Pular para o conteúdo principal

      A transformação tecnológica, impulsionada por inteligência artificial (IA) e automação, proporciona velocidade, insights e vantagem competitiva. À medida que plataformas e ecossistemas digitais se expandem, as identidades não humanas (Non-Human Identities – NHIs) já superam os usuários humanos na proporção de 82 para 11. Essas entidades atuam de forma autônoma e acessam sistemas críticos em velocidade de máquina, muitas vezes sem qualquer intervenção humana. Essa evolução criou superfícies de ataque invisíveis e em rápida expansão, desafiando os modelos convencionais de segurança e governança.

      Nesse contexto, incorporar segurança e privacidade a todos os estágios do ciclo de vida, governar de forma proativa as identidades das máquinas e utilizar os padrões e guardrails de IA para gerenciar riscos e manter a confiança tornaram-se imperativos para profissionais de segurança cibernética.

      1 CyberArk, "Machine Identities Outnumber Humans by More Than 80 to 1: New Report Exposes the Exponential Threats of Fragmented Identity Security", 2025.

      O que são as NHIs e por que elas trazem novas frustrações e ameaças?

      O cenário de identidades corporativas em constante evolução, combinado com o surgimento da IA agêntica, está acelerando a proliferação de NHIs em um ritmo sem precedentes. Para além de empregados e prestadores de serviços, as organizações passaram a depender de uma camada ampla e, em grande parte, invisível de NHIs, como chaves de API, contas de serviço, tokens de autorização aberta (Open Authorization - OAuth), credenciais de máquina e agentes autônomos de IA, que viabilizam sistemas e fluxos de trabalho críticos. Essas identidades operam continuamente em ambientes SaaS, nuvem, on-premises e integrações com terceiros, geralmente com acessos privilegiados e supervisão mínima.

      A escala da questão é significativa: as identidades de máquina já superam amplamente as identidades humanas, criando vários pontos cegos e uma grande superfície de ataque não gerenciada. Essa proliferação resulta em um fluxo ingovernável de solicitações de autorização, aumentando os riscos de segurança decorrentes de aprovações automáticas e reflexas. Diferentemente dos usuários humanos, as NHIs carecem de intenção, contexto e governança de ciclo de vida, o que as torna alvos ideais para roubo de credenciais, movimentação lateral e exfiltração de dados em larga escala.

      Por que agir agora?

      As NHIs comprometidas já aparecem com destaque em grandes incidentes de segurança, desde tokens expostos e contas de bots em pipelines de Integração Contínua e Entrega ou Implantação Contínua (CI/CD) até aplicações OAuth excessivamente privilegiadas exploradas para acesso a e-mails e dados. Esses problemas são amplificados pelos sistemas de IA agêntica que, diferentemente da automação tradicional, agem de forma autônoma e em velocidade de máquina – criando, modificando e usando credenciais sem intervenção humana. Esses sistemas podem gerar novas identidades, encadear ferramentas entre domínios de confiança e executar ações não determinísticas, frequentemente exigindo permissões amplas para alcançar resultados de negócio.

      Esse nível de autonomia introduz novos vetores de ataque e desafios de governança que os frameworks tradicionais de Gestão de Identidade e Acesso (Identity and Access Management - IAM), concebidos para usuários humanos, não estão preparados para enfrentar. Além disso, reduz significativamente as barreiras para comprometimento, permitindo que os invasores organizem campanhas sofisticadas e em várias camadas, com velocidade e precisão.

      À medida que a adoção de IA se acelera, a lacuna de supervisão aumenta, tornando as medidas proativas essenciais. Agir agora, por meio de descoberta contínua, aplicação rigorosa do princípio do menor privilégio e manutenção consistente da higiene de segredos ,pode transformar as NHIs de riscos invisíveis em ativos governados que viabilizam a inovação segura.As implicações vão além do risco técnico. A inação pode resultar em graves consequências para os negócios, incluindo perda de confiança, penalidades financeiras e danos à reputação que podem levar anos para serem reparados. A gestão proativa de NHIs tornou-se fundamental para a conformidade regulatória, à medida que conselhos de administração e reguladores exigem crescente responsabilização sobre interações máquina a máquina e interações agênticas, demandando mecanismos efetivos de supervisão.

      Ricardo Moraes
      Sócio-líder de Cyber Security da KPMG no Brasil
      ricardomoraes@kpmg.com.br

      Daniel Pacheco
      Sócio-líder de Technology Consulting da KPMG no Brasil
      danielpacheco@kpmg.com.br 

      A proliferação de identidades de máquinas está criando riscos e desafios que os modelos de segurança tradicionais não conseguem resolver. Na CyberArk, nossa estratégia é capacitar as equipes de segurança a descobrir automaticamente todas as identidades de máquina, analisar seus riscos em tempo real e afir de forma rápida e automatizada para mitigar ameaças. Em conjunto com integradores globais líderes, como a KPMG, ajudamos nossos clientes a transformar identidades de máquina de riscos invisíveis em ativos controlados — viabilizando inovação segura em escala.

      Peter Beardmore

      Diretor de Marketing de Produto da CyberArk

      Perguntas-chave para líderes de cibersegurança:

      Para desenvolver resiliência diante dos riscos em constante evolução, os líderes da área cibernética devem, antes de mais nada, fazer as perguntas certas.

      Temos visibilidade de todas as NHIs em todos os nossos ambientes?

      Como estamos governando os agentes de IA e seu acesso a sistemas sensíveis?

      Nossas estruturas de IAM e Gerenciamento de Acesso Privilegiado (Privileged Access Management – PAM) estão equipadas para gerenciar identidades de máquina em escala?

      Quais controles estão em vigor para detectar e corrigir comportamentos anômalos de NHIs?

      Abordando o problema: incorporação da governança de NHIs à estratégia de identidade corporativa

      Para fortalecer os programas de identidade corporativa, as organizações podem incorporar uma governança robusta de NHIs como um elemento estrutural. Estabelecer um framework de governança que defina padrões claros para criação, uso e desativação dessas identidades contribui para  tornar a segurança da NHI um pilar central das estruturas de identidade, risco e conformidade.

      A descoberta abrangente de todas as NHIs, seguida por avaliação de riscos e aplicação consistente do princípio do menor privilégio, é essencial para sua proteção. Alinhar o gerenciamento de NHIs a outras soluções de segurança cibernética — como IAM, Gerenciamento de Informações e Eventos de Segurança (Security Information and Event Management - SIEM), Orquestração, Automação e Resposta de Segurança (Security Orchestration, Automation and Response - SOAR) e Detecção e Resposta a Ameaças de Identidade (Identity Threat Detection and Response - ITDR) — e centralizar a visibilidade em uma única fonte de verdade para identidades, segredos e integrações são ações que permitem eliminar silos entre ambientes. As políticas devem estar vinculadas a resultados mensuráveis, como redução da superfície de ataque,aceleração da resposta a incidentes e garantia de prontidão para auditorias.

      Olhando para o futuro, a governança deve antecipar a ascensão da IA agêntica, aplicando controles de política e monitoramento contínuo para garantir que agentes autônomos operem estritamente dentro dos limites definidos. Proteções complementares para agentes de IA devem reforçar a governança de NHIs, impondo limites operacionais seguros e mascarando dados sensíveis durante interações com modelos. Ao integrar essas medidas, as organizações conseguem preparar sua estratégia de identidade para o futuro, equilibrando inovação, segurança e conformidade. A descoberta contínua, a aplicação do princípio do privilégio mínimo e a higiene rigorosa de segredos podem transformar as NHIs de riscos invisíveis em ativos governados que possibilitam a inovação segura.

      Líderes de cibersegurança podem começar implementando esses três passos fundamentais para uma gestão eficaz de NHIs

      1. Descoberta e inventário contínuos das NHIs:

      • Mapear sistemas e plataformas em nuvem para visualizar todas as identidades agênticas e não humanas.
      • Criar inventários abrangentes que registrem responsável designado, níveis de  privilégio, status de credenciais e dados de monitoramento para fins de supervisão e comprovação.

      2. Avaliação e priorização de riscos:

      • Classificar as NHIs de acordo com nível de acesso, escopo e impacto potencial.
      • Correlacionar informações de identidades e segredos para detectar e corrigir identidades de alto risco, órfãs ou mal configuradas.
      • Aplicar rigorosamente o princípio do menor privilégio e manter trilhas de auditoria qualificadas para conformidade e resposta a incidentes.

      3. Governança e controle:

      • Distinguir ações de agentes por meio de autoridade delegada e fluxos em nome dos agentes (on-behalf-of).
      • Automatizar o desprovisionamento e garantir a remoção de identidades obsoletas ou comprometidas.
      • Utilizar mecanismos técnicos, como policy-as-code e rotação de credenciais, para impor limites de uso e detectar anomalias em tempo real.

      Proteger identidades não humanas deixou de ser opcional – agora é um pilar central da segurança cibernética corporativa. Tratar as NHIs como identidades de primeiro nível dentro do IAM é fundamental para construir sistemas autônomos confiáveis, fortalecer a resiliência organizacional e manter vantagem competitiva na economia digital.