Gestione delle identità umane e controllo: un mondo ben strutturato con strumenti dedicati, framework e best practice. Tuttavia, quando si tratta di identità non umane, note anche come identità delle macchine, la situazione è molto diversa. La piattaforma di sicurezza end-to-end di GitGuardian è qui per colmare il divario.
Le aziende stanno perdendo il controllo delle loro identità delle macchine. Queste identità, che includono account di servizio, chiavi API, bot, automazione e identità dei carichi di lavoro, superano di gran lunga il numero degli esseri umani, con un rapporto fino a 100:1. Senza una governance robusta, le identità non umane diventano un bersaglio primario per gli attaccanti. Le credenziali orfane, gli account con privilegi eccessivi e i “segreti zombie” si stanno moltiplicando, specialmente con l’adozione accelerata del cloud, l’integrazione di agenti basati sull’intelligenza artificiale e l’automazione delle infrastrutture.
La proliferazione dei segreti: la nuova superficie di attacco. La ricerca di GitGuardian mostra che il 70% dei segreti validi rilevati nei repository pubblici nel 2022 è rimasto attivo nel 2025, creando una finestra di vulnerabilità di tre anni. Questi non sono rischi teorici. Violazioni in organizzazioni come il Dipartimento del Tesoro degli Stati Uniti, Toyota e il New York Times sono iniziate tutte con un’identità della macchina trapelata o non gestita.
Il problema non riguarda solo il volume. I segreti e le credenziali sono sparsi tra codice, pipeline CI/CD, ambienti cloud e sistemi di ticketing, al di fuori dei perimetri di sicurezza tradizionali. Questa proliferazione di segreti non gestiti ha attirato l’attenzione dei framework di sicurezza a livello mondiale. L’OWASP Top 10 Non-Human Identity Risks per il 2025 menziona specificamente la ‘fuga di segreti’ come il secondo rischio, notando che le credenziali compromesse sono implicate in oltre l’80% delle violazioni.
Perché i gestori di segreti da soli non sono sufficienti. I gestori di segreti tradizionali (come HashiCorp Vault, CyberArk, AWS Secrets Manager e Azure Key Vault) sono essenziali per l’archiviazione sicura, ma non affrontano l’intero ciclo di vita della governance delle identità non umane. Non possono scoprire segreti al di fuori del vault, mancano di contesto sui permessi e non automatizzano la risoluzione quando i segreti vengono trapelati o utilizzati in modo improprio.
L’analisi di GitGuardian ha rilevato che le organizzazioni che utilizzano gestori di segreti sono in realtà più inclini alla fuga di segreti. L’incidenza di fuga di segreti nei repository che utilizzano gestori di segreti è del 5,1% rispetto al 4,6% per i repository pubblici senza gestori di segreti. Inoltre, i repository con gestori di segreti sono più propensi a gestire informazioni sensibili, aumentando il rischio di esposizione.
La piattaforma che colma il divario di sicurezza delle identità non umane. Per affrontare queste sfide, le organizzazioni devono adottare una strategia IAM unificata che consenta ai team DevOps e SRE di governare e proteggere efficacemente le identità non umane, oltre all’implementazione di soluzioni di gestione dei segreti (vault e/o gestori di segreti). Questo richiede investimenti in soluzioni che offrano una scoperta completa dei segreti, visibilità centralizzata e capacità di governance automatizzata.
Fonte: The Hackers News
Ricevi le ultime attualità sul mondo tech!
