NHIs: A nova fronteira crítica da segurança cibernética

O avanço desenfreado das identidades não humanas — os chamados NHIs | Non-human identity— está remodelando os contornos da segurança digital global. A publicação da Security Boulevard, assinada por Teri Robinson – de hoje 4 de gosto de 2025 – revela que essas identidades de máquina não gerenciadas ultrapassaram em número as contas humanas em diversas organizações, e o impacto direto sobre a segurança não pode mais ser ignorado.

O crescimento alarmante do NHI

Teri Robinson – Info Security advocate, Thought Leadership – Tech, Oxford Economics, Security Boulevard – blogger, content specialist, filmmaker – Foto Linkedin

Em seu artigo, Teri Robison cita o H1 2025 NHI & Secrets Risk Report – Relatório de Riscos de NHI e Segredos do Primeiro Trimestre de 2025 – da Entro Security¹, a proporção entre NHIs e identidades humanas cresceu mais de 56% em um ano, impulsionada por agentes de IA e pela automação agressiva nos ambientes de desenvolvimento.

A análise de mais de 27 milhões de NHIs mostra que essa tendência não é apenas inevitável — ela já é dominante.

Riscos amplificados: exposição e privilégio

Segundo Teri Robinson, a negligência na gestão dessas identidades não humanas resulta na exposição de credenciais em larga escala. Segundo o relatório, muitas dessas falhas ocorrem em ferramentas colaborativas, como o Slack, onde bots com acesso a sistemas internos acabam deixando segredos vulneráveis. Esses tokens expostos podem ser a porta de entrada para ataques com escala e profundidade cada vez maiores.

Teri Robinson faz ainda menção a declarações de executivos como James Maude, cto da BeyondTrust Field, Rom Carmel, ceo da Apono, Shane Barney ciso da Keeper Security, Trey Ford, ciso da Bugcrowd e Amit Zimerman, cofundador e diretor de produtos da Oasis Security.

James Maude, CTO da BeyondTrust Field, afirma que o foco excessivo em identidades humanas permitiu que os NHIs evoluíssem sem controle: “O cavalo pode já ter fugido”, alerta. Pior ainda, uma parcela dos NHIs na AWS possui privilégios administrativos totais — ou seja, estão preparadas para causar estragos caso sejam comprometidas.

NHIs esquecidos, privilégios mantidos

Rom Carmel, CEO da Apono, observa que NHIs, ao contrário dos colaboradores humanos, não passam por processos formais de entrada e saída, o que deixa diversas contas esquecidas e com acesso excessivo intacto. Trey Ford, CISO da Bugcrowd, adiciona: “A pressa técnica leva à criação de NHIs com privilégios amplos, raramente revisados depois.”

Shane Barney, CISO da Keeper Security, demonstra frustração: “Não é que o risco seja desconhecido — é que ele tem sido ignorado.”

Caminhos para mitigar o risco dos NHIs

Para lidar com esse desafio, especialistas recomendam medidas concretas:

- Monitoramento automatizado contínuo

- Aplicação rigorosa de privilégio mínimo

- Políticas claras para ciclo de vida dos NHIs

- Inventário e rotação de credenciais de forma regular

Amit Zimerman, cofundador e diretor de produtos da Oasis Security, enfatiza: essas práticas não são apenas recomendáveis — são cruciais para garantir que a adoção da IA não comprometa a integridade dos sistemas.

Fonte original: Security Boulevard

Fonte: Crypto ID: Informação Estratégica sobre Cibersegurança.