La crescente complessità delle infrastrutture IT moderne ha portato a una proliferazione di identità non umane, note come NHI (non-human identities), all’interno delle reti aziendali. Queste identità includono account di servizio, chiavi API, segreti di applicazione e token OAuth, che vengono utilizzati per consentire l’autenticazione automatica tra applicazioni, servizi cloud e workflow digitali. In molte aziende, il numero di NHI supera di gran lunga quello delle identità umane, con un rapporto che può arrivare a 50 a 1.

Questa rapida espansione delle NHI comporta rischi unici e sfide di gestione che stanno attirando l’attenzione dei responsabili della sicurezza informatica. Secondo recenti studi, il 46% delle organizzazioni ha subito compromissioni di account o credenziali NHI nell’ultimo anno, mentre un ulteriore 26% sospetta violazioni non ancora identificate. Non sorprende quindi che la sicurezza delle identità non umane sia diventata una priorità per i CISO e che oltre l’80% delle aziende preveda di aumentare gli investimenti in questo ambito.

L’aumento delle NHI è alimentato dall’automazione, dall’uso di servizi cloud, dall’adozione di intelligenza artificiale e dalla necessità di integrazioni continue tra sistemi. Tuttavia, queste identità spesso si basano su meccanismi di autenticazione meno sicuri rispetto agli utenti umani, come password statiche o segreti hardcoded nel codice sorgente. Questo rende le NHI bersagli privilegiati per gli attaccanti, soprattutto considerando che i segreti vengono raramente ruotati e che spesso compaiono per errore in repository pubblici come GitHub. Ad esempio, sono stati rilevati oltre 27 milioni di nuovi segreti esposti in repository pubblici in un solo anno.

Un ulteriore rischio deriva dall’accumulo di permessi eccessivi: molte NHI hanno privilegi più ampi del necessario, aumentando la superficie di attacco. Le principali sfide per i responsabili della sicurezza ruotano attorno a tre punti chiave: la visibilità e l’inventario completo delle NHI presenti nell’ecosistema aziendale; la classificazione dei rischi e la riduzione dei privilegi non necessari; l’implementazione di solide politiche di governance per la creazione, la gestione e la revoca delle identità non umane.

Per affrontare queste sfide, le organizzazioni devono adottare soluzioni di identity security posture management, processi di discovery e automazione della rotazione delle credenziali. È fondamentale trattare le NHI con la stessa attenzione riservata agli account umani, adottando una strategia di sicurezza end-to-end che copra l’intero ciclo di vita di ogni identità, umana o non umana.