O que é identidade não humana?

As identidades não humanas são pilares da automação. Elas permitem que softwares, hardwares e outros recursos se conectem, se comuniquem e executem tarefas sem exigir supervisão humana.

Considere um serviço automatizado de backup que copia automaticamente os dados sensíveis de uma empresa para um sistema seguro de armazenamento em nuvem todas as noites. Nem o banco de dados nem o sistema de armazenamento em nuvem concederiam acesso a um humano aleatório sem credenciais válidas. O mesmo vale para softwares. Por isso, o serviço de backup recebe uma identidade. Essa identidade permite que o serviço de backup se autentique no banco de dados e no sistema de armazenamento, que, por sua vez, podem confiar que esse serviço está autorizado a realizar suas operações.

O número de NHIs nos sistemas corporativos cresceu ao longo dos anos, impulsionado principalmente pela expansão dos serviços em nuvem, da inteligência artificial e do aprendizado de máquina. As estimativas variam — de 45:1 a 92:1 —, mas, em um sistema de TI médio, as identidades não humanas superam significativamente as humanas.

Essa explosão de NHIs traz novos desafios de segurança. De acordo com o IBM X-Force Threat Intelligence Index, ataques baseados em identidade — nos quais hackers abusam de credenciais válidas de contas para obter acesso a redes — estão entre os métodos de ciberataque mais comuns, sendo responsáveis por 30% das violações.

As identidades não humanas são componentes particularmente atraentes da superfície de ataque corporativa, pois geralmente possuem permissões elevadas e menos controles de segurança do que contas humanas.

O campo do gerenciamento de identidades não humanas surgiu para ajudar a combater os riscos de segurança exclusivos apresentados por essas identidades e melhorar a postura geral de segurança de identidades. 

As identidades não humanas (NHIs) existem principalmente para simplificar fluxos de trabalho ao possibilitar maior automação.

As NHIs identificam aplicativos, hardware, bots, agentes de IA e outros elementos dentro de um ecossistema de TI, de forma semelhante à maneira como usuários humanos possuem identidades em um sistema tradicional de gerenciamento de identidades e acessos (IAM).

Ao atribuir identidades exclusivas a entidades não humanas, profissionais de TI e segurança podem conceder privilégios sob medida, aplicar políticas de segurança, rastrear suas atividades e aplicar controles de acesso de forma mais eficaz.

• Se uma entidade não humana não tiver uma identidade distinta, não há a que atribuir privilégios.
  
  
• Um aplicativo ou dispositivo não pode se autenticar se não tiver uma identidade contra a qual se autenticar.
  
  
• Não é possível rastrear atividades sem uma identidade à qual essa atividade possa ser atribuída.
  
  
• Os controles de acesso só podem ser aplicados se houver uma identidade sobre a qual aplicá-los.

Como exemplo de caso de uso, considere um sistema de faturamento que utiliza dados de uma plataforma contábil e de um sistema de gerenciamento de relacionamento com o cliente (CRM) para gerar e enviar faturas.

Para realizar esse processo manualmente, alguém precisaria acessar cada banco de dados, extrair os dados relevantes, correlacioná-los, calcular o valor, gerar a fatura e enviá-la ao cliente.

O processo pode ser automatizado, mas, por envolver dados sensíveis, exige medidas de segurança robustas. As NHIs permitem a comunicação segura entre os três sistemas e a aplicação de políticas de acesso para que os dados não sejam utilizados de forma indevida:

• As NHIs dão aos três sistemas uma forma de se autenticarem entre si, mitigando o risco de sistemas impostores entrarem no processo.
  
  
• As NHIs permitem que a organização atribua ao sistema de faturamento os privilégios mínimos necessários para realizar seu trabalho. Talvez o sistema de faturamento possa apenas ler dados, e não gravá-los, e só possa acessar as ferramentas contábeis e de CRM em determinados horários do dia.
  
  
• As NHIs facilitam para a organização o monitoramento do comportamento dos três sistemas ao longo de todo o processo, criando uma trilha de auditoria.

Em última análise, as NHIs viabilizam a automação segura de operações complexas de TI e de negócios. Backups, atualizações de sistema e até a autenticação de usuários podem ocorrer em segundo plano, sem interromper a atividade dos usuários humanos.

O rápido crescimento das identidades não humanas é impulsionado, em grande parte, pela proliferação da infraestrutura em nuvem, pela popularidade do DevOps e pela adoção de ferramentas avançadas de IA.

Com o surgimento da nuvem, mais ferramentas operam em um modelo de software como serviço (SaaS). Em vez de executar aplicativos locais em hardware local, os computadores agora interagem com diversos servidores, provedores de serviços, balanceadores de carga, aplicações e outros recursos em nuvem — todos com suas próprias identidades. E muitos aplicativos SaaS utilizam uma arquitetura de microsserviços, o que significa que um único aplicativo pode conter muitos componentes menores, cada um com identidades exclusivas.

As práticas de DevOps são outro fator que impulsiona as NHIs. O DevOps coloca maior ênfase na automação de fluxos de trabalho centrais de desenvolvimento e operações de software, como integração, testes e implementação no pipeline de CI/CD. Toda essa automação exige muitas NHIs.

Mais recentemente, a IA generativa e a IA agêntica impulsionaram uma nova onda de NHIs. Para que recursos como geração aumentada por recuperação (RAG) e chamadas de ferramentas sejam possíveis, os sistemas de IA precisam de identidades para acessar com segurança bases de dados, contas de usuários, dispositivos e outros recursos de rede.

Em conjunto, as NHIs representam uma enorme superfície de ataque. No entanto, muitas soluções e processos legados de gerenciamento de identidade e acesso (IAM) foram projetados para usuários humanos, criando lacunas de segurança para as NHIs.

Ferramentas comuns de autenticação, como a autenticação multifator (MFA) e soluções de logon único, são difíceis ou impossíveis de aplicar a identidades não humanas.

Assim, as NHIs frequentemente apresentam desafios de segurança cibernética que as táticas tradicionais de IAM não conseguem resolver com facilidade.

De acordo com a OWASP, o excesso de privilégios é um dos 10 principais riscos associados a identidades não humanas.

Como são parte integrante de fluxos de trabalho centrais, como o ciclo de vida do DevOps e os backups de sistema, as NHIs frequentemente têm acesso privilegiado a informações sensíveis. E, com o objetivo de garantir que esses processos simplesmente “funcionem”, as organizações muitas vezes concedem às NHIs privilégios mais altos do que o necessário.

O excesso de privilégios torna as NHIs um alvo prioritário para hackers e aumenta o impacto que uma NHI comprometida pode causar. 

Aplicativos e dispositivos talvez não tenham senhas, mas utilizam chaves de API, tokens de OAuth, certificados e outros segredos para se autenticar. Esses segredos podem ser roubados e usados indevidamente de forma muito semelhante às senhas de usuários humanos, permitindo acesso não autorizado, movimentação lateral e escalonamento de privilégios.

Além disso, as NHIs não podem usar autenticação de dois fatores da mesma forma que um usuário, de modo que uma única credencial roubada muitas vezes é suficiente para sequestrar uma conta. Adicionalmente, as credenciais de NHIs costumam estar embutidas diretamente nos aplicativos e podem não ser rotacionadas com regularidade. De acordo com o NHI Top 10 da OWASP, o vazamento de segredos e o uso de segredos de longa duração estão entre os riscos mais comuns associados às identidades não humanas. 

Diversos sistemas utilizam NHIs para se conectar e se comunicar entre si. Isso significa que invasores podem usar NHIs comprometidas para invadir outros sistemas. Por exemplo, a violação da Salesloft Drift em 2025 envolveu hackers que roubaram tokens OAuth de um chatbot e os utilizaram para acessar centenas de instâncias do Salesforce.

O grande número de NHIs em um sistema, bem como a velocidade com que novas são adicionadas, pode dificultar a visibilidade, criando pontos cegos pelos quais hackers podem se infiltrar. O fato de algumas NHIs serem efêmeras torna a visibilidade ainda mais complexa.

Muitas organizações também negligenciam a desativação formal das NHIs quando aposentam os aplicativos e dispositivos associados. Essas NHIs antigas frequentemente ficam sem monitoramento, com todas as suas permissões intactas. De fato, de acordo com a OWASP, o desligamento inadequado é o principal risco associado às NHIs.

As identidades de IA podem representar um desafio específico quando se trata do gerenciamento de privilégios. Elas possuem, em muitos aspectos, recursos semelhantes aos de funcionários humanos e acesso a uma ampla gama de ferramentas, algumas das quais podem usar de forma autônoma.

Mas elas não são humanas, o que significa que são vulneráveis a injeção de prompt, envenenamento de dados e outras técnicas que podem transformá-las em instrumentos para agentes maliciosos.

Agentes de IA e grandes modelos de linguagem (LLMs) também podem mudar seus comportamentos de maneiras que outros softwares não conseguem, o que traz seus próprios problemas de segurança. Por exemplo, um agente de atendimento ao cliente que tenha sido orientado a maximizar a satisfação do cliente pode aprender que os clientes ficam muito satisfeitos quando recebem reembolsos. Como resultado, o agente pode começar a aprovar reembolsos para qualquer pessoa que os solicite, mesmo quando isso não deveria acontecer.

Em uma entrevista ao podcast Security Intelligence da IBM, Sridhar Muppidi, IBM Fellow, VP e CTO da IBM Security, comparou um agente de IA a um “adolescente com um cartão de crédito”:

“Você entrega o cartão de crédito e espera que ele se comporte corretamente, mas não se surpreenda com o que vai descobrir. Os agentes são muito parecidos com isso. Eles são não determinísticos até certo ponto e estão em constante evolução. Como resultado, podem sofrer de expansão de escopo. Peço que o sistema faça uma coisa, mas ele pode facilmente fazer outra se decidir fazê-lo.”

O Regulamento Geral sobre a Proteção de Dados (GDPR), a Lei de portabilidade e responsabilidade de planos de saúde (HIPAA) e outras leis regulam como as organizações protegem dados, quem pode usar informações sensíveis e de que forma. O problema é que, como mencionado anteriormente, as mesmas ferramentas de IAM usadas para ajudar a garantir que humanos cumpram essas regras nem sempre podem ser aplicadas de forma eficaz às NHIs.

Além disso, as NHIs podem dificultar esforços de atribuição e monitoramento que são vitais para muitos programas de conformidade. Por exemplo, se um agente de IA usar dados de forma inadequada, quem é o responsável? A pessoa que criou o agente? A pessoa que o acionou mais recentemente por meio de um prompt? E se a decisão do agente estiver muito além dos resultados previsíveis do prompt do usuário? Muitos frameworks de governança de identidades ainda não acompanharam esse dilema.

Como as plataformas e práticas tradicionais de segurança de identidade geralmente são projetadas tendo usuários humanos em mente, o gerenciamento de NHIs exige que as equipes de segurança adotem uma abordagem um pouco diferente.

Muitos dos mesmos princípios se aplicam, eles apenas precisam ser adaptados às realidades específicas do gerenciamento do ciclo de vida de identidades não humanas. As principais táticas, ferramentas e técnicas para estratégias de segurança de identidades não humanas incluem:

As organizações podem implementar ferramentas que descubram automaticamente identidades não humanas novas e existentes em plataformas em nuvem, provedores de identidade e sistemas de orquestração, e que então observem continuamente o comportamento dessas identidades.

Algumas ferramentas de detecção e resposta a ameaças de identidade (ITDR) podem usar aprendizado de máquina para criar um modelo de base do comportamento normal de cada NHI, sinalizar desvios desse padrão em tempo real e responder automaticamente a usos indevidos e abusos suspeitos.

Por exemplo, se uma carga de trabalho em nuvem que normalmente apenas lê logs de aplicações passar repentinamente a solicitar acesso a dados pessoais identificáveis (PII) de clientes, uma plataforma de ITDR pode revogar imediatamente seu token de acesso e alertar o SOC para investigação.

O gerenciamento de NHIs enfatiza controles rigorosos ao longo de todo o ciclo de vida da NHI, desde o provisionamento inicial, passando pelo uso ativo, até o desligamento seguro. Quando um serviço é desativado, um pipeline é substituído ou um bot deixa de ser utilizado, suas credenciais, tokens e certificados devem ser revogados imediatamente.

Designar um responsável humano para cada NHI pode ajudar a garantir que haja alguém encarregado e responsável pela rotação de credenciais, pela revisão regular de permissões, pela correção de configurações incorretas, pela remediação de vulnerabilidades e por outras atividades críticas de manutenção. Sem uma titularidade explícita, identidades não humanas são facilmente esquecidas, embora frequentemente mantenham acessos poderosos.

As NHIs precisam de credenciais, mas essas credenciais precisam ser armazenadas em algum lugar. Ao contrário de um usuário humano, uma carga de trabalho não consegue memorizar uma senha nem usar um smartphone como chave de acesso.

O problema é que as credenciais de NHIs costumam ser codificadas diretamente nos aplicativos e serviços que as utilizam, o que significa que hackers podem encontrá-las se souberem onde procurar.

Ferramentas de gerenciamento de segredos e de gerenciamento de acesso privilegiado (PAM), como cofres de credenciais, podem ajudar. Os cofres oferecem às equipes de TI e de segurança um local seguro para armazenar credenciais de NHIs e, muitas vezes, oferecem suporte a credenciais efêmeras, acesso just-in-time e rotação automatizada.

O gerenciamento de acesso é sempre importante na segurança de identidade, mas é especialmente crítico para NHIs, que não possuem os filtros discricionários que poderiam impedir um usuário humano de usar indevidamente suas permissões. Portanto, toda ação realizada por um serviço, carga de trabalho, bot ou agente deve ser limitada por controles técnicos explícitos.

Em um modelo de zero trust, as NHIs recebem apenas as permissões mínimas necessárias para cada tarefa. Elas devem se autenticar continuamente à medida que transitam entre sistemas. A microssegmentação da rede pode ajudar a impedir que aplicativos, bots e dispositivos comprometidos se movam lateralmente. Uma NHI sequestrada pode até conseguir acessar a base de dados da qual realmente precisa, mas não conseguirá se deslocar para sistemas de armazenamento não relacionados. 

A segregação de funções — isto é, garantir que a parte que executa uma tarefa não seja a mesma responsável por aprová-la — é especialmente importante para agentes de IA. Agentes de IA não têm as mesmas restrições éticas que os humanos, o que significa que podem executar ações perfeitamente autorizadas que ainda assim causam danos.

Por exemplo, retome o agente hipotético de atendimento ao cliente otimizado para maximizar a satisfação do cliente. Como os clientes humanos gostam de receber reembolsos, o agente de IA pode aprovar indiscriminadamente todas as solicitações de reembolso em busca de seu objetivo.

Essa situação pode ser evitada ao exigir que um humano — ou algum outro sistema — aprove os reembolsos antes que o agente possa concedê-los. 

NHIs e usuários humanos são diferentes de maneiras óbvias e importantes. No entanto, suas características e recursos estão se tornando cada vez mais semelhantes à medida que ferramentas e agentes de IA passam a compor uma parcela maior da rede corporativa.

Como resultado, alguns especialistas preveem que as distinções entre o gerenciamento de identidades humanas e não humanas em grande parte desaparecerão. Em vez de usar controles separados para cada tipo de identidade, a principal diferença entre o gerenciamento de IDs humanos e não humanos pode ser a escala em que esses controles são aplicados.

“No fim das contas, os agentes são o próximo nível de insiders”, disse Sridhar Muppidi no podcast Security Intelligence da IBM:

“Assim como você identifica um ser humano, é preciso identificar um agente. E, depois de identificá-lo, é preciso fazer a mesma coisa que fazemos com humanos: autenticá-lo. Em seguida, você define o escopo do que esse agente pode fazer, tanto o bem quanto o mal. E, enquanto faz isso, é nesse momento que você pode pensar em um nível muito, muito fino de granularidade de observabilidade para conseguir detectar comportamentos anômalos rapidamente.”