Há mais identidades impessoais do que a população humana

flavio bontempo
Flávio Bontempo *
28/10/2021
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

O despreparo para o gerenciamento de identidades impessoais (ou identidade de máquinas) se tornou um ponto de vulnerabilidade digital dos mais graves nas empresas, principalmente a partir dos últimos três anos. As contas impessoais englobam vários tipos de entes de acesso não humanos, muitos deles, inclusive, portando credenciais de privilégio com acesso a recursos altamente críticos.

As estatísticas apontam que estas contas, que já cresciam de forma frenética, aumentaram entre 300% e 500% durante a pandemia, em função de vários fatores, entre eles, a súbita agregação de dispositivos domésticos em massa nas bordas da rede.

Embora um mapeamento claro de seu real contingente se mostre difícil, é provável que o volume dessas contas seja bem maior que o estimado, quando levamos em consideração os milhões de máquinas virtuais voláteis, de vida efêmera, que são criadas e descontinuadas de modo vertiginoso, no dia a dia, para a execução de microprocessos dinâmicos no âmbito da nuvem múltipla.

A proliferação de contas não humanas se aprofunda também em função da banalização dos robôs, que infestam e atuam na Internet para todo o tipo de tarefa. Hoje, apenas o tráfego robótico, segundo dados da Imperva, responde por 40,8% do movimento de identidades na rede global, sendo que uma fatia de 25,6% fica por conta dos chamados “bad bots”; isto é, robôs com finalidades malignas.

Além de bots anônimos que transacionam com as redes empresariais de modo banalizado, há uma produção crescente de entes robóticos mais sofisticados, desenvolvidos pelas próprias equipes de TI para a realização de serviços, atendimento, suporte e automação de processos.

E quando os robôs ficam órfãos?

Com a produção massificada de seus próprios robôs e a disseminação da RPA (Automação Robótica de Processos), as empresas vão aumentando os contingentes impessoais com bots que são treinados para abrir, fechar e operar aplicativos, extrair informações de fontes diversas, inclusive de imagens, preencher formulários, emitir solicitações de serviços e até mesmo coordená-los.

Em grande parte, estes bots têm licenças para extrair e correlacionar informações com indicação de criticidade. Mas nem todas as empresas têm visibilidade para inventariar e monitorar seus robôs e seus demais agentes impessoais. E nem possuem instrumentos de controle sobre o seu ciclo de vida.

Aliás, muito pelo contrário. Segundo uma pesquisa da entidade IDSA (Identity Defined Security Alliance), só 25% das empresas confiam de forma positiva nas suas políticas de gestão de identidades de máquina/IoT. Enquanto isto, a ampla maioria (53%) confia apenas de forma hesitante, e nada menos que 22% não confiam nem um pouco que estejam bem protegidas.

Curiosamente, uma das dificuldades patentes em relação ao problema acontece por uma deficiência no próprio gerenciamento das identidades de pessoas de carne e osso. São funcionários com credenciais de privilégio que criam e espalham robôs por necessidade de negócio, sem que haja, porém, instrumentos e políticas para determinar as condições de nascimento, vida e morte desses bots.
Ou nem mesmo para acompanhar os processos de transição desses funcionários no âmbito da força de trabalho.

É sabido que cada robô desponta a partir de um “owner” que, por sua vez, possui licença para tal lançamento. Mas, se houver uma falha no controle das mudanças de RH, pode ser que o “owner” deixe de existir naquela função original, ou mesmo vá embora da empresa, ficando o seu robô livre no ambiente, e como uma conta de acesso sem “owner”.

O problema seria mais simples se robôs classificados como “órfãos” pudessem ser simplesmente eliminados. Mas a descontinuação de uma entidade dessas, sem critério, de forma intempestiva, pode comprometer vários processos de negócio e até desarranjar toda a empresa.

Fica patente, portanto, que gerenciar as identidades robóticas passa necessariamente pelo controle de privilégios (PAM) e pelas metodologias de IAM voltadas para a força de trabalho. Visibilidade, classificação, acompanhamento e re-certificação constante são outros requisitos indispensáveis.

Quatro dispositivos IoT para cada habitante no planeta

Outro forte fator de descontrole quanto às contas impessoais está na expansão de objetos conectados à rede por sensores (IoT). Pelos dados da IoT Analytics, em 2020 os objetos conectados superaram as conexões convencionais como smartphones, PCs e laptops, atingindo 54% dos dispositivos e representando quatro coisas ligadas à rede para cada habitante do planeta.

As identidades impessoais incluem também as contas de serviços, que dizem respeito às credenciais de acesso concedidas a aplicações e soluções de orquestração, que necessitam fazer uso de recursos, bases de dados, bem como de dados em repouso ou dados em trânsito em diferentes áreas e dispositivos na extensão da rede.

Na pesquisa da IDSA, o nível de confiabilidade plena dessas credenciais nas empresas é bem maior que em relação às de máquina, mas ainda assim, só 42% dos gestores estão tranquilos com elas, sendo que 9% não depositam qualquer confiança.

Atualmente, muitas práticas de IAM (Identity and Access Management) olham para as entidades não humanas com a mesma abordagem tradicional dada a funcionários ou clientes. É como se um robô fosse algo comparável a um colaborador virtualizado.

Mas este modelo não vai funcionar perante os mecanismos de controle de acesso, porque um robô não tem a capacidade interativa exigida, por exemplo, por sistemas de prova de vida ou por esquemas de perguntas e respostas aleatórias em autenticação de múltiplos fatores.

Para falar resumidamente, a metodologia Zero Trust requer a robotização dos próprios instrumentos de controle das identidades pessoais e impessoais, dentro de uma abordagem única, e visando a lógica efêmera dos microprocessos da nuvem em container.

A resposta para tanto, em síntese, está na aplicação do aprendizado de máquina associado a políticas de contingenciamento e descontingenciamento estritamente definidas e integradas.

Isto implica na implantação de uma camada de governança, abraçando a estrutura de IAM e respondendo a todas as demandas de descoberta, visibilidade, organização, credenciamento, autenticação e autorização de acessos a partir do contexto.

Ou seja, com a capacidade analítica de IAM orientada ao acesso em si, e não mais à identidade (humana ou impessoal), de modo a se abolirem as credenciais de vida longa e chegar o mais próximo possível do credenciamento “Just-in-Time”.

Um fato que vem reforçar o consenso que já se formou entre os formadores de opinião em segurança de acesso de que já não há lugar para as senhas estáticas ou credenciais duradouras.

Ao mesmo passo em que também já não é possível a administração de credenciais “blocadas”, sem se levar em conta a capacidade de operá-las no nível de seus múltiplos atributos. Uma capacidade que não se faz sem tecnologias de IGA – Identity Governança and Administration. E uma condicionante para processos com fluxos de identidades com alta granulação de atributos, como as utilizadas em Open Banking ou no controle de consentimentos endossados por terceiros (sempre parciais, transitórios e fragmentados) quando se fala em LGPD.

* Flávio Bontempo é sócio e CTO da Netbr

Compartilhar:
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

ATENÇÃO: INCLUA [email protected] NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)