Eu sentei com Abbas Kudrati, Conselheiro Chefe de Segurança de Identidade da APAC Silverfort, para discutir as tendências de segurança de identidade mais urgentes que moldarão 2025 e o que os líderes C-suite precisam saber para proteger suas organizações.
O título da sua nova palestra “É a identidade, estúpido” chama a atenção imediatamente. O que inspirou isso?
Abbas: Bem, eu peguei emprestado da famosa mensagem de campanha de Clinton de 1992 de James Carville, mas com um toque de segurança cibernética. A realidade é que no mundo de hoje, a identidade não é apenas um componente da segurança, é o pilar fundamental. Seu firewall não é mais sua primeira linha de defesa; seu infraestrutura de identidade é. Organizações que não entenderam isso estão lutando as batalhas de hoje com as armas de ontem.
O que mudou no cenário de segurança que tornou a identidade tão central?
Tudo foi virado do avesso. A internet é a nova rede, a nuvem é o novo data center e a identidade é o novo perímetro. Qualquer dispositivo pode ser um dispositivo de trabalho agora e, efetivamente, cada empresa se tornou uma IAM empresa, quer percebam ou não.
O que é particularmente preocupante é que identidades não humanas agora superam as identidades humanas em 25-50 vezes. Em 2010, os humanos dominavam o cenário de identidade. Em 2020, as identidades não humanas eram 10x mais numerosas e, em 2025, com GenAI, LLMs e copilotos, projeta-se que sejam 50x mais numerosas. Isso é um enorme superfície de ataque que a maioria das organizações não está protegendo adequadamente.
Sua pesquisa destaca preocupações significativas sobre identidades não humanas. Por que os executivos deveriam se importar com isso especificamente?
Porque é uma bomba-relógio. De acordo com Pesquisa da Cloud Security Alliance, apenas 15% das organizações se sentem altamente confiantes em prevenir ataques NHI, enquanto 69% estão preocupadas com eles. Apenas 20% têm processos formais para offboarding e revogação de chaves de API, e ainda menos as rotacionam regularmente.
A parte mais alarmante? Contas de serviço, que frequentemente possuem privilégios extensos, frequentemente carecem de visibilidade robusta. Se essas identidades de máquina forem comprometidas por meio de arquivos de configuração ou repositórios de código, isso pode levar a uma interrupção extensa dos negócios.
À medida que as organizações endurecem as políticas de usuário, os invasores estão cada vez mais mirando em aplicativos. O problema? Os aplicativos não podem usar MFA ou lembrar credenciais como humanos podem, e desenvolvedores frequentemente querem todos os privilégios que podem obter. É uma tempestade perfeita.
A Gartner nomeou recentemente o gerenciamento de identidades de máquinas como uma das principais tendências de segurança cibernética para 2025. O que está impulsionando esse foco?
A realidade está alcançando o cenário de ameaças. Os 10 principais riscos de identidade não humana da OWASP para 2025 destaca questões críticas como desligamento indevido, vazamento secreto, NHIs de terceiros vulneráveis e NHIs superprivilegiados.
À medida que mais empresas adotam Confiança zero princípios, os invasores estão evoluindo suas estratégias. Em vez de tentar contornar a infraestrutura de identidade, eles estão trabalhando para subvertê-la. Isso requer quebrar as paredes tradicionais entre as equipes de identidade e segurança, algo com que muitas organizações ainda lutam.
Vamos discutir o papel da IA na segurança de identidade. Como ela está mudando o cenário?
É uma faca de dois gumes. Organizações com visão de futuro estão alavancando a IA para transformar operações de identidade, desde a descoberta de direitos ocultos até a previsão de riscos e otimização de políticas de acesso. Isso representa uma mudança fundamental da segurança reativa para a preditiva.
Mas a IA também está capacitando os atacantes. Estamos vendo uma automação cada vez mais sofisticada de ataques baseados em identidade, particularmente em mineração de permissão e movimento lateral. Após obter acesso inicial, os agentes de ameaças agora podem explorar e explorar sistematicamente as permissões de identidade, especialmente em ambientes de nuvem, muitas vezes encontrando caminhos sutis para privilégios mais altos que podem não disparar alertas.
Quais são as ameaças mais significativas baseadas em identidade em 2025?
Eu as categorizo em três ameaças principais:
Primeiro, "Usuários Ingovernáveis“. A realidade é que os usuários não podem ser treinados para lidar com ataques sofisticados, como roubo de cookie de sessão, phishing de adversário no meio ou fadiga MFA. A alta frequência de falhas de usuários sobrecarrega os recursos do SOC. As organizações precisam tornar os fluxos de segurança à prova de falhas.
Segundo, "“Aplicações não governadas”. À medida que as organizações endurecem as políticas de usuário e a infraestrutura, os invasores mudam para aplicativos. A estratégia aqui precisa ser controles rígidos de aplicativos, verificações de conformidade e varredura de credenciais em tempo real.
Terceiro, "Infraestrutura Subvertida“. À medida que a adoção do Zero Trust aumenta, os invasores estão trabalhando para subverter em vez de contornar a infraestrutura de identidade, explorando relacionamentos de confiança entre provedores de identidade e provedores de serviço.
Você desenvolveu uma matriz estratégica para investimentos em segurança de identidade. Pode explicar como os executivos devem abordar essa priorização?
A Segurança de Identidade Matrix ajuda executivos a alocar recursos em quatro prioridades estratégicas. Zero Trust Architecture e AI Integration oferecem o maior valor estratégico, embora sejam diferentes em complexidade de implementação. Zero Trust Architecture fornece alto valor estratégico com desafios de implementação relativamente baixos, enquanto AI Integration é igualmente importante, mas requer implementação mais complexa.
A consolidação da indústria, embora complexa de navegar, carrega menor peso estratégico para a maioria das organizações. Os desafios da força de trabalho exigem atenção contínua, mas não devem desviar recursos de iniciativas mais críticas.
Que medidas práticas os líderes C-suite devem tomar para fortalecer sua postura de segurança de identidade?
Seis ações críticas:
- Primeiro, implemente controles de acesso estratégicos, especialmente acesso Just-In-Time para operações confidenciais.
- Segundo, aperte autenticação requisitos com MFA robusto para acesso interno e autenticação de serviço para serviço.
- Terceiro, fortaleça os testes de segurança de identidade para incluir cenários como exploração da cadeia de permissões e vulnerabilidades de relacionamento de confiança SSO.
- Quarto, promova a governança de identidade com revisões regulares de permissões para limitar o impacto das violações.
- Quinto, transformar as operações de segurança com a identidade como base, implementando a verificação em tempo real.
- Por fim, estabeleça identidade da máquina governança com comitês de supervisão dedicados para esses ativos comerciais críticos.
Para organizações que ainda estão no início de sua jornada de segurança de identidade, qual é a primeira coisa em que elas devem se concentrar?
Comece entendendo seu cenário de identidade, particularmente suas identidades não humanas. Você não pode proteger o que não pode ver — ou nem mesmo saber. A maioria das organizações tem centenas ou milhares de contas de serviço, chaves de API e identidades de máquina operando com privilégios excessivos e supervisão insuficiente. Um inventário de identidade abrangente, especialmente de identidades não humanas, é a base sobre a qual todo o resto se constrói.
Qual conselho importante para líderes empresariais de segurança você gostaria de compartilhar com nossos leitores?
A segurança de identidade precisa evoluir de uma iniciativa técnica para uma prioridade crítica de negócios. A C-suite deve conduzir essa transformação por meio de investimento estratégico e atenção. As empresas que reconhecem que "é a identidade, estúpido" e agem de acordo serão muito mais resilientes contra as ameaças sofisticadas de 2025 e além.
Quer saber mais sobre como proteger a infraestrutura de identidade da sua organização? Visite SilverfortPágina da plataforma para explorar nossa plataforma de Segurança de Identidade, ou faça um tour pelo produto.