, etc. No entanto, a concepção de identidade no setor evoluiu. Em ambientes legados, as identidades de máquina geralmente se referem a certificados, chaves SSH, contas de dispositivos ou contas de serviço vinculadas a sistemas operacionais ou hardware. Essas identidades eram relativamente estáticas, previsíveis e estavam estreitamente alinhadas com as pilhas de infraestrutura. No entanto, em um ambiente nativo da nuvem e impulsionado por API, essa definição já não é suficiente. As NHI abrangem um conjunto de identidades muito mais amplo e dinâmico, que inclui o seguinte:

• Identidades de cargas de trabalho. Estas representam cargas de trabalho na nuvem — máquinas virtuais, contêineres, funções sem servidor — às quais é permitido autenticar-se nos recursos da nuvem. Alguns exemplos são as funções de gerenciamento de identidades e acesso (IAM) da AWS para EC2 ou Lambda, as identidades gerenciadas do Azure e as contas de serviço do Google Cloud. Essas identidades geralmente têm uma vida útil que varia de microssegundos a horas e, com frequência, geram credenciais temporárias.
• Contas de serviço. Estas incluem contas de sistema operacional ou de aplicativo utilizadas por serviços internos, aplicativos, bancos de dados ou sistemas de backup. Frequentemente, elas executam processos em segundo plano ou tarefas agendadas. Apesar de serem uma das formas mais antigas de NHI, continuam sendo uma das menos regulamentadas e com maiores privilégios.
• Identidades de aplicativo. Trata-se de componentes de software, como APIs, microsserviços e aplicativos web, que se autenticam em bancos de dados, intermediários de mensagens ou APIs de terceiros. Essas identidades podem utilizar tokens de API, segredos de OAuth ou chaves integradas.
• Segredos e chaves de API. Entre eles estão as credenciais utilizadas diretamente por softwares, scripts, pipelines de automação ou modelos de infraestrutura como código. Frequentemente, representam chaves de API — SaaS, nuvem, gateways de pagamento; strings de conexão a bancos de dados; segredos de cliente OAuth; tokens do GitHub e GitLab; e tokens de registro de contêineres.
• Identidades compostas de IA e aprendizado de máquina. Com o surgimento de agentes de IA, fluxos de trabalho impulsionados por modelos de linguagem em grande escala e processos autônomos, os processos baseados em modelos criam e utilizam identidades para chamar APIs, recuperar dados ou realizar ações automatizadas.
• Identidades de OT e IoT. Sensores, sistemas de controle industrial, câmeras, dispositivos médicos e outros sistemas integrados se autenticam em consoles de gerenciamento ou coletores de dados. Frequentemente, utilizam credenciais fracas ou predefinidas de fábrica, a menos que sejam explicitamente regulamentados.

Embora as identidades de máquina e as NHI se sobreponham, as NHI apresentam as três diferenças fundamentais a seguir:

• Escala. As identidades de máquina tradicionais — certificados, contas de dispositivos — são relativamente poucas e de longa duração. As NHI atingem escalas de dezenas de milhares ou milhões e são criadas dinamicamente por meio de pipelines de integração contínua/entrega contínua (CI/CD), cargas de trabalho com autoescala, IA e infraestrutura de autorreparação, além de automação baseada em eventos. A maioria das ferramentas legadas de IAM e gerenciamento de acesso privilegiado (PAM) nunca foi projetada para gerenciar esse nível de volume e rotatividade.
• Diversidade de métodos de autenticação. As identidades de máquina têm historicamente utilizado certificados ou Kerberos para se autenticar. As NHI se autenticam utilizando uma gama muito mais ampla de métodos, incluindo tokens JSON da web, funções de IAM na nuvem, segredos OAuth2/Open ID Connect, chaves de API de longa duração e muito mais. Cada um deles requer governança, rotação, gerenciamento do ciclo de vida e tratamento de telemetria exclusivos.
• Maior autonomia. As NHI costumam ser mais autônomas do que as identidades de máquina tradicionais e, em muitos casos, realizam ações de forma independente. Elas iniciam chamadas à API, transferem dados, ativam recursos, executam scripts e interagem com sistemas críticos. Essa autonomia implica que as NHI podem causar danos em grande escala com extrema rapidez se forem comprometidas, e é possível que os controles de segurança tradicionais não detectem o comportamento das NHI como anômalo.

Desafios da proteção das NHI

As NHI representam uma nova classe de riscos de identidade de grande impacto e em rápida evolução que não podem ser facilmente abordados com as ferramentas existentes nem com os modelos mentais utilizados para identidades humanas. Esse desafio se agrava ainda mais à medida que as organizações aceleram a automação e a adoção da nuvem. A proliferação das NHI também cresce mais rapidamente do que a maturidade da governança.

Os seguintes problemas tornam as NHI especialmente difíceis de proteger:

• Falta de propriedade e responsabilidade. As NHI são frequentemente criadas automaticamente por equipes de infraestrutura, processos de DevOps, equipes de aplicativos e integrações SaaS. Em muitos casos, não há uma noção clara de quem é o proprietário da identidade, quem controla e aprova as permissões, ou quem deve fazer a rotação de chaves, etc. Essa lacuna de propriedade resulta em identidades que persistem por muito mais tempo do que o previsto.
• Privilégios excessivos. As NHI geralmente recebem permissões amplas e superdimensionadas, incluindo funções IAM genéricas na nuvem, contas de serviço com direitos completos de administrador de domínio e chaves de API com escopos completos de leitura/gravação.

Como as NHI automatizam os processos de negócios, as equipes temem interromper seu funcionamento e evitam reduzir os privilégios. Como resultado, uma ampla gama de identidades pode acessar quantidades massivas de dados confidenciais ou a infraestrutura.

• Credenciais de longa duração e codificadas de forma estática. Muitos NHI dependem de chaves de API que nunca são renovadas, segredos codificados estaticamente em repositórios de código, credenciais armazenadas em arquivos de configuração ou scripts, e segredos compartilhados que são reutilizados em diferentes aplicações. Isso gera uma alta probabilidade de vazamento de credenciais, muitas vezes como resultado de erros de desenvolvedores, configurações incorretas ou registros de CI/CD que expõem segredos.
• Falta de referências de comportamento. O comportamento dos usuários humanos é relativamente previsível. Os logins ocorrem dentro do horário comercial, as contas de usuário raramente realizam milhares de chamadas à API por minuto e os padrões de acesso geralmente correspondem às funções do cargo. As NHI são mais difíceis de caracterizar, com uso de alta frequência da API, picos de atividade automatizados, padrões irregulares impulsionados por fluxos de trabalho ou gatilhos e uma possível interação com inúmeros sistemas. Isso torna a detecção de anomalias mais complexa e difícil de ajustar.
• Telemetria e monitoramento limitados. As ferramentas de segurança foram projetadas com base nos padrões de identidade humana. Os produtos SIEM, de análise de comportamento de usuários e entidades e PAM muitas vezes não analisam os registros de autenticação das NHI nem modelam a pontuação de risco das NHI, e podem carecer de visibilidade sobre a comunicação entre serviços. Mesmo na nuvem, onde existem registros abundantes de IAM, esses arquivos podem ser ruidosos, prolixos e estar dispersos entre diferentes serviços.
• Propagação de credenciais em integrações multicloud e SaaS. Como muitas organizações utilizam NHI para conectar ambientes em nuvem, ferramentas de CI/CD, plataformas SaaS e infraestrutura local tradicional, os segredos costumam ser duplicados ou reutilizados em múltiplos sistemas, o que dificulta a correção e a rotação caso uma única identidade seja comprometida.

Como proteger os NHI

O modelo zero trust, uma técnica de segurança preferida por muitas organizações, é difícil de aplicar aos cenários de NHI. O zero trust baseia-se em conceitos e controles como autenticação contínua, verificação explícita e acesso baseado no contexto. No caso das NHI, esses controles são mais difíceis de implementar porque, em muitos casos, as NHI não dispõem de uma sessão. Além disso, o estado do dispositivo é irrelevante; os sinais de contexto, como localização e comportamento, são mais difíceis de definir e modelar; e os controles mais recentes, como a MFA adaptativa, geralmente não são aplicáveis. Isso deixa as organizações com muito menos mecanismos para controlar o acesso.

Para gerenciar com eficácia a segurança das NHI, as organizações devem mudar suas estratégias, utilizando uma estrutura que gerencie todo o ciclo de vida das NHI, desde a criação até o monitoramento e a retirada.

Estabeleça a classificação e a propriedade das NHI

Crie uma taxonomia de NHI para toda a empresa com categorias que incluam contas de serviço, identidades de carga de trabalho, chaves de API e tokens de aplicativos e serviços. Cada identidade deve ter um proprietário claro, responsável pelas aprovações de permissões, políticas de rotação, revisões de uso e eliminação ou retirada.

Implemente os princípios de privilégios mínimos para as NHI. Adote as melhores práticas nativas da nuvem, como o uso de tokens de escopo limitado com permissões mínimas, evitando permissões genéricas ou funções administrativas sempre que possível, utilizando funções de IAM na nuvem em vez de credenciais estáticas e aplicando a microsegmentação para limitar o alcance dos incidentes sempre que viável. No caso de contas de serviço, mude de privilégios para todo o domínio para permissões específicas para cada tarefa.

Centralize o gerenciamento de segredos e credenciais

Substitua credenciais estáticas ou codificadas de forma fixa por gerenciadores de segredos, como AWS Secrets Manager, HashiCorp Vault ou Azure Key Vault; intermediários de credenciais; federação de identidades com tokens de curta duração; e fluxos de trabalho de rotação automatizados. Nunca armazene segredos em locais como repositórios Git, registros de CI/CD, playbooks do Terraform ou Ansible, ou imagens de contêineres. As credenciais estáticas devem ser utilizadas como último recurso.

Se possível, implemente monitoramento contínuo e análise de comportamento para as NHI que abranjam os padrões de autenticação de serviço para serviço. Acompanhe a frequência de acesso às NHI, as chamadas de API e os picos de erros, e crie linhas de base de comportamento para as cargas de trabalho e as contas de serviço. As plataformas em nuvem fornecem registros, como o AWS CloudTrail ou os registros de login do Microsoft Entra ID, mas as equipes devem agregá-los e interpretá-los levando em conta o contexto da organização.

Automatize, automatize, automatize

A governança manual de identidades não é escalável. Utilize a automação para realizar ações comuns, como a aprovação automática de conjuntos de permissões com privilégios mínimos, a revogação automática de NHI não utilizados, a rotação automática de segredos de acordo com um cronograma e a retirada de identidades quando as cargas de trabalho forem desativadas. Os pipelines de CI/CD devem gerar credenciais efêmeras que desapareçam com a carga de trabalho.

Trabalhe em direção ao modelo zero trust implementando o seguinte:

• TLS mútuo entre serviços, malha de serviços ou estruturas de identidade de cargas de trabalho, como SPIFFE/SPIRE.
• Verificação contínua de identidade em cada chamada à API.
• Aplicação de políticas com base no contexto da identidade.

Esses controles ajudam a garantir que a comunicação entre serviços seja autenticada, autorizada e auditável.

Teste a resiliência e a resposta a incidentes relacionados a NHIs

Realize exercícios periódicos, como simulações de roubo de tokens, testes de repetição de chaves de API e simulações de comprometimento de cargas de trabalho. Durante esses exercícios, valide a visibilidade dos registros, determine o raio de impacto, teste a velocidade de revogação e rotação e confirme se os sistemas posteriores detectam anomalias.

Os NHI agora e no futuro

À medida que as organizações aceleram a automação, a comunicação entre máquinas, a adoção da nuvem e a integração da IA, a segurança dos NHI ganhará maior importância. Esse crescimento acarreta uma proliferação de credenciais, propriedade pouco clara, contas de serviço com privilégios excessivos, fluxos de autenticação difíceis de monitorar e outros riscos.

As equipes de segurança devem adaptar suas estratégias de governança de identidades para abranger essa nova realidade. O futuro da segurança de identidades reside no gerenciamento automatizado do ciclo de vida, na aplicação do princípio dos privilégios mínimos, na análise de comportamento e em um gerenciamento robusto de credenciais adaptado à natureza das NHI, e não à dos seres humanos. As organizações que adotarem essa mudança reforçarão sua resiliência, reduzirão sua superfície de ataque e estarão muito mais bem preparadas para um mundo em que o trabalho é realizado cada vez menos por pessoas e cada vez mais por agentes digitais autônomos.

Sobre o autor: Dave Shackleford é fundador e consultor sênior da Voodoo Security, além de analista, instrutor e autor de cursos da SANS, e diretor técnico da GIAC.