PAM 
Un modo efficace per valutare una piattaforma moderna per la protezione dell'identità è considerare tre pilastri fondamentali: autenticazione e controlli di accesso solidi, gestione degli accessi
Pubblicato il Marzo 23, 2026
Le identità non umane (NHI) e gli agenti AI, inclusi gli account di servizio, le credenziali CI/CD e le identità dei carichi di lavoro cloud, superano ormai le identità umane nei sistemi di gestione delle identità aziendali con un rapporto compreso tra 50:1 e 100:1. Le moderne piattaforme di sicurezza delle identità devono assegnare le identità a questi asset e inoltre applicare ruoli, policy di controllo degli accessi, visibilità e governance per proteggere l’azienda moderna.
Man mano che gli agenti AI e l’automazione si diffondono negli ambienti cloud, CI/CD e SaaS, i bot, gli account di servizio e le identità dei workload si moltiplicano a un ritmo tale che i team di sicurezza non riescono a tenerne traccia e a gestirli, con una conseguente proliferazione incontrollata delle identità digitali. Questo fenomeno va spesso di pari passo con la proliferazione dei dati riservati, poiché chiavi API, token e certificati si moltiplicano senza una chiara attribuzione di responsabilità o una politica di rotazione, creando ulteriori percorsi di accesso privilegiato con autorizzazioni eccessive e visibilità limitata.
In questo blog analizzeremo i motivi per cui il fenomeno della proliferazione delle identità digitali sta accelerando, i rischi che comporta in termini di sicurezza e conformità e come le organizzazioni possano tenerlo sotto controllo grazie a una piattaforma di sicurezza e governance delle identità come Keeper.
Perché la proliferazione incontrollata delle identità digitali è in aumento
Gli agenti di AI sono spesso costruiti per eseguire, non per rimanere in una coda in attesa che qualcuno clicchi su “approva”. Basta impostare un obiettivo del tipo “fornire un nuovo ambiente” e il sistema si metterà al lavoro: avvierà risorse cloud, richiamerà API, avvierà processi CI/CD, scaricherà dati dai repository, eseguirà query sui database e verificherà le impostazioni nelle console di amministrazione. Ma per muoversi così velocemente, è necessario l’accesso da macchina a macchina, che di solito significa creare (o riutilizzare) account di servizio, identità di workload, ruoli cloud, certificati e altre entità non umane.
È qui che si fa strada la proliferazione delle identità digitali. Le identità umane le identità non umane si diffondono tra strumenti e piattaforme più rapidamente di quanto i team riescano ad attribuire chiaramente la proprietà, applicare controlli coerenti o revocare l’accesso una volta completato il lavoro.
I rischi della proliferazione delle identità digitali
Con il moltiplicarsi delle identità non umane, gli accessi con privilegi vengono distribuiti tra pipeline, ruoli cloud, integrazioni e script, spesso senza che vi sia una chiara attribuzione di responsabilità o una scadenza definita. Ciò offre agli hacker ulteriori possibilità di penetrare nei sistemi, muoversi lateralmente ed elevare i propri privilegi, rendendo inoltre le verifiche e le indagini più complesse del necessario.
La maggior parte dei problemi si manifesta secondo alcuni schemi prevedibili:
- Gli account di servizio vengono creati per un progetto o un workload, poi diventano orfani quando cambia la proprietà. Le chiavi e i token rimangono attivi perché nessuno ha il compito di disattivarli.
- L’automazione è spesso sovradimensionata per evitare errori; tali autorizzazioni persistono a lungo dopo il completamento del lavoro. Il privilegio permanente diventa così di fatto lo standard.
- Le credenziali condivise e i segreti integrati nel codice, nei file di configurazione e nelle pipeline rendono difficile tracciare gli accessi e ne facilitano il riutilizzo.
- Quando un agente o un sistema di automazione interagisce con sistemi sensibili, i team faticano a rispondere a domande basilari come a quali dati ha avuto accesso, cosa ha modificato e perché aveva quel livello di accesso.
Questi errori tecnici si trasformano rapidamente in un vero rischio operativo:
- Il furto delle credenziali consente il movimento laterale e facilita l’escalation dei privilegi, poiché le credenziali valide a lungo termine e le autorizzazioni permanenti offrono agli aggressori il tempo e lo spazio necessari per ampliare il proprio accesso.
- La risposta agli incidenti rallenta quando la proprietà non è chiara e i percorsi di accesso sono frammentati su più strumenti, team e ambienti.
- La preparazione agli audit risente della mancanza di coerenza nelle approvazioni e dell’incompletezza delle prove, soprattutto quando non è possibile fornire registri chiari o dati relativi all’attività delle sessioni collegati a un’identità specifica.
In che modo Keeper aiuta a ridurre la proliferazione delle identità digitali
Ridurre la proliferazione delle identità digitali non significa inseguire ogni nuova identità non appena compare. Si tratta di modificare il sistema affinché gli accessi con privilegi vengano gestiti in modo coerente, anche quando il numero delle identità cresce. Ecco in che modo Keeper può essere d’aiuto:
1. Controllo degli accessi con privilegi centralizzato
Quando gli accessi con privilegi sono sparsi tra console cloud, strumenti di CI, jump box e secret condivisi, non è possibile avere una visione d’insieme. Centralizzare i flussi di lavoro relativi agli accessi con privilegi consente di rispondere rapidamente alle domande fondamentali:
- Quali identità hanno accesso con privilegi?
- Dove effettuano l’autenticazione?
- Chi ha approvato l’accesso e per quanto tempo?
- Che cosa è successo durante la sessione?
KeeperPAM® centralizza l’accesso privilegiato a server, database, applicazioni web e altro ancora in ambienti cloud e on-premise, con supporto integrato per protocolli quali SSH, RDP, VNC, HTTPS e i database più diffusi.
2. Applicare l’accesso con privilegi minimi e limitato nel tempo
Il privilegio permanente è uno dei principali fattori che favoriscono la proliferazione delle identità digitali. Gli agenti AI e altre identità non umane tendono a operare continuamente e i team spesso concedono ampie autorizzazioni per evitare di interrompere le automazioni. Con il passare del tempo, quelle autorizzazioni “temporanee” si trasformano in percorsi di accesso permanenti che nessuno controlla più.
KeeperPAM aiuta a passare all’accesso just-in-time e a ridurre i privilegi permanenti, consentendo un accesso alle risorse limitato nel tempo. Quando termina il periodo di approvazione, l’accesso viene automaticamente revocato, così i privilegi non rimangono attivi anche dopo il completamento dell’attività.
3. Evitare di esporre le credenziali quando possibile
Per permettere agli agenti di AI di fare il loro lavoro, i team spesso forniscono loro dati sensibili come chiavi API o token. Questi dati si diffondono rapidamente, ed è allora che la diffusione incontrollata delle identità digitali diventa pericolosa.
KeeperPAM riduce quell’esposizione facendo da intermediario nell’accesso con privilegi sia per le persone che per l’automazione basata sull’AI. Nelle sessioni privilegiate remote, gli utenti e gli agenti non entrano mai in contatto con le credenziali o le chiavi SSH sottostanti. Anziché distribuire le credenziali tra persone, agenti e processi, l’accesso viene gestito tramite la piattaforma, in modo che le credenziali rimangano protette e ogni azione sia visibile e verificabile.
4. Automatizzare la rotazione e la gestione del ciclo di vita
Anche un rilevamento accurato non risolve il problema di fondo se i dati riservati violati rimangono validi. Più a lungo una credenziale rimane in uso, maggiore è la probabilità che venga riutilizzata, copiata e dimenticata, soprattutto quando le identità non umane vengono create per carichi di lavoro di breve durata, mentre le informazioni riservate su cui si basano hanno una durata molto più lunga. GitGuardian riporta che il 70% dei dati riservati esposti nei repository pubblici nel 2022 è ancora valido oggi, il che evidenzia una lacuna nella rotazione e nella correzione.
KeeperPam supporta la rotazione automatica delle credenziali in modo che le credenziali privilegiate non rimangano statiche. Ciò riduce il periodo di esposizione e diminuisce il rischio che una credenziale violata diventi un percorso di accesso permanente.
5. Acquisizione delle attività e dei log delle sessioni per la responsabilità e le revisioni
Se un agente AI o una pipeline di automazione entra in contatto con un sistema sensibile, è necessario disporre di prove.
KeeperPAM consente la registrazione e la riproduzione delle sessioni di accesso con privilegi. Le sessioni remote consentono di registrare l’attività dello schermo e della tastiera su diversi protocolli, tra cui SSH, RDP, VNC, sessioni di database e sessioni del browser web, garantendo la coerenza delle prove anche in ambienti ibridi.
Per la conformità e la gestione degli incidenti, KeeperPAM abbina le registrazioni a registri dettagliati e report automatici, per aiutarti a rispondere rapidamente a domande di audit quali: chi ha avviato l’accesso, quando è avvenuto, a quale risorsa si è avuto accesso e quale attività è stata svolta. KeeperAI fornisce riepiloghi criptati delle attività e termina automaticamente le sessioni ad alto rischio. Gli eventi possono anche essere registrati sulle principali piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM), che aiutano a correlare l’attività delle sessioni privilegiate con gli avvisi provenienti da endpoint, cloud e strumenti di rete.
Tenere sotto controllo la proliferazione delle identità digitali
Gli agenti AI stanno accelerando l’automazione in tutta l’azienda e la creazione di identità non umane come account di servizio, identità di dei carichi di lavoro, ruoli cloud e certificati, oltre ai segreti che queste identità utilizzano, come chiavi API e token. Quando queste identità crescono più velocemente della governance, gli accessi con privilegi si diffondono, le autorizzazioni permanenti persistono e i team di sicurezza perdono visibilità su cosa è stato effettuato l’accesso e perché.
KeeperPAM aiuta a controllare la proliferazione delle identità digitali centralizzando gli accessi con privilegi, applicando il principio del privilegio minimo a tempo limitato, riducendo l’esposizione delle credenziali e raccogliendo prove per gli audit.
Richiedi una demo per vedere come KeeperPAM può aiutarti a tenere sotto controllo la proliferazione delle identità digitali.
