O que é uma identidade em cibersegurança?
- Glossário do IAM
- O que é uma identidade em cibersegurança?
Em cibersegurança, uma identidade é um conjunto único de atributos usado para representar uma entidade para fins de identificação e autenticação. Embora a identidade seja normalmente associada a contas de usuário, uma entidade também pode ser uma máquina, aplicativo, serviço ou agente de IA. Cada um requer sua própria identidade para que os sistemas possam reconhecê-lo e verificá-lo, determinar o que ele tem permissão para fazer, quais recursos ele pode acessar e quais ações pode executar. Em cibersegurança, a identidade cria a base para duas funções principais de segurança: autenticação e autorização. Sem uma maneira de estabelecer a identidade, nem autenticação nem autorização são possíveis, tornando o gerenciamento de identidade uma parte crucial de uma estratégia de segurança.
Por que as identidades são importantes na segurança cibernética
Cada solicitação de acesso está vinculada a uma identidade. Seja um usuário fazendo login em um serviço, um aplicativo consultando um banco de dados ou um script executando um processo, cada identidade é usada para determinar se uma solicitação pode ser autenticada e qual acesso deve ser autorizado. Como uma única identidade comprometida pode conceder acesso a informações sensíveis e sistemas críticos, as identidades são alvos extremamente valiosos para os cibercriminosos.
O principal desafio é a dispersão de identidades, que é a proliferação de identidades não governadas em ambientes locais, híbridos e na nuvem. À medida que as organizações adotam mais serviços em nuvem e integrações de terceiros, o número de identidades cresce rapidamente, tornando-as cada vez mais difíceis de monitorar e governar. A IA também está acelerando o crescimento de identidades nas organizações, muitas vezes com as equipes de TI e segurança sem visibilidade sobre o número de identidades ou seu raio de impacto.
Contas órfãs, permissões excessivas e contas de serviço não monitoradas ampliam a superfície de ataque. Com ataques baseados em identidade, como roubo de credenciais e phishing, consistentemente classificados entre os vetores de ataque mais prevalentes em cibersegurança, as credenciais devem ser protegidas para garantir que as identidades permaneçam seguras.
Quais atributos compõem uma identidade em segurança cibernética?
Uma identidade é definida por um conjunto único de características que permitem aos sistemas reconhecer, verificar e distinguir uma entidade de outra. Esses atributos variam de acordo com o tipo de entidade, mas alguns dos mais comuns incluem:
- Nome de usuário
- Endereço de e-mail
- Endereço IP
- Certificados
- Chaves criptográficas
- Sinais comportamentais
- Funções e permissões
- Associações de grupo
- Metadados
- Informações de sessão
Nenhum atributo único define completamente uma identidade. Quando avaliados em conjunto, esses atributos permitem que sistemas de segurança tomem decisões conscientes do contexto ao sinalizar anomalias comportamentais, impor controles de acesso dinâmicos e reduzir a dependência de qualquer fator que possa ser falsificado ou comprometido.
Tipos de identidades em cibersegurança
Na segurança cibernética, as identidades vão além das contas de usuários individuais, pois qualquer entidade que interaja com um ambiente digital pode ter uma identidade. Essas entidades se enquadram em quatro categorias principais:
- Identidades humanas
- Identidades não humanas (NHIs)
- Identidades de máquina e de aplicativo
- Ações e recursos
Identidades humanas
As identidades humanas representam as pessoas que se autenticam e interagem diretamente com os sistemas, incluindo funcionários, clientes, administradores e usuários privilegiados. Essas identidades costumam estar vinculadas a credenciais individuais, como nomes de usuário e senhas, e são gerenciadas por provedores de identidade (IdPs). Como as identidades humanas são frequentemente alvo de ataques cibernéticos, elas exigem controles rigorosos de autenticação e monitoramento contínuo.
Identidades não humanas (NHIs)
As NHIs são identidades digitais, incluindo contas de serviço, aplicativos, cargas de trabalho, APIs e agentes de IA. Essas identidades normalmente dependem de credenciais como chaves de API, segredos, tokens e certificados para autenticação. Diferentemente das identidades humanas, as identidades não humanas (NHIs) costumam operar continuamente em segundo plano, tornando-se fáceis de serem negligenciadas pelas equipes de segurança. Isso é exatamente o que as torna tão perigosas: as identidades não humanas (NHIs) tendem a ser superprivilegiadas e permanecem sem gerenciamento por longos períodos. Sem uma governança adequada, as identidades não humanas (NHIs) tornam-se pontos de entrada para que cibercriminosos tenham acesso não autorizado silenciosamente, movam-se lateralmente e escalonem privilégios.
Identidades de máquina e de aplicativo
As identidades de máquinas fazem parte da infraestrutura física e virtual que compõe os ambientes digitais. Servidores, endpoints e dispositivos da Internet das Coisas (IoT) precisam ser autenticados antes de poderem se comunicar em uma rede. As identidades de aplicativo abrangem a camada de software, incluindo bancos de dados, serviços em nuvem e plataformas SaaS que se autenticam regularmente umas às outras para funcionar. Essa comunicação entre serviços é uma parte fundamental da infraestrutura moderna em nuvem, e a identidade é o que a torna segura. Sem identidades autenticadas de máquina e de aplicativo, as organizações não têm uma maneira confiável de garantir que somente sistemas confiáveis estejam trocando dados.
Ações e recursos como contexto de identidade
Ações e recursos não têm identidades da mesma maneira que usuários e máquinas, mas estão associados a identidades e políticas de acesso. Ações como consultas, execuções e conexões de rede são sempre realizadas no contexto de uma identidade, criando um contexto comportamental e registros essenciais para a detecção e conformidade de ameaças. Recursos como arquivos, entradas de banco de dados e drives compartilhados são tipicamente governados por políticas de acesso que definem quais identidades podem interagir com eles e o que as identidades podem fazer. Juntos, ações e recursos fornecem as camadas contextuais e comportamentais necessárias que permitem aos sistemas avaliar riscos, detectar atividades suspeitas e impor controles mais rigorosos quando a atividade se desvia da norma.
Identidade x autenticação x autorização
Embora intimamente relacionadas, identidade, autenticação e autorização são três conceitos separados que atuam em sequência para governar o acesso em sistemas seguros. Identidade refere-se a quem ou o que uma entidade é, incluindo o conjunto de atributos que a definem. A autenticação é o processo pelo qual essa identidade é verificada, confirmando que a entidade é quem afirma ser por meio de uma senha, certificado ou dados biométricos.
A autenticação multifator (MFA) reforça isso ao exigir dois ou mais desses fatores. Em contrapartida, a autorização define o que a identidade verificada tem permissão para fazer, como ler um arquivo, mas não modificá-lo, ou executar uma ação específica. Em conjunto, esses três conceitos formam a espinha dorsal do controle de acesso, e uma falha em qualquer camada pode comprometer a segurança de todo o sistema.
Como as organizações gerenciam e protegem as identidades
O gerenciamento de identidades é uma parte fundamental dos modelos de segurança de confiança zero. Em vez de conceder acesso amplo com base na localização da rede ou em um único login, a confiança zero assume que nenhuma identidade deve ser confiável por padrão e exige verificação contínua de identidades e solicitações de acesso. A segurança baseada em identidade torna essenciais práticas robustas de gerenciamento de identidade. Aqui estão algumas maneiras pelas quais as organizações podem gerenciar e proteger identidades:
- Imponha o acesso de menor privilégio: a cada identidade devem ser concedidas somente as permissões mínimas necessárias. O princípio do privilégio mínimo deve ser imposto em todas as camadas e revisto regularmente para remover permissões desnecessárias e reduzir o risco de exploração.
- Use MFA em todos os lugares: a autenticação multifator exige que uma entidade verifique sua identidade por meio de dois ou mais fatores. Isso deve ser aplicado universalmente, ainda mais a contas privilegiadas e usuários com acesso remoto a sistemas críticos.
- Implemente o Gerenciamento de Acesso Privilegiado (PAM): as soluções de PAM fornecem controle centralizado sobre contas privilegiadas. Elas permitem que as organizações imponham controles de acesso granulares, exijam verificações adicionais para operações críticas e mantenham trilhas de auditoria detalhadas.
- Rotacione credenciais e segredos automaticamente: credenciais que raramente ou nunca mudam são vulnerabilidades persistentes. A rotação automatizada garante que credenciais e segredos de todas as identidades sejam atualizados regularmente, limitando a janela de oportunidade para cibercriminosos.
- Monitore e grave a atividade da sessão: o monitoramento contínuo e a gravação de sessões criam um registro em tempo real do que as identidades estão fazendo com o acesso. Em conjunto com a análise comportamental, o monitoramento de sessões permite que as organizações identifiquem ameaças que burlam a autenticação, aproveitando-se de credenciais legítimas, porém comprometidas.
- Proteja identidades de máquina e fluxos de trabalho automatizados: as máquinas têm identidades que devem ser governadas pelos mesmos padrões que os usuários humanos. As organizações devem manter um inventário completo das identidades de máquina e garantir que os fluxos de trabalho automatizados operem com permissões auditadas regularmente.
- Governe os agentes de IA: os agentes de IA estão cada vez mais consultando sistemas e interagindo com a infraestrutura de maneira autônoma, por isso devem ser tratados como identidades distintas sujeitas à mesma governança que outras entidades. Sem uma governança de identidade adequada para agentes de IA, as organizações correm o risco de ter identidades altamente capazes sem supervisão, comprometendo assim os ambientes.