Neste artigo
- Por que NHIs viraram o vetor número um em 2026
- NHI vs identidade humana: assimetria de governança
- Anatomia dos vetores de NHI em 2026
- OWASP NHI Top 10 e referências oficiais
- Categorias de tecnologia: como o mercado se organiza
- Playbook de 90 dias para governar NHI
- Brasil: ANPD, BCB nº 538/2025 e quando NHI vira incidente
Em 2026, identidades não-humanas, service accounts, API keys, OAuth tokens, certificados, credenciais de CI/CD, workloads em nuvem e, mais recentemente, agentes de IA, superam usuários humanos em uma proporção que vai de 45:1 a 144:1 em ambientes cloud-native. Não é mais um problema teórico de arquitetura: o relatório Unit 42 Global IR 2026 indica que fraquezas de identidade aparecem em 89% das investigações conduzidas pela equipe entre out/2024 e set/2025, e Verizon DBIR 2025 mantém credenciais como vetor inicial em 22% das breaches analisadas.
Este artigo é um guia operacional para CISOs e times técnicos entenderem por que NHI virou o vetor número um, como governar essa população crescente sem inflar headcount, e o que muda no Brasil com a Resolução BCB nº 538/2025 e a obrigação de notificação à ANPD em vazamentos com risco relevante. O foco é arquitetura defensiva, não catálogo de produtos.
Por que NHIs viraram o vetor número um em 2026
A virada não foi acidental. Por uma década, o foco de IAM corporativo esteve em SSO, MFA e governança de acesso humano. Service accounts e API keys eram tratados como "configuração de plataforma", atribuídos a tickets, raramente inventariados, quase nunca rotacionados. Enquanto isso, a superfície explodiu: cada microsserviço, cada workflow de CI/CD, cada integração SaaS criou novas credenciais não-humanas. Os números refletem essa explosão.
O ataque também migrou. Atacantes seguem o caminho de menor resistência: NHIs são, nas palavras do Unit 42, "higher leverage and quieter", têm escopos amplos, são long-lived, raramente passam por offboarding, e quase nunca têm MFA. Um token OAuth válido obtido por adversário não dispara alerta de "login suspeito" porque, do ponto de vista do receptor, é uma chamada legítima.
O sinal de 2024-2025 nos números
Além do dado da Unit 42, três indicadores convergem. O GitGuardian State of Secrets Sprawl 2025 reportou 23,8 milhões de secrets vazados em repositórios públicos do GitHub em 2024, alta de aproximadamente 25% ano sobre ano, e estima que 35% dos repositórios privados também expõem credenciais. Pior: 70% dos secrets vazados em 2022 permanecem ativos. Verizon DBIR 2025 atribui 22% das breaches a credenciais comprometidas como acesso inicial; em ataques web básicos, o percentual sobe para 88%.
O ratio NHI:humano varia por ambiente. Pesquisa do Rubrik Zero Labs aponta 45:1 em ambientes corporativos mistos. Em ambientes cloud-native (Kubernetes + serverless + multi-cloud), Entro Labs reporta 144:1 no primeiro semestre de 2025. Quando se incluem agentes de IA com escopo de execução próprio, Rubrik estima 82:1 como média ajustada.
Os casos que mudaram o jogo
Quatro incidentes públicos consolidaram a categoria. O caso Salesloft-Drift (ago/2025, atribuído pelo Google Cloud Threat Intelligence ao cluster UNC6395) materializou o risco de OAuth supply chain: o roubo de tokens OAuth de um app SaaS de terceiros, Drift, integrado a Salesforce, propagou exfiltração para mais de 700 organizações que tinham Drift conectado ao seu CRM. O caso Snowflake (2024, UNC5537) atingiu 165+ organizações por uma combinação de credenciais via infostealer e ausência de MFA em contas técnicas. Sisense (abr/2024) viu chaves AWS hardcoded em repositório GitLab self-hosted comprometido, gerando alerta da CISA. Okta support (set/out/2023) teve uma service account de suporte sequestrada com impacto em 134 clientes.
Em 2025, dois ataques de supply chain em GitHub Actions ampliaram o cenário: tj-actions/changed-files (CVE-2025-30066, mar/2025) expôs aproximadamente 23.000 repositórios; GhostAction (set/2025) exfiltrou 3.325 secrets em 817 repositórios via workflows maliciosos.
NHI vs identidade humana: a assimetria de governança
Para entender o problema, é preciso parar de tratar NHI como "conta especial" e começar a tratar como população primária, com lifecycle, ownership e auditoria próprios. A assimetria contra IAM humano é estrutural.
O que é NHI na prática
NHI é qualquer identidade não-humana usada para autenticar ou autorizar: service accounts em cloud (IAM AWS, GCP Service Accounts, Azure Service Principals), API keys de SaaS, OAuth client credentials, certificados mTLS, SPIFFE IDs, managed identities, secrets de CI/CD e, desde 2024, agentes de IA com permissão de execução. Workload identity é um subconjunto: associa identidade a um runtime (pod, função, máquina virtual) sem secret persistente.
Por que controles humanos não cobrem NHI
Governança de identidade humana se apoia em SSO, MFA, joiner-mover-leaver, certificação de acesso periódica e behavior analytics. Nada disso aplica diretamente a NHI. Não há "MFA" em uma chamada de API; offboarding é manual e frequentemente esquecido quando o owner humano deixa a empresa; certificação de acesso assume um humano revisando o que outro humano usa, service accounts ficam fora desse processo.
| Dimensão | Identidade humana | Non-Human Identity (NHI) |
|---|---|---|
| Volume típico em ambiente cloud-native | Base estável | 45:1 a 144:1 em relação a humanos |
| MFA | Padrão (SSO + segundo fator) | Inexistente, autenticação por secret |
| Lifecycle (joiner-mover-leaver) | Integrado a HR | Manual, sem dono claro em 30-50% dos casos |
| Rotação de credencial | Senha sazonal + MFA dinâmico | Frequentemente "nunca", long-lived secrets |
| Visibilidade de uso | UEBA, login anomaly | Logs de API espalhados por sistema |
| Offboarding | Disparo automático (HR-driven) | Depende de inventário; órfãs comuns |
| Privilégio típico | Necessidade do papel | Over-privileged por padrão (escopo amplo "para garantir") |
Anatomia dos vetores de NHI em 2026
Os ataques se agrupam em quatro vetores principais, todos com casos públicos verificáveis e técnicas catalogadas no MITRE ATT&CK.
OAuth tokens roubados (T1528)
OAuth 2.0 distingue três tipos de token: access (curta duração, scope-limited), refresh (longa duração, renova o access) e ID (OIDC, identifica o usuário). O alvo primário do atacante é o refresh token, persistente, frequentemente armazenado em bancos de dados ou logs, e raramente revogado mesmo após offboarding humano. Salesloft-Drift é o caso de referência: tokens OAuth de um app SaaS integrado a Salesforce foram exfiltrados e usados para extrair dados de mais de 700 organizações sem disparar nenhum login anomaly. A técnica está catalogada como MITRE ATT&CK T1528, Steal Application Access Token.
API keys e secrets hardcoded em CI/CD
O caso Sisense de abril de 2024 é exemplar: chaves AWS hardcoded em um repositório GitLab self-hosted comprometido. O alerta foi da CISA, e a mitigação envolveu reset massivo de credenciais. Em 2025, supply chain attacks em GitHub Actions amplificaram o problema: o ataque a tj-actions/changed-files (CVE-2025-30066) expôs aproximadamente 23.000 repositórios; a campanha GhostAction exfiltrou 3.325 secrets em 817 repositórios. O ponto importante: nesses casos, a empresa-alvo não foi diretamente comprometida, foi um workflow legítimo que ela usava que vazou credenciais.
Service accounts cloud over-privileged
Service accounts em AWS, GCP e Azure são frequentemente provisionados com escopo amplo "para garantir que funcione". O caso Snowflake de 2024 (UNC5537, 165+ orgs) ilustra: contas técnicas sem MFA, com credenciais reutilizadas em workloads, foram comprometidas via infostealers em workstations de desenvolvedores. A técnica catalogada é T1078.004, Valid Accounts: Cloud Accounts.
Secrets vazados em repositórios públicos
GitGuardian estima 23,8 milhões de secrets vazados em repositórios públicos em 2024, com 70% dos vazamentos de 2022 ainda ativos. A janela entre commit e exploração caiu para minutos em alvos de alto valor (chaves AWS, GitHub PATs, OpenAI keys). Secret scanning no fluxo de commit (pre-commit hooks, push protection) é o controle de primeira linha.
OWASP NHI Top 10 e referências oficiais
Em 2025, o OWASP publicou a Non-Human Identities Top 10, consolidando as falhas mais comuns observadas em organizações. A lista funciona como guidance comunitário, não é norma vinculante, mas é o vocabulário compartilhado pela indústria.
NHIs órfãs após saída do owner humano ou descomissionamento do serviço associado.
Secrets em código, logs, configs ou repositórios públicos.
Risco herdado de NHIs em integrações SaaS (caso Salesloft-Drift).
Mecanismos legados (basic auth, secrets compartilhados) onde existem alternativas modernas.
Escopos amplos demais sem justificativa de menor privilégio.
Configurações de IaC e deploy que expõem credenciais.
Tokens e chaves sem rotação efetiva.
Mesma credencial em dev/staging/produção.
Compartilhamento de uma NHI entre serviços ou times.
Humanos usando NHIs interativamente, contornando trilha de auditoria humana.
Outras referências canônicas: NIST SP 800-207 (Zero Trust Architecture) trata Non-Person Entities (NPE) como equivalentes a usuários humanos no modelo Zero Trust; MITRE ATT&CK cataloga as técnicas-chave em T1528, T1078.004, T1098.001 e T1552 (Unsecured Credentials); CIS Controls v8 Control 6 (Access Management) inclui safeguards para contas de serviço; e o Cloud Security Alliance trata identidade como "weakest link" em cloud no Top Threats 2025.
Categorias de tecnologia: como o mercado se organiza
O mercado fragmentou em cinco categorias funcionais. Vale conhecer cada uma sem se prender a fornecedor, a escolha depende de stack, maturidade e regulação.
Secret scanning
Detecção de secrets em código, commits, logs e tickets. Inclui open source (Gitleaks, TruffleHog) e comercial (GitGuardian). Posição típica: pre-commit hook, push protection no Git provider e varredura contínua de repositórios. É o controle de primeira linha contra NHI2 (Secret Leakage).
NHI discovery e governance
Categoria nova, com vendors como Astrix, Entro, Token Security, Aembit, Oasis Security e Akeyless. Foco em discovery cross-cloud, atribuição de ownership, classificação de risco e remediação. Sobrepõe parcialmente com CIEM, mas com lente específica em NHI lifecycle.
Workload Identity (SPIFFE e WIF)
A arquitetura mais sólida para eliminar secrets persistentes. SPIFFE/SPIRE (CNCF graduated) emite SVIDs (Secure Verifiable Identity Documents) short-lived a workloads via attestation. Workload Identity Federation cloud-native (Google Workload Identity Pools, AWS IAM IdP + AssumeRoleWithWebIdentity, Microsoft Entra federated credentials) permite que um workload em GitHub Actions, GitLab CI ou Kubernetes troque seu token nativo (OIDC) por uma credencial cloud short-lived, sem secret persistente.
Por que Workload Identity Federation é estratégico: elimina a categoria inteira "long-lived secret em CI/CD". Em vez de armazenar uma chave AWS no GitHub Secrets, o workflow troca o OIDC do GitHub por credenciais AWS válidas por minutos. Sisense, tj-actions e GhostAction seriam materialmente menos impactantes se as integrações estivessem em WIF.
Secrets management
Vault managers (HashiCorp Vault, AWS Secrets Manager, Azure Key Vault, GCP Secret Manager, CyberArk Conjur) oferecem armazenamento centralizado, audit log e, crucialmente, emissão de credenciais dinâmicas (database creds, cloud STS) com TTL curto. A função moderna não é só "guardar o secret", é eliminar o secret estático.
CIEM (Cloud Infrastructure Entitlement Management)
Plataformas como Wiz, Permiso, Sonrai e Microsoft Entra Permissions Management mapeiam quem tem permissão para fazer o quê em cloud, humanos e NHIs juntos. Para NHI, o valor é identificar over-privilege (NHI5) e recomendar least privilege. Vale para empresas com superfície cloud significativa.
Playbook de 90 dias para governar NHI
Um programa realista para CISO entrega em 90 dias. Três passos com entregáveis claros.
Discovery e inventário (dias 1-30)
Rode secret scanning em todos os repositórios (Git provider + repos privados), execute discovery cross-cloud (CIEM ou exportação nativa IAM AWS/GCP/Azure) e mapeie integrações SaaS via OAuth (Google Workspace, Microsoft Entra, Salesforce). O entregável é uma planilha (ou item em CMDB) listando cada NHI: tipo, escopo, owner humano associado, último uso, classificação de risco.
Marque três campos críticos: NHIs órfãs (sem owner identificável), over-privileged (escopo > necessidade documentada) e long-lived (mais de 90 dias sem rotação). Esses três grupos são a fila de hardening.
Hardening: revogar, rotacionar, federar (dias 30-60)
Revogue NHIs órfãs com janela de 7 dias (alerta + freeze + revoke). Para over-privileged, reduza ao escopo mínimo verificável por uso real (CIEM mostra "permissions used vs granted"). Para long-lived, defina rotação trimestral como mínimo, e migre integrações elegíveis para Workload Identity Federation, eliminando o secret persistente. Priorize CI/CD pipelines (alto risco de leak) e integrações SaaS críticas via OAuth.
Documente uma política de NHI ownership: toda NHI tem que ter um owner humano nomeado, com responsabilidade de revisão trimestral. O CISO valida a política; jurídico e RH adicionam o passo "transferência de ownership" ao processo de offboarding humano. Essa política se integra naturalmente com programas existentes de gestão de acessos privilegiados (PAM).
Monitoração contínua e detecção (dias 60-90)
Configure detecção de anomalias em uso de NHI: chamadas de API fora do horário do owner, novos IPs, novos endpoints chamados, volume incomum. Plataformas de ITDR (Identity Threat Detection and Response) cobrem essa camada para humanos e NHIs juntos, mas é viável implementar a versão básica com SIEM existente correlacionando audit logs cloud + Git provider + SaaS.
Inclua um playbook de resposta a comprometimento de NHI: revogação imediata, rotação em cascata (qualquer credencial derivada), comunicação a downstream services impactados, post-mortem e atualização do inventário. Pratique uma simulação de mesa por trimestre.
Brasil: ANPD, BCB nº 538/2025 e quando NHI vira incidente reportável
O cenário regulatório brasileiro impacta diretamente a governança NHI em dois pontos: notificação à ANPD por vazamento de dado pessoal e exigências específicas a instituições financeiras supervisionadas pelo Banco Central.
LGPD art. 48 e o limiar de notificação
A LGPD exige notificação à ANPD quando incidente puder gerar "risco ou dano relevante" a titulares. Vazamento de uma API key isolada normalmente não dispara, mas quando essa credencial dá acesso a dados pessoais (CRM com base de clientes, integração com Snowflake contendo dados PII, OAuth token a Google Workspace), o vazamento da credencial é o incidente a comunicar, mesmo sem evidência ainda de exfiltração. Critério prático: classifique cada NHI também por sensibilidade dos dados acessíveis, não só por privilégio técnico.
BCB nº 538/2025 e CMN nº 5.274/2025
A Resolução BCB nº 538/2025 e a Resolução CMN nº 5.274/2025 (em vigor desde março de 2026) atualizam o arcabouço de segurança cibernética para instituições financeiras e cooperativas. Entre os requisitos: gestão de acessos privilegiados, MFA, gestão de fornecedores (incluindo OAuth e integrações via API) e resposta a incidentes em prazos definidos. Service accounts e integrações são explicitamente cobertas.
Caminho prático para conformidade
Para IFs supervisionadas, o programa NHI de 90 dias precisa entregar três artefatos auditáveis: política de NHI, inventário com classificação por sensibilidade e plano de resposta a incidente envolvendo credenciais. Para empresas fora do setor financeiro, o eixo é LGPD: o nível de governança deve ser proporcional à sensibilidade dos dados acessíveis pelas NHIs.
Quer apoio para implantar governança NHI na sua organização?
Nossa consultoria executa o inventário cross-cloud de NHI, prioriza hardening por risco real, migra integrações elegíveis para Workload Identity Federation e prepara a documentação exigida pela ANPD e pelo Banco Central. Fale com a Inteligência Brasil para um diagnóstico inicial.
Perguntas Frequentes
Não. São camadas distintas: NHI cresce em volume e em superfície de ataque, mas SSO, MFA e governança de acesso humano continuam essenciais. O programa correto trata humanos e não-humanos como populações paralelas, com lifecycle, ownership e auditoria próprios, frequentemente unificados sob plataformas CIEM ou ITDR.
O protocolo OAuth 2.0 não é inseguro, o fluxo está correto. O risco está no uso indevido: refresh tokens de longa duração, scopes amplos, ausência de revogação após offboarding e armazenamento inseguro em bancos de dados. O caso Salesloft-Drift mostrou como um token OAuth de um app SaaS de terceiros pode propagar exfiltração para centenas de organizações sem disparar alertas.
Elimina secrets persistentes para workloads que rodam em ambientes attestables, GitHub Actions, GitLab CI, Kubernetes, máquinas virtuais cloud com IMDS. Não cobre credenciais de APIs SaaS de terceiros nem integrações com sistemas legados sem suporte a OIDC. Para o resto, ainda é necessário rotação e gestão via vault.
A recomendação OWASP NHI7 é eliminar long-lived sempre que viável. Quando inevitáveis (sistemas legados, APIs sem federação), rotação trimestral é referência comum, com revogação imediata em offboarding do owner humano associado. Mais importante que o intervalo é ter um inventário que torne a rotação executável.
Depende do escopo da credencial. Se a API key dava acesso a dados pessoais com potencial de risco ou dano relevante, o incidente é reportável nos termos do art. 48 da LGPD, independentemente de haver evidência confirmada de exfiltração. Para IFs supervisionadas, a Resolução BCB nº 538/2025 adiciona obrigações específicas de comunicação ao Banco Central.
Discovery contínuo via CIEM ou plataforma de NHI governance é o caminho escalável; alternativa básica é exportar IAM de cada cloud (AWS Access Analyzer, GCP IAM Recommender, Azure Identity Insights), correlacionar com inventário de owners humanos e marcar como órfã toda NHI sem owner identificável ou com mais de 90 dias sem uso. A classificação dispara o fluxo de revogação.
Conclusao
NHI deixou de ser categoria nicho para se tornar o perímetro de identidade primário em empresas cloud-native. Ratios de 45:1 a 144:1 contra usuários humanos, casos como Salesloft-Drift e Snowflake, e o reconhecimento via OWASP NHI Top 10 e Resolução BCB nº 538/2025 indicam que o tema saiu definitivamente do nicho técnico. Para o CISO, a tese prática é direta: governança NHI precisa ser tratada como população primária, com inventário, ownership e lifecycle próprios, não como configuração de plataforma esquecida em ticket antigo.
O programa de 90 dias descrito aqui entrega o mínimo viável: discovery, hardening prioritizado por risco, federação para eliminar secrets persistentes em CI/CD e monitoração contínua. A janela para construir esse programa antes de um incidente público está aberta, e os adversários já sabem que NHI é o caminho mais quieto.
- Unit 42, Global Incident Response Report 2026 (Palo Alto Networks)
- OWASP Non-Human Identities Top 10 (2025)
- GitGuardian, State of Secrets Sprawl Report 2025
- Verizon, 2025 Data Breach Investigations Report
- NIST SP 800-207, Zero Trust Architecture (Non-Person Entities)
- MITRE ATT&CK T1528, Steal Application Access Token
- MITRE ATT&CK T1078.004, Valid Accounts: Cloud Accounts
- MITRE ATT&CK T1552, Unsecured Credentials
- Google Cloud Threat Intelligence, Salesloft-Drift OAuth campaign (UNC6395)
- Unit 42, Threat Brief: Compromised Salesforce instances via Salesloft-Drift
- SecurityWeek, Sisense breach triggers CISA alert (2024)
- Unit 42, GitHub Actions supply chain attack (tj-actions/changed-files, CVE-2025-30066)
- GitGuardian, GhostAction campaign: 3,325 secrets stolen
- SPIFFE / SPIRE, Secure Production Identity Framework
- Cloud Security Alliance, Top Threats to Cloud Computing 2025
- Análise jurídica, Resolução BCB nº 538/2025 e CMN nº 5.274/2025
