- Identidades de máquinas superam identidades humanas em 45 para 1 nos ambientes corporativos, mas a maioria das equipes de segurança inventariou apenas uma fração delas
- Contas de serviço, chaves de API, certificados TLS e tokens OAuth são cada um um ponto de entrada potencial se não gerenciados
- Certificados expirados causam interrupções; chaves de API expostas causam vazamentos; contas de serviço abandonadas permitem movimentação lateral
- Ferramentas de gerenciamento de secrets resolvem o problema de armazenamento, mas o inventário deve vir antes da rotação
- A arquitetura Zero Trust só funciona se a confiança máquina a máquina for tão rigorosamente governada quanto o acesso de usuários
O que conta como identidade de máquina
Identidades de máquinas são credenciais que sistemas usam para se autenticar entre si. Um usuário faz login com nome de usuário e senha. Uma máquina usa algo diferente: um certificado TLS, uma chave de API, uma chave SSH, um token OAuth, uma conta de serviço ou um token de conta de serviço do Kubernetes.
Infraestrutura em nuvem, microsserviços, contêineres, pipelines de CI/CD e integrações com APIs de terceiros multiplicaram as conexões máquina a máquina na maioria das organizações em uma ordem de magnitude na última década. Cada conexão precisa de autenticação. As organizações têm processos formais para contas de usuários. Quase nenhuma tem processos equivalentes para máquinas.
Por que os números saíram do controle
Tudo se acumula em pequenas etapas sem alardes. Uma equipe de DevOps cria uma conta de serviço para executar um pipeline de implantação. Um engenheiro cria uma chave de API para conectar duas ferramentas SaaS. Um desenvolvedor adiciona credenciais a um arquivo de configuração de ambiente de teste. Uma imagem de contêiner carrega um secret codificado do computador de um desenvolvedor para a produção.
Nada disso parece um evento de segurança no momento. Quando sua equipe de segurança faz o primeiro inventário, as credenciais de máquinas já superam o total de funcionários por uma margem que surpreende a maioria das equipes.
Contas de usuários têm um gatilho natural de desprovisionamento: a pessoa sai. Credenciais de máquinas não têm equivalente. Contas de serviço se acumulam. Chaves de API são compartilhadas entre equipes e nunca rotacionadas. Certificados TLS expiram no dia em que um engenheiro está de férias. Tokens do Kubernetes de uma implantação dois anos atrás continuam válidos e ninguém sabe para quê serviam.
Como os atacantes exploram isso
O Verizon DBIR encontra credenciais comprometidas na maioria dos vazamentos. Credenciais de máquinas representam uma parcela grande e pouco defendida dessa exposição.
Um atacante que encontra uma chave de API em um repositório público do GitHub tem acesso imediato a tudo que essa chave autoriza. Um pipeline de CI/CD comprometido permite que o atacante injete credenciais em artefatos de build. Uma conta de serviço com permissões excessivas dá ao atacante um veículo de movimentação lateral assim que ele a obtém.
Ferramentas de detecção baseadas em padrões de comportamento humano não sinalizariam uma conta de serviço fazendo o que contas de serviço normalmente fazem. Por isso, credenciais de máquinas comprometidas frequentemente ficam sem detecção por meses.
Sessões de usuários expiram. Credenciais de máquinas, a menos que alguém as rotacione ou revogue explicitamente, tendem a permanecer válidas indefinidamente. Uma chave de API de um serviço que já não existe pode ainda funcionar. Uma conta de serviço de um projeto concluído dois anos atrás pode ainda ter direitos de administrador de domínio.
Quatro controles que importam
Rotacionar secrets em massa antes de ter um inventário completo cria novos problemas. Serviços que dependem de credenciais que você não conhecia vão falhar. Inventarie primeiro, rotacione depois, com rollback automatizado para qualquer serviço que não captar a nova credencial.
Por onde começar
Comece com as contas de serviço no Active Directory e Azure AD. A auditoria não custa nada e traz à tona os itens de maior risco imediatamente: contas privilegiadas sem proprietário claro e sem uso recente. Quando você sabe quais sistemas estão no escopo, a descoberta de chaves de API e certificados segue naturalmente.
Obtenha o inventário de credenciais dos seus provedores de nuvem logo no início. Os IAM Credential Reports da AWS, as Azure AD App Registrations e as listas de contas de serviço do GCP não capturam secrets em repositórios ou ferramentas SaaS de terceiros, mas fornecem uma base de referência mensurável.
A LGPD, a ISO 27001 e a maioria dos frameworks de auditoria interna marcam o gerenciamento de credenciais e acessos como uma área de controle essencial. Se identidades de máquinas aparecem nos seus achados de auditoria, uma avaliação estruturada é o caminho mais rápido para fechar essa lacuna.
Como a Cyvra ajuda
A Cyvra conduz avaliações de identidades de máquinas, estabelece capacidades de gerenciamento de secrets e integra a automação do ciclo de vida de certificados em ambientes de nuvem e CI/CD existentes. Se sua última auditoria sinalizou o gerenciamento de credenciais como uma lacuna, é por aí que começamos.