Che cos'è l'identità non umana?

Le identità non umane sono alla base dell'automazione. Consentono a software, hardware e altre risorse di connettersi, comunicare ed eseguire compiti senza necessità di supervisione umana.

Prendi in considerazione un servizio di backup automatizzato che copia automaticamente i dati sensibili di un'azienda su un sistema di storage cloud sicuro ogni notte. Né il database né il sistema di cloud storage concederebbero l'accesso a un essere umano qualsiasi senza credenziali valide. Lo stesso vale per il software. Quindi al servizio di backup viene assegnata un'identità. Questa identità significa che il servizio di backup può autenticarsi nel database e nel sistema di storage, che a sua volta può fidarsi che questo servizio sia autorizzato a fare ciò che sta facendo.

Il numero di NHI nei sistemi aziendali è cresciuto nel corso degli anni, spinto principalmente dall'ascesa dei servizi cloud, dell'intelligenza artificiale e del machine learning. Le stime variano, da 45:1 a 92:1 , ma nel sistema IT medio, i non umani superano significativamente gli umani

Questa esplosione di NHI porta con sé nuove sfide per la sicurezza. Secondo l'IBM® X-Force Threat Intelligence Index, gli attacchi basati sull'identità, in cui gli hacker sfruttano le credenziali valide degli account per accedere alle reti, sono uno dei metodi di attacco informatico più comuni e rappresentano il 30% delle violazioni.

E le identità non umane sono parti particolarmente attraenti della superficie di attacco aziendale, poiché spesso hanno permessi elevati e meno controlli di sicurezza rispetto agli account umani.

Il campo della gestione delle identità non umane è nato per aiutare a combattere i rischi specifici per la sicurezza posti dalle identità non umane e migliorare il livello di sicurezza complessivo delle identità. 

Le NHI esistono principalmente per semplificare i workflow permettendo una maggiore automazione.

Le NHI identificano app, hardware, bot, agenti AI e altri elementi all'interno di un ecosistema, più o meno allo stesso modo in cui gli utenti umani hanno identità in un sistema di gestione delle identità e degli accessi (IAM).

Assegnando identità univoche a entità non umane, i professionisti IT e della sicurezza possono concedere loro privilegi personalizzati, applicare politiche di sicurezza, tracciare la loro attività e applicare in modo più efficace i controlli di accesso.

• Se un'entità non umana non ha un'identità distinta, non c'è nulla a cui attribuire privilegi.
  
  
• Un'app o un dispositivo non può autenticarsi a meno che non abbia un'identità con cui autenticarsi.
  
  
• Non si può tracciare l'attività senza un'identità a cui attribuire l'attività stessa.
  
  
• I controlli di accesso possono essere applicati solo se esiste un'identità su cui applicarli.

Come esempio di caso d'uso, si consideri un sistema di fatturazione che utilizza i dati di una piattaforma di contabilità e di un sistema di customer relationship management (CRM) per generare e inviare fatture.

Per condurre questo processo manualmente, qualcuno dovrebbe entrare in ogni database, estrarre i dati rilevanti, correlarli, calcolare la fattura, generarla e inviarla al cliente.

Il processo può essere automatizzato, ma poiché coinvolge dati sensibili, richiede misure di sicurezza molto efficaci. Le NHI consentono una comunicazione sicura tra i tre sistemi e l'applicazione delle politiche di accesso affinché i dati non vengano usati in modo improprio:

• Le NHI offrono ai tre sistemi un modo per autenticarsi l'un l'altro, riducendo il rischio che sistemi impostore si intrufolino nel mix.
  
  
• Le NHI permettono all'organizzazione di assegnare al sistema di fatturazione il minimo di privilegi necessari per svolgere il proprio lavoro. Forse il sistema di fatturazione può solo leggere i dati, non scriverli, e può accedere agli strumenti di contabilità e CRM solo in determinati momenti della giornata.
  
  
• Le NHI rendono più facile per l'organizzazione monitorare il comportamento di tutti e tre i sistemi durante tutto il processo, creando una traccia di audit.

In definitiva, le NHI consentono l'automazione sicura di complesse operazioni IT e aziendali. Backup, aggiornamenti di sistema e persino l'autenticazione degli utenti possono avvenire in background, senza interrompere l'attività degli utenti umani.

La rapida crescita delle identità non umane è guidata, in gran parte, dalla proliferazione dell'infrastruttura cloud, dalla popolarità del DevOps e dall'adozione di strumenti di AI avanzati.

Con la nascita del cloud, sempre più strumenti operano su un modello software-as-a-service (SaaS). Invece di eseguire app locali su hardware locale, i computer ora interagiscono con vari server, provider di servizi, bilanciatori di carico, applicazioni e altre risorse cloud, ognuno dei quali porta la propria identità. E molte app utilizzano un'architettura di microservizi, il che significa che una singola app potrebbe contenere molti componenti più piccoli con identità uniche.

Le pratiche DevOps sono un altro fattore chiave delle NHI. Infatti enfatizzano maggiormente l'automatizzazione dei workflow principali di sviluppo software e operazioni, come l'integrazione, il test e l'implementazione nella pipeline CI/CD. Tutta questa automazione richiede molti NHI.

Più recentemente, l'AI generativa e l'agentic AI hanno dato il via a una nuova ondata di NHI. Affinché funzionalità come la retrieval-augmented generation (RAG) e il tool-calling siano possibili, i sistemi di AI hanno bisogno di identità per poter accedere in modo sicuro a database, account utente, dispositivi e altre risorse di rete.

Collettivamente, le NHI rappresentano una grandissima superficie di attacco. Tuttavia molte soluzioni e processi legacy di gestione delle identità e degli accessi (IAM) sono stati progettati per utenti umani, portando a lacune nella sicurezza per le NHI.

Strumenti di autenticazione comuni come l'autenticazione a più fattori (MFA) e le soluzioni single sign-on sono difficili o impossibili da applicare a identità non umane.

Pertanto, le NHI spesso portano con sé sfide di cybersecurity che le tattiche tradizionali non possono facilmente risolvere.

Secondo OWASP, i privilegi eccessivi sono uno dei 10 principali rischi associati alle identità non umane.

Poiché sono fondamentali per i workflow, come il DevOps e i backup di sistema, le NHI spesso hanno accesso privilegiato a informazioni sensibili. E nell'interesse di garantire che questi processi funzionino, le organizzazioni spesso concedono alle NHI privilegi maggiori del necessario.

I privilegi eccessivi rendono le NHI un bersaglio ideale per gli hacker e aumentano i danni che una NHI compromessa può causare. 

App e dispositivi potrebbero non avere password, ma usano chiavi API, token OAuth, certificati e altri segreti per autenticarsi. Questi segreti possono essere rubati e usati in modo improprio come le password degli utenti umani, permettendo accessi non autorizzati, movimenti laterali e aumento dei privilegi.

Non aiuta il fatto che le NHI non possano utilizzare l'autenticazione a due fattori allo stesso modo di un utente, quindi spesso basta una credenziale rubata per manomettere un account. Inoltre, le credenziali NHI sono spesso codificate in app e potrebbero non essere modificate regolarmente. Secondo la classifica NHI Top 10 di OWASP, la fuga di notizie segrete e i segreti di lunga durata sono tra i rischi più comuni associati alle identità non umane. 

Vari sistemi utilizzano le NHI per connettersi e comunicare tra loro. Questo significa che i criminali informatici possono usare NHI compromesse per accedere ad altri sistemi. Ad esempio, la violazione Salesloft Drift del 2025 ha coinvolto hacker che hanno rubato token OAuth da un chatbot e li hanno utilizzati per accedere a centinaia di istanze Salesforce.

L'enorme numero di NHI in un sistema e il ritmo con cui ne vengono aggiunti di nuovi possono rendere difficile la visibilità, creando punti ciechi attraverso cui gli hacker possono intrufolarsi. Il fatto che alcuni NHI siano effimeri complica ulteriormente la visibilità.

Molte organizzazioni trascurano anche la disattivazione ufficiale delle NHI quando si ritirano app e dispositivi associati. Queste vecchie NHI spesso non sono monitorate e le loro autorizzazioni sono pienamente intatte. Infatti, secondo OWASP, l'offboarding improprio è il rischio numero uno associato alle NHI.

Le identità AI possono rappresentare una sfida particolare quando si tratta di gestire i privilegi. Dispongono, in molti modi, delle funzionalità dei dipendenti umani e dell'accesso a una gamma di strumenti, che alcuni possono utilizzare autonomamente.

Ma non sono umani, il che significa che sono vulnerabili alla prompt injection, al data poisoning e ad altre tecniche che possono trasformarli in strumenti per attori malevoli.

Anche gli agenti AI e i modelli linguistici di grandi dimensioni (LLM) possono modificare i propri comportamenti in modi non possibili per altri software, il che comporta problemi di sicurezza. Ad esempio, un addetto al servizio clienti incaricato di massimizzare la soddisfazione del cliente potrebbe scoprire che i clienti sono molto contenti quando ricevono rimborsi. Pertanto, l'agente potrebbe iniziare ad approvare i rimborsi per chiunque lo chieda, anche se non dovrebbe.

In un'intervista del podcast Security Intelligence di IBM, Sridhar Muppidi, IBM Fellow, Vice President e CTO di IBM Security, ha paragonato un agente AI a un "adolescente con una carta di credito":

"gli dai la carta di credito e ti aspetti che si comporti correttamente, ma non ti sorprendere se non è così. Gli agenti sono molto simili. In un certo senso non sono deterministici e si evolvono, per cui potrebbero essere soggetti allo scope creep. Ho chiesto al sistema di fare qualcosa, ma può facilmente fare qualcos'altro se decide di farlo."

Il Regolamento generale sulla protezione dei dati (RGPD), la Health Insurance Portability and Accountability Act (HIPAA) e altre leggi regolano come le organizzazioni proteggono i dati, chi può utilizzare informazioni sensibili e come. Il problema è che, come già accennato, gli stessi strumenti di gestione delle identità e degli accessi (IAM) utilizzati per garantire che gli esseri umani rispettino queste regole non possono sempre essere applicati in modo fluido alle NHI.

Inoltre, le NHI possono confondere gli sforzi di attribuzione e monitoraggio che sono vitali per molti programmi di conformità. Ad esempio, se un agente AI utilizza i dati in modo improprio, chi è responsabile? La persona che ha creato l'agente? La persona che inserito l'ultimo prompt? E se la scelta dell'agente non rientrasse nei risultati prevedibili del prompt dell'utente? Molti framework di governance delle identità non hanno ancora risolto questo enigma.

Poiché le piattaforme e le pratiche tradizionali di sicurezza dell'identità sono spesso progettate pensando agli utenti umani, la gestione delle NHI richiede che i team di sicurezza adottino un approccio leggermente diverso.

Si applicano molti degli stessi principi: devono solo essere adattati alle realtà uniche della gestione del ciclo di vita delle identità non umane. Le tattiche, gli strumenti e le tecniche fondamentali per le strategie di sicurezza delle identità non umane includono:

Le organizzazioni possono distribuire strumenti che scoprono automaticamente identità non umane nuove ed esistenti attraverso piattaforme cloud, provider di identità e sistemi di orchestrazione, per poi osservare regolarmente come si comportano tali identità.

Alcuni strumenti di rilevamento e risposta alle minacce di identità (ITDR) possono utilizzare il machine learning per creare un modello di base del comportamento normale per ogni NHI, segnalare le deviazioni dalla norma in tempo reale e rispondere automaticamente a sospetti usi impropri e illegittimi.

Ad esempio, se un workload cloud che normalmente legge i log di applicazione inizia improvvisamente a richiedere accesso alle informazioni personali del cliente, una piattaforma ITDR può revocare immediatamente il token e avvisare il SOC per un'indagine.

La gestione delle NHI enfatizza controlli rigorosi durante il loro intero ciclo di vita, dal provisioning iniziale, passando per l'uso attivo, fino all'offboarding sicuro. Quando un servizio viene disattivato, una pipeline viene sostituita o un bot non è più in uso, le sue credenziali, token e certificati devono essere immediatamente revocati.

Designare un proprietario umano per ogni NHI può aiutare a garantire che qualcuno sia responsabile e si occupi della modifica delle credenziali, della revisione regolare delle autorizzazioni, della risoluzione di configurazioni errate, della correzione delle vulnerabilità e di altre attività essenziali di manutenzione. Senza una proprietà esplicita, le identità non umane sono facilmente dimenticate, ma spesso conservano un livello di accesso elevato.

Le NHI necessitano di credenziali, ma queste credenziali devono essere memorizzate da qualche parte. A differenza di un utente umano, un workload non può memorizzare una password o utilizzare uno smartphone come passkey.

Il problema è che le credenziali NHI sono spesso inserite direttamente nelle app e nei servizi che le utilizzano, il che significa che gli hacker possono trovarle se sanno dove cercare.

Strumenti di gestione dei segreti e di gestione degli accessi privilegiati (PAM), come i vault delle credenziali, possono essere utili. I vault offrono ai team IT e di sicurezza un luogo sicuro per memorizzare le credenziali NHI, e spesso supportano credenziali effimere, accesso just-in-time e modifica ricorrente automatica.

La gestione degli accessi è sempre importante per la sicurezza delle identità, ma soprattutto per le NHI, prive dei filtri discrezionali che potrebbero impedire a un utente umano di usare impropriamente le proprie autorizzazioni. Ogni azione intrapresa da un servizio, un workload, un bot o un agente deve quindi essere vincolata da controlli tecnici espliciti.

Con un modello zero trust, alle NHI vengono concesse solo le autorizzazioni necessarie per ogni compito. Devono autenticarsi continuamente mentre passano da un sistema all'altro. La microsegmentazione della rete può aiutare a impedire che app, bot e dispositivi compromessi si spostino lateralmente. Una NHI dirottata potrebbe essere in grado di accedere all'unico database di cui ha davvero bisogno, ma non potrà spostarsi su sistemi di storage non correlati. 

La separazione dei compiti, ossia la garanzia che la parte che svolge un compito non sia la stessa responsabile dell'approvazione del compito, è particolarmente importante per gli agenti AI. Gli agenti AI non hanno gli stessi vincoli etici degli esseri umani, il che significa che possono intraprendere azioni perfettamente autorizzate che causano comunque danni.

Riprendiamo, ad esempio, l'ipotetico agente del servizio clienti AI ottimizzato per massimizzare la soddisfazione del cliente. Ai clienti umani piace essere rimborsati, quindi l'agente AI potrebbe approvare indiscriminatamente ogni richiesta di rimborso per raggiungere il suo obiettivo.

Questa situazione può essere evitata facendo sì che un essere umano, o un altro sistema, debba approvare i rimborsi prima che l'agente possa concederli. 

Le NHI e gli utenti umani sono diversi per aspetti evidenti e importanti. Ma le loro caratteristiche e funzionalità stanno diventando sempre più simili, poiché gli strumenti e gli agenti di AI costituiscono una porzione sempre più grande della rete aziendale.

Di conseguenza, alcuni esperti prevedono che le distinzioni tra gestione delle identità umane e non umane scompariranno in gran parte. Invece di utilizzare controlli separati per ogni tipo di identità, la differenza principale tra la gestione delle identità umane e non umane potrebbe essere la scala di applicazione di tali controlli.

"In fin dei conti, gli agenti sono il livello successivo di insider," ha detto Sridhar Muppidi nel podcast Security Intelligence di IBM:

"Proprio come si identifica un essere umano, è necessario identificare un agente. E una volta identificati, dobbiamo fare lo stesso che facciamo con gli esseri umani: autenticarli. E poi capire come valutare ciò che quell'agente può fare, sia nel bene che nel male. E mentre lo fai, puoi pensare a un livello di granularità dell'observability molto, molto fine, in modo da poter rilevare rapidamente comportamenti anomali."