2026-06-05 00:00
← VoltarUm novo relatório descobriu que 74% das organizações com IA levarão a mais ataques à infraestrutura de identidade. No entanto, muitas organizações estão entregando à IA as chaves de sistemas sensíveis antes de garantirem proteções em torno dessas identidades. 93% já usam ou planejam usar agentes de IA para redefinições de senha, acesso VPN ou outras tarefas de segurança confidenciais. 92% do relatório está instalado em pelo menos algumas máquinas locais, possuindo a capacidade de acessar SSH e chaves de criptografia. No entanto, no caso de a IA expor credenciais de administrador, apenas 32% globalmente estão muito confiantes na sua capacidade de recuperar o controlo. As identidades de IA são totalmente registradas, autenticadas e autorizadas em um sistema formal entre apenas 65% das organizações pesquisadas. Preocupantemente, 6% admitem não rastrear as identidades. Abaixo, os líderes de segurança discutem as implicações destas descobertas, discutem as principais conclusões e partilham conselhos para mitigar os riscos.
Líderes de segurança avaliam Shane Barney, diretor de segurança da informação da Keeper Security: As equipes de segurança não podem mais ver a identidade como um desafio apenas humano. Hoje, contas de serviço, chaves de API, credenciais de máquina, scripts de automação, agentes de IA e outras identidades não humanas (NHIs) geralmente superam o número de usuários humanos em dezenas ou até centenas para um. À medida que as organizações adotam a infraestrutura em...
Um novo relatório descobriu que 74% das organizações com IA levarão a mais ataques à infraestrutura de identidade. No entanto, muitas organizações estão entregando à IA as chaves de sistemas sensíveis antes de garantirem proteções em torno dessas identidades. 93% já usam ou planejam usar agentes de IA para redefinições de senha, acesso VPN ou outras tarefas de segurança confidenciais. 92% do relatório está instalado em pelo menos algumas máquinas locais, possuindo a capacidade de acessar SSH e chaves de criptografia. No entanto, no caso de a IA expor credenciais de administrador, apenas 32% globalmente estão muito confiantes na sua capacidade de recuperar o controlo. As identidades de IA são totalmente registradas, autenticadas e autorizadas em um sistema formal entre apenas 65% das organizações pesquisadas. Preocupantemente, 6% admitem não rastrear as identidades. Abaixo, os líderes de segurança discutem as implicações destas descobertas, discutem as principais conclusões e partilham conselhos para mitigar os riscos.
Líderes de segurança avaliam Shane Barney, diretor de segurança da informação da Keeper Security: As equipes de segurança não podem mais ver a identidade como um desafio apenas humano. Hoje, contas de serviço, chaves de API, credenciais de máquina, scripts de automação, agentes de IA e outras identidades não humanas (NHIs) geralmente superam o número de usuários humanos em dezenas ou até centenas para um. À medida que as organizações adotam a infraestrutura em nuvem, os pipelines DevOps, a IA e a automação, os NHIs tornaram-se fundamentais para as operações de negócios — e uma superfície de ataque em rápida expansão. A mudança de mentalidade está passando da segurança centrada no perímetro para a segurança centrada na identidade. Cada identidade, seja humana ou não humana, deve ser continuamente autenticada, autorizada e monitorizada sob um modelo de confiança zero. A suposição de que as identidades das máquinas são inerentemente seguras porque operam em segundo plano é exatamente com que os invasores estão contando. Cada credencial, token, segredo e certificado deve ser tratado como um ativo privilegiado que requer visibilidade, governança e gerenciamento do ciclo de vida. Esta evolução reflete o que vimos com o gerenciamento de acesso privilegiado.
Os líderes de segurança devem assumir a violação, eliminar a confiança implícita e aplicar aos NHI o mesmo rigor que já aplicam aos administradores humanos. À medida que a adoção da IA acelera, isto torna-se ainda mais importante porque cada agente de IA introduz uma nova identidade, um novo caminho de acesso e uma nova obrigação de conformidade. A gestão do SNS totalmente autónoma, sem supervisão humana, não é o objectivo e não deveria ser. O objectivo é a governação automatizada – sistemática, consistente e aplicada por políticas – com humanos retidos na função de supervisão. As organizações devem estabelecer sistemas que descubram automaticamente novas identidades de máquinas, classifiquem riscos, apliquem políticas, alternem credenciais e alertem as equipes de segurança sobre comportamentos incomuns. A automação reduz a carga operacional e ao mesmo tempo garante a consistência. Os programas bem sucedidos começam com uma forte governação de identidade. Cada NHI deve ter um proprietário designado, um propósito definido e um ciclo de vida documentado.
As políticas devem ditar como as identidades são criadas, aprovadas, monitorizadas e desactivadas. À medida que os agentes de IA se tornam mais comuns, as organizações também devem tratá-los como identidades privilegiadas. Isso significa limites operacionais claramente definidos, acesso com privilégios mínimos, monitoramento contínuo e um registro de auditoria completo de tudo o que tocam. Os sistemas autónomos funcionam melhor quando combinados com supervisão humana e estruturas de governação sólidas. James Maude, CTO de campo da BeyondTrust: O C-Suite, os CISOs e os CSOs precisam olhar além das visões isoladas de identidades obviamente privilegiadas e ter uma visão holística das combinações de privilégios, direitos e funções que podem ser exploradas por um invasor para elevar privilégios, mover-se lateralmente e infligir danos. A dívida de segurança de identidade acumulada por muitas organizações representa um risco muito maior do que qualquer outra área, pois basta que o invasor faça login usando a identidade correta e tudo estará perdido devido aos caminhos para privilégios que abundam em seu ambiente. Compreender e reduzir a superfície de ataque à sua identidade deve estar na vanguarda do pensamento de todas as organizações quando se trata de avançar na defesa cibernética. Elad Luz, Chefe de Pesquisa da Oasis Security: Para reduzir os riscos associados às Identidades Não-Humanas (NHIs), as equipes de segurança precisam implementar práticas modernas de gerenciamento de identidade, governança forte e controles de segurança proativos.
Sempre que possível, as organizações devem fazer a transição para identidades nativas da nuvem e estabelecer uma estratégia abrangente de gestão do ciclo de vida para os NHIs que não podem ser migrados. Manter uma boa higiene de identidade é fundamental – isto inclui a remoção de NHIs obsoletos ou não utilizados, a realização de revisões regulares de acesso e a garantia de que os NHIs sigam o Princípio do Mínimo Privilégio (PoLP), concedendo apenas as permissões mínimas necessárias. Um programa estruturado de política e aplicação deve ser construído em torno de análises de risco e estruturas de conformidade, garantindo que os NHIs estejam alinhados com as melhores práticas de segurança e com os requisitos regulamentares. A adoção de credenciais de curta duração, rotação automatizada de credenciais e identidades gerenciadas pode minimizar ainda mais o risco, limitando a exposição. A colaboração com equipes de desenvolvimento de aplicativos e DevSecOps também é essencial para integrar essas medidas de segurança sem interromper os fluxos de trabalho, garantindo que os NHIs permaneçam seguros e, ao mesmo tempo, mantendo a eficiência operacional. Ao tratar os NHIs com o mesmo nível de supervisão que as identidades humanas, as organizações podem mitigar os riscos e, ao mesmo tempo, manter a agilidade e a escalabilidade em seus ambientes de desenvolvimento e de nuvem. A ascensão dos agentes de IA introduzirá novos desafios de segurança para os NHIs. Esses agentes geralmente operam sob contas de máquinas ou identidades de serviço, agindo em nome de usuários humanos, o que torna difícil rastrear permissões, monitorar o uso e impor responsabilidades.
Sem a supervisão adequada, as organizações correm o risco de perder visibilidade sobre quais identidades têm acesso a recursos críticos e como estão a ser utilizadas. A principal preocupação é a governação. Se forem atribuídas aos agentes de IA contas de serviço persistentes e não gerenciadas, essas identidades podem rapidamente se tornar superprivilegiadas e não monitoradas, aumentando a superfície de ataque da organização. Para mitigar este risco, as equipas de segurança devem implementar monitorização automatizada, impor privilégios mínimos e estabelecer políticas claras para NHIs orientados por IA. Ao implementar essas proteções antecipadamente, as organizações podem adotar a automação de IA sem comprometer a segurança. Crystal Morin, estrategista sênior de segurança cibernética da Sysdig: O gerenciamento de identidades passou por uma grande mudança: os humanos agora representam menos de 3% das identidades gerenciadas em ambientes de nuvem. O restante pertence a máquinas que não fazem logoff, não fazem pausas e geralmente operam com permissões elevadas. À medida que a automação e o desenvolvimento impulsionado pela IA explodem, a lacuna entre as identidades humanas e das máquinas está a tornar-se um dos desafios de segurança que definem o nosso tempo.
As identidades das máquinas são efémeras, autónomas e muitas vezes difíceis de gerir em escala com controlos tradicionais, que nunca foram concebidos para esta velocidade. A identidade é o principal controle de acesso, define os limites de um ambiente e é a fonte mais comum de acesso inicial em uma violação. Para acompanhar, as organizações devem repensar a segurança de identidade como uma disciplina contínua e orientada pelo ciclo de vida. As empresas devem tratar as identidades das máquinas como o novo firewall. Diana Kelley, Diretora de Segurança da Informação da Noma Security: Os riscos de IA passaram rapidamente de um item da lista de observação para uma preocupação de segurança de linha de frente, especialmente quando se trata de segurança e uso indevido de dados. Para gerir este cenário de ameaças emergentes, as equipas de segurança precisam de uma abordagem de segurança madura e contínua, que inclua programas de equipa azul, começando com um inventário completo de todos os sistemas de IA, incluindo componentes de agente como base para governação e gestão de riscos. Para os profissionais, proteger a IA não significa apenas proteger modelos. Requer abordar a expansão da pilha e avançar em direção a uma abordagem orientada por plataforma que forneça defesa em profundidade por meio de identidade, configuração e recursos unificados e com reconhecimento de IA.
visibilidade dos dados. As organizações que simplificarem a sua pilha de segurança na nuvem e na IA, e permitirem uma automação eficaz, estarão muito melhor posicionadas para escalar a IA com segurança à medida que as ameaças continuam a evoluir. Chris Radkowski, especialista em GRC da Pathlock: A ascensão de agentes de IA e identidades de máquinas ultrapassou fundamentalmente a segurança de identidade tradicional. A MFA e os controles de acesso legados foram criados para um mundo de usuários humanos, não de agentes autônomos, contas de serviço e fluxos de trabalho orientados por IA que agora superam em 20 vezes o número de pessoas em toda a empresa. Para tornar as coisas mais complexas, a promessa de produtividade da IA é demasiado convincente para que os funcionários esperem pela TI. Os trabalhadores estão a inscrever-se em ferramentas, copilotos e plataformas de automação alimentadas por IA utilizando as suas credenciais empresariais, ligando-as diretamente ao e-mail corporativo, suites de produtividade e aplicações empresariais, muitas vezes sem conhecimento de segurança. À medida que a IA agente assume ações comerciais reais com permissões reais, a superfície de ataque se expande de maneiras que a maioria das organizações não está preparada para ver, muito menos para garantir segurança. O abuso de credenciais, o controle de contas e a engenharia social sofisticada têm como alvo cada vez mais as identidades não humanas que operam silenciosamente em segundo plano, com pouca supervisão.
É por isso que acreditamos que proteger a empresa moderna significa tratar a identidade de forma holística, alargando a governação, os privilégios mínimos e os controlos adaptativos a todas as identidades, humanas ou máquinas. Na era da IA, a identidade não é apenas um problema de TI. É a base da própria confiança. Randolph Barr, Diretor de Segurança da Informação da Cequence Security: Estamos vendo a IA evoluir rapidamente de uma automação simples para uma assistência profundamente personalizada e com reconhecimento de contexto – e está caminhando em direção a um futuro de IA Agentic, onde as tarefas são organizadas em domínios com o mínimo de intervenção humana. Antes mesmo de chegarmos aos riscos específicos da IA, temos que acertar os fundamentos. Na pressa de levar a IA ao mercado rapidamente, as equipes de engenharia e de produto muitas vezes economizam para cumprir cronogramas de lançamento agressivos. Quando isso acontece, os controles básicos de segurança são ignorados e esses atalhos entram em produção. Portanto, embora as organizações estejam indiscutivelmente começando a pensar em proteções de modelos, injeção imediata, vazamento de dados e detecção de anomalias, esses esforços significam pouco se você não tiver bloqueado a identidade, o acesso e a configuração em um nível fundamental.
Chandra Gnanasambandam, diretor de tecnologia da SailPoint: Os adversários estão usando a IA para operar em uma escala e velocidade que tornam obsoletas as defesas estáticas tradicionais. O intervalo entre a descoberta de uma vulnerabilidade e a sua exploração diminuiu de meses para meros dias, e em breve será de minutos. Seguindo em frente, as equipes de segurança devem olhar para dentro. Em vez de nos concentrarmos exclusivamente em manter as ameaças afastadas, devemos governar meticulosamente o que acontece dentro dos nossos próprios sistemas. Isto significa abandonar a abordagem perigosa, mas comum, do tipo “configure e esqueça” nas políticas de acesso. As equipes devem aceitar que o acesso estático e persistente é a maior vulnerabilidade da empresa moderna. O novo mandato é passar de uma mentalidade de proteção estática para uma governança em tempo real, seja através de privilégio mínimo ou privilégio permanente zero. Devemos também reconhecer que governar identidades não humanas é fundamentalmente diferente de governar seres humanos e requer um novo quadro especializado construído para operações à velocidade das máquinas.
Sejamos realistas: simplesmente não é possível proteger o que não podemos ver e, neste momento, a maioria das empresas está cega em relação ao grande volume da sua força de trabalho não humana. Já não é suficiente apenas rastrear algumas contas de serviço. As equipes precisam implantar mecanismos de descoberta capazes de identificar agentes em todo o ecossistema digital. Eles devem ser capazes de encontrar e classificar agentes de nuvem que gerenciam infraestrutura, agentes em nível de aplicativo que conduzem fluxos de trabalho corporativos, agentes e extensões baseados em navegador e bots de endpoint operando em máquinas locais. Além disso, descobrir que um agente si simplesmente existe é apenas metade da batalha. Para identificar verdadeiramente a presença de um NHI, as equipas devem mapear toda a sua rede de conectividade e identificar tudo o que acede: as ferramentas internas que estão autorizadas a executar, as aplicações SaaS com as quais se integram e os repositórios de dados específicos que consultam ou modificam. Este processo de descoberta também deve descobrir e catalogar as credenciais subjacentes associadas a cada uma dessas interações. Quer sejam chaves de API, tokens OAuth ou segredos legados incorporados, as equipes devem saber exatamente como esses agentes estão autenticando.
Para identificar eficazmente os NHI, as equipas precisam de um sistema capaz de descobrir continuamente toda esta matriz: o tipo específico de agente, as credenciais que possui, as ferramentas e os dados a que acede e o risco específico que cada um desses privilégios representa. Essa visibilidade holística e contínua é a única maneira de recuperar o controle e começar a proteger sua força de trabalho não humana. A maioria das organizações pensa que o gerenciamento de segredos significa armazená-los em um cofre. Isso é o que está em jogo e não é suficiente. Você provavelmente não sabe quantos segredos sua organização tem agora. Chaves de API, tokens, chaves de criptografia, chaves de acesso espalhadas por repositórios de código, pipelines de CI/CD, Slack, Jira, wikis e infraestrutura de produção. Se você não consegue descobri-los, não pode governá-los. Para controlar os segredos, as organizações devem: Descobrir tudo, não apenas o que está no cofre.
Um cofre é onde os segredos deveriam residir, não necessariamente onde eles residem. A segurança real dos segredos requer a verificação de todos os lugares onde os segredos vão: repositórios de código, ambientes de nuvem, Kubernetes, ferramentas de colaboração e qualquer lugar que os desenvolvedores trabalhem. O objetivo é uma contagem precisa e em tempo real de todos os segredos do seu ambiente. Adicione contexto. Um segredo sem contexto é apenas uma string. Você precisa saber o que ele acessa, quem é o proprietário, onde está sendo usado e se esse uso faz sentido. O mapeamento de linhagem e a atribuição de propriedade são o que transforma um inventário bruto em dados de segurança acionáveis. Priorize pelo risco real.
Um segredo de produção com amplas permissões de nuvem e sem proprietário é um problema de cinco alarmes. Um token de ambiente de desenvolvimento com escopo restrito não é. Nem todos os segredos são iguais e a sua fila de remediação deve refletir isso. Sinalize e gire os ociosos. Segredos que não foram usados são riscos silenciosos. Eles se acumulam com o tempo, muitas vezes vinculados a contas de serviço de que ninguém se lembra, e são exatamente o que os invasores procuram. Identificar segredos ociosos e órfãos antes que alguém os encontre é uma das coisas de maior valor que uma equipe de segurança pode fazer. Os segredos não precisam apenas ser armazenados, eles precisam ser governados.
Governação significa saber onde estão, quem é o responsável, o que podem aceder e se algo parece errado.