Connect with us

Além do Humano: Protegendo a IA Agente e Identidades Não Humanas em um Mundo Impulsionado por Violações

Líderes de pensamento

Além do Humano: Protegendo a IA Agente e Identidades Não Humanas em um Mundo Impulsionado por Violações

mm mm
Published
Updated

Se você esteve perto de uma SOC de empresa nos últimos 18 meses, você viu isso. Os alertas que não mapeiam para uma pessoa. As credenciais que pertencem a “algo”, não “alguém”. A automação que se move mais rápido do que o seu playbook de IR pode acompanhar.

E ultimamente, não é apenas ruído, é a causa raiz dos maiores headlines em nossa indústria. Desde o incidente cibernético da Victoria’s Secret que interrompeu as vendas e desencadeou uma ação coletiva, até comprometimentos de nuvem multi-locatários que expuseram dados sensíveis em clientes, um número crescente de violações agora origina-se de identidades que não podemos ver, não rastreamos ou mal entendemos.

A ascensão da IA agente, sistemas autônomos que podem atuar em aplicativos, APIs e infraestrutura, colidiu com a explosão de identidades não humanas (NHIs), incluindo contas de serviço, bots, chaves de API e credenciais de máquina. Juntos, criaram uma nova superfície de ataque que se expande mais rápido do que a maioria das organizações pode proteger.

O que Entendemos por “IA Agente”

IA agente refere-se a “agentes” de IA que podem tomar metas e executar tarefas multi-etapas de forma autônoma, frequentemente em vários sistemas, sem supervisão humana.

  • Podem chamar APIs, atualizar bancos de dados ou acionar fluxos de trabalho.

  • Opera em velocidade de máquina – segundos, não minutos.

  • Riscos: Injeção de prompts, dados de treinamento envenenados, credenciais roubadas.

A Escala com que Estamos Lidando

Identidades de máquina já superam em número os humanos na maioria das empresas, em alguns casos por 20:1 ou mais. Até 2026, essa proporção deve quase dobrar. Essas NHIs estão em suas cargas de trabalho em nuvem, pipelines de CI/CD e integrações de API, e agora estão impulsionando automação baseada em LLM.

O desafio: A maioria dos sistemas de IAM foi projetada para gerenciar pessoas, não máquinas.

  • Contas sem dono claro.

  • Credenciais estáticas que nunca expiram.

  • Privilégios muito além do necessário.

Não é hipotético. Violações na Uber e Cloudflare foram rastreadas até contas de máquina comprometidas – o tipo que nunca recebe simulações de phishing, mas pode desbloquear infraestrutura crítica.

IA Agente: Um Multiplicador de Risco

Por um lado, a IA agente é um game-changer operacional. Por outro, se seu acesso for comprometido, você tem automação funcionando para o adversário.

Considere:

  • Um agente de IA com direitos de leitura e gravação em aplicativos SaaS pode automatizar o roubo de dados sem disparar a detecção de anomalias humanas.

  • Se esse agente puder alterar funções de IAM ou implantar recursos em nuvem, você tem escalada de privilégio em piloto automático.

  • Ataques de injeção de prompts e envenenamento de modelo significam que os atacantes podem redirecionar um agente de IA sem roubar suas credenciais.

Vimos o quão perigosa pode ser uma conta de serviço mal gerenciada. Agora dê a essa conta a capacidade de tomar decisões, e as apostas se multiplicam.

Estudos de Caso: Análise de Violações na Era da IA + NHI

Victoria’s Secret (maio de 2025)
Durante o fim de semana do Memorial Day, a Victoria’s Secret removeu seu site nos EUA e alguns serviços nas lojas em o que parecia ser um incidente do tipo ransomware (The Hacker News, Bitdefender). A interrupção durou dias e contribuiu para uma queda estimada de $20 milhões na receita do segundo trimestre. Uma ação coletiva subsequente alega que o varejista falhou em criptografar dados sensíveis, pulou auditorias de segurança críticas e negligenciou o treinamento de segurança cibernética dos funcionários (Top Class Actions), todas lacunas que espelham as fraquezas frequentemente vistas em identidades não humanas (NHIs) com acesso privilegiado.

Violação da Salesforce do Google (junho de 2025)
Em junho, atacantes vinculados ao grupo ShinyHunters (UNC6040) obtiveram acesso a uma instância corporativa de CRM da Salesforce por meio de técnicas de vishing (ITPro). Uma vez dentro, eles exfiltraram dados de contato pertencentes a clientes de pequenas e médias empresas. Embora isso tenha começado com engenharia social direcionada a humanos, o ponto de inflexão foi um aplicativo conectado — uma forma de identidade de máquina — que permitiu que os intrusos se movessem lateralmente sem disparar a análise de comportamento do usuário.

Interrupções de Varejistas e Marcas de Luxo (M&S, Cartier, The North Face)
Uma onda de ataques a varejistas importantes, incluindo The North Face e Cartier, expôs nomes de clientes, e-mails e metadados de conta selecionados (Sangfor, WSJ). Marks & Spencer foi atingido particularmente, um ataque de ransomware e de cadeia de suprimentos atribuído ao grupo ‘Scattered Spider’ interrompeu os serviços de coleta e entrega por mais de 15 semanas e é estimado ter custado ao varejista até £300 milhões. Em cada caso, integrações de terceiros e conexões de API, frequentemente apoiadas por NHIs, se tornaram habilitadores silenciosos para os atacantes.

O que é uma Identidade Não Humana (NHI)?

NHIs são credenciais e contas usadas por máquinas, não pessoas. Exemplos:

  • Contas de serviço para bancos de dados ou aplicativos.

  • Chaves de API para integração de nuvem para nuvem.

  • Credenciais de bot para scripts de automação.

Riscos: Superprivilegiadas, submonitoradas e frequentemente deixadas ativas por muito tempo após o uso.

Por que a Governança está Atrasada

Mesmo programas de IAM maduros atingem obstáculos aqui:

  • Lacunas de Descoberta — Muitas organizações não podem produzir um inventário completo de NHI.

  • Negligência do Ciclo de Vida — NHIs frequentemente persistem por anos, sem revisão regular.

  • Vazios de Responsabilidade — Sem um proprietário humano, a limpeza cai pelas brechas.

  • Crescimento de Privilégios — Permissões se acumulam à medida que as funções mudam, mas a revogação é lenta.

Este é o mesmo problema que estamos lutando com contas humanas há décadas — apenas agora, cada NHI pode operar 24/7, em escala, sem disparar controles de risco “humanos”.

Um Livro de Instruções de Fornecedor-Neutro para Proteger NHIs e Agentes de IA

  1. Descoberta Abrangente — Mapeie cada NHI e agente de IA, incluindo privilégios, proprietários e integrações.

  2. Atribua Proprietários Humanos — Torne alguém responsável pelo ciclo de vida de cada NHI.

  3. Impõe o Privilégio Mínimo — Faça com que as permissões correspondam ao uso real; remova o excesso.

  4. Automatize a Higiene de Credenciais — Gire chaves, use tokens de vida curta, expire automaticamente contas inativas.

  5. Monitoramento Contínuo — Detecte anomalias como chamadas de API inesperadas ou escaladas de privilégio.

  6. Integre a Governança de IA — Trate agentes de IA como administradores de alto privilégio: registre atividade, faça cumprir política, permita acesso justo no tempo.

(Essas etapas estão alinhadas com NIST CSF, CIS Control 5 e práticas recomendadas emergentes Gartner IVIP.)

Por que Isso Tem que Acontecer Agora

Isso não é apenas sobre perseguir uma tendência de IA. É sobre reconhecer que o perímetro de identidade mudou de pessoas para processos. Os atacantes sabem disso. Se continuarmos tratando identidades de máquina como uma afterthought, estamos dando aos adversários o ponto cego que eles precisam para operar sem ser detectados.

As equipes que permanecerão à frente são aquelas que fazem a governança de NHI e agente uma parte de primeira classe da segurança de identidade, com visibilidade, propriedade e disciplina de ciclo de vida em vigor antes que a próxima violação force a questão.

mm

Mike Towers é o Chief Security & Trust Officer da Veza, onde lidera a estratégia de cibersegurança e proteção de dados da empresa. Ele supervisiona o Conselho Consultivo da Veza, avança suas capacidades de segurança de identidade e garante que os clientes entendam o valor único da plataforma de segurança de identidade e acesso inteligente líder no setor da Veza. A equipe de Mike trabalha para proteger a plataforma da Veza e ajudar os clientes a lidar com desafios complexos de controle de acesso que vêm com a expansão digital e em nuvem.

Como fundador da Digital Trust Group LLC e um executivo experiente, Mike se especializa em segurança digital, confiança e resiliência empresarial. Antes de Veza, ele atuou como Chief Digital Trust Officer da Takeda e ocupou cargos de liderança na Allergan e GSK, onde construiu estruturas de segurança robustas. Ao longo de sua carreira, ele influenciou mais de 50 negócios de fusões e aquisições e foi incluído no Hall da Fama do CSO. Um palestrante, autor e consultor de conselho respeitado, Mike continua a defender a inovação responsável, a proteção de dados e o compartilhamento de conhecimento. Com sede em Boston, ele permanece uma voz líder no avanço da confiança e segurança digitais.

mm

Matthew Romero is a Technical Product Marketing Manager at Veza, where he bridges engineering precision with marketing strategy in the identity security space. With a background in SecOps and hands-on experience with the Microsoft Defender team, he approaches content with a practitioner’s mindset—writing for engineers first, while aligning with the needs of security leaders.

His work highlights how architecture-first approaches solve real-world challenges in access governance, compliance, and risk reduction. Known for his candid, engineer-to-engineer voice, Matthew focuses on simplifying complexity, helping security teams operationalize identity-first defense models, and clarifying the core question in modern security: who can access what?

He is Asana-certified and credits a neurodivergent lens (ADHD and ASD) with balancing precision and adaptability. Outside of work, Matthew enjoys the Pacific Northwest outdoors, family time, and running a Minecraft server.