PAM 
À medida que os agentes de inteligência artificial (IA) se tornam mais autônomos ao acessar sistemas críticos e agir sem supervisão humana em tempo real, eles
Publicado em outubro 06, 2025
A maioria das soluções de acesso à rede zero-trust (ZTNA) afirma eliminar riscos de segurança baseados em perímetro, mas muitas acabam introduzindo novas vulnerabilidades. Na conferência de hackers DEF CON, em agosto de 2025, pesquisadores revelaram falhas graves em vários produtos populares de ZTNA, incluindo bypass de autenticação e exposição de credenciais. O KeeperPAM® ajuda a eliminar as brechas de segurança que as soluções tradicionais de ZTNA não conseguem resolver, aplicando confiança zero, criptografia de conhecimento zero, acesso baseado em cofres e conectividade somente de saída.
Continue lendo para entender as limitações das soluções legadas de ZTNA e como o KeeperPAM aborda essas falhas para fornecer acesso seguro sem expor dados confidenciais.
As brechas de segurança nas ferramentas legadas de ZTNA
Embora sejam apresentadas como uma alternativa mais segura às redes privadas virtuais (VPNs), muitas ferramentas legadas de ZTNA introduzem vulnerabilidades que podem ser tão prejudiciais quanto as ameaças cibernéticas que buscam evitar. Descobertas apresentadas pela AmberWolf na DEF CON 33 destacaram uma série de problemas de segurança em produtos líderes de ZTNA, incluindo vulnerabilidades que permitem que criminosos cibernéticos escalem privilégios em dispositivos de usuários e acessem recursos críticos sem serem detectados.
Bypass de autenticação
Como muitas plataformas de ZTNA dependem de métodos de autenticação antigos ou mal implementados, implementações frágeis de SAML podem permitir que hackers reutilizem tokens e ignorem completamente a autenticação. Em alguns casos, os fluxos de registro de dispositivos são aplicados de forma inadequada, criando vulnerabilidades que permitem que dispositivos não autenticados se conectem a sistemas críticos.
Exposição de credenciais
Um dos problemas mais sérios das soluções legadas de ZTNA é o manuseio incorreto de credenciais. Segredos de longa duração, como chaves de API, chaves SSH ou tokens de acesso, costumam ser armazenados em endpoints ou na memória, onde ficam vulneráveis ao roubo por meio de malware ou comprometimento local. Depois que essas credenciais são expostas, elas podem ser reutilizadas para movimentação lateral ou escalonamento de privilégios dentro da rede.
Fragilidades arquitetônicas
Em vez de limitar a confiança, muitas soluções de ZTNA acabam expandindo-a por causa de falhas na arquitetura. Isso inclui exigir a instalação de certificados raiz confiáveis para inspeção de tráfego, expor gateways à internet e rotear o tráfego pela infraestrutura do fornecedor. Essas fragilidades aumentam a superfície de ataque da organização, contrariando diretamente os princípios fundamentais da segurança de confiança zero.
Falsificação de postura
Algumas soluções de ZTNA dependem de verificações de postura para determinar se um dispositivo é seguro, analisando versões do sistema operacional ou certificados do dispositivo. No entanto, muitas dessas verificações são executadas no lado do cliente e podem ser facilmente manipuladas. Se a solução aceitar tokens ou credenciais em cache sem revalidar o dispositivo, os hackers podem simular conformidade de postura, enganando o sistema e obtendo acesso não autorizado ao se passar por um dispositivo legítimo.
Como o KeeperPAM elimina essas fragilidades
O KeeperPAM foi projetado para eliminar as vulnerabilidades comuns das soluções tradicionais de ZTNA. Ao combinar criptografia de conhecimento zero, acesso just-in-time (JIT) e uma arquitetura somente de saída, o KeeperPAM implementa o verdadeiro modelo de confiança zero, sem expor credenciais nem aumentar a superfície de ataque. Aqui estão os principais recursos do KeeperPAM:
- Arquitetura de conhecimento zero: com o KeeperPAM, as credenciais nunca são expostas aos usuários, armazenadas em dispositivos nem acessíveis pelo Keeper. Isso garante que todos os segredos sejam criptografados e descriptografados no nível do dispositivo e do registro.
- Acesso just-in-time (JIT): o KeeperPAM permite que os administradores concedam acesso apenas quando necessário e apenas durante a duração da sessão. Após o encerramento da sessão, o KeeperPAM rotaciona automaticamente as credenciais para evitar reutilização ou roubo.
- Arquitetura somente de saída: o Keeper Gateway estabelece conexões criptografadas de ponta a ponta sem abrir portas de firewall de entrada nem expor endpoints, garantindo conectividade segura.
- Monitoramento e gravação de sessões: o KeeperPAM monitora e grava todas as sessões privilegiadas, incluindo SSH, RDP e TLS, para fins de auditoria e conformidade. O KeeperAI fornece detecção e resposta a ameaças com IA agêntica, permitindo que sessões de alto risco sejam encerradas automaticamente.
- Suporte nativo a ferramentas com segurança de confiança zero: ao oferecer tunelamento seguro e acesso remoto por meio de ferramentas nativas como MySQL Workbench ou pgAdmin, o KeeperPAM mantém a segurança de confiança zero em segundo plano.
- Integração perfeita com provedores de identidade (IdPs): o KeeperPAM funciona com IdPs existentes, garantindo autenticação e provisionamento seguros sem comprometer a criptografia de conhecimento zero.
KeeperPAM versus abordagens legadas de ZTNA
Enquanto a maioria das soluções de ZTNA afirma minimizar riscos, muitas ainda dependem de arquiteturas obsoletas que deixam grandes lacunas de segurança. O KeeperPAM adota uma abordagem diferente, eliminando a exposição de credenciais, reduzindo suposições de confiança e aplicando controles de acesso granulares. A seguir estão as principais diferenças arquitetônicas e operacionais entre o KeeperPAM e as ferramentas legadas de ZTNA:
| Category | KeeperPAM | Traditional ZTNA |
|---|---|---|
| Credential storage | Credentials are encrypted in a zero-knowledge vault and never exposed to users. | Secrets are often stored on devices or in memory, leaving them vulnerable to theft. |
| Gateway exposure | Outbound-only architecture eliminates the need to open inbound firewall ports. | Requires publicly exposed gateways, which expands the attack surface. |
| Token replay risk | Vault-initiated sessions with JIT access help prevent token replay. | Reusable tokens and weak authentication methods allow for token replay. |
| Root certificate installation | Encryption remains end-to-end, making it unnecessary to install trusted root certificates. | Trusted root certificates are often required for traffic inspection, expanding trust boundaries. |
| Traffic interception | No traffic interception is needed since sessions are recorded for SSH, RDP and TLS. | Relies on traffic interception and vendor infrastructure for monitoring. |
| Access control | Just-in-Time (JIT) access with automatic credential rotation. | Broad access policies expand standing access and allow for lateral movement. |
Garanta o futuro da sua estratégia de acesso com o KeeperPAM
À medida que os criminosos cibernéticos exploram fragilidades em ferramentas tradicionais de ZTNA, confiar em soluções de acesso desatualizadas já não é seguro. As organizações precisam de uma solução projetada para aplicar o modelo de confiança zero sem comprometer a segurança, e o KeeperPAM entrega exatamente isso. Ao combinar criptografia de conhecimento zero, acesso baseado em cofres e controles de acesso granulares, o KeeperPAM elimina a exposição de credenciais e reduz a superfície de ataque.
Start your free trial of KeeperPAM today to close security gaps and future-proof your access strategy with a scalable and secure solution built for modern cyber threats.
