Nel panorama attuale della cybersecurity, la protezione delle identità non umane (NHI, Non-Human Identities) rappresenta una delle sfide più complesse e sottovalutate. Dell’argomento si occupa il report di Entro Labs dal titolo 2025 State of Non-Human Identities and Secrets in Cybersecurity in cui gli esperti evidenziano come i rischi legati alla gestione di queste identità e dei secrets (per esempio token, API key e certificati) siano spesso mal gestiti, creando vulnerabilità significative per le aziende. I dati e l’analisi sono frutto dei dati collezionati da Entro Security e tramite ricerche con altre istituzioni.

Le identità non umane nel contesto della cybersecurity

Partiamo con il definire che cosa s’intende per identità non umane: comprendono account di servizio, chiavi API e token applicativi utilizzati per automatizzare processi e facilitare la comunicazione tra sistemi. Il report stima che per ciascuna identità umana ve ne siano 92 di non umane. Tali identità svolgono un ruolo cruciale nelle operazioni IT moderne, poiché consentono un'interazione fluida tra applicazioni e infrastrutture. Tuttavia, proprio a causa della loro natura non umana, non godono di un’adeguata attenzione alla loro sicurezza, lungo tutto il ciclo di vita.

Un primo problema su cui Entro Labs richiama l’attenzione è l’eccesso di privilegi assegnato alle identità non umane, che si traduce in una diffusa causa di vulnerabilità. In particolare, gli esperti hanno calcolato che nel 90% dei casi, i token associati a queste identità possiedono autorizzazioni eccessive rispetto a quelle strettamente necessarie. Il dato avvantaggia gli attaccanti, che possono agevolmente sfruttare tali privilegi per accedere a dati sensibili o comprometterli. Inoltre, circa il 44% dei token utilizzati dalle applicazioni è esposto "in the wild", cioè accessibile in repository pubblici o attraverso altre falle di sicurezza.

Gestione complessa delle identità e dei secrets

Un altro problema rilevante emerso dal report riguarda la complessità nella gestione delle identità non umane. La proliferazione di sistemi e soluzioni diverse per la gestione dei cosiddetti secrets (come Hashicorp Vault, AWS Secrets Manager o Kubernetes Secrets) complica ulteriormente il quadro. Ogni azienda utilizza in media cinque diverse soluzioni di gestione dei secrets, aumentando la complessità operativa, ma soprattutto aumentando il rischio di configurazioni errate che possono esporre informazioni sensibili.

Inoltre, Entro Labs sottolinea come sia spesso trascurata la corretta manutenzione e dismissione delle identità non umane. Per esempio, il 91% dei secrets rimane duplicato e archiviato in più luoghi e una percentuale significativa di token appartenenti a ex-dipendenti non viene mai revocata, esponendo le aziende a rischi evitabili.

Inoltre, repository mal configurati, codice sorgente non sicuro o strumenti di collaborazione non adeguatamente protetti possono aumentare il rischio di esposizione dei secrets, che a sua volta può portare sia alla compromissione di dati sensibili, sia a minacce interne attive, cioè allo sfruttamento dei secrets a scopo malevolo da parte di persone all'interno dell'organizzazione, intenzionalmente o per negligenza.

Il problema aumenta nel caso dei (frequenti) ambienti in cui i deployment sono frequenti, dove la gestione dinamica dei secrets diventa ancora più complessa. Inoltre, il corretto utilizzo di meccanismi di cifratura durante l'archiviazione e la trasmissione dei secrets è un altro punto critico, dato che le aziende spesso falliscono nell'applicare in maniera coerente e corretta queste tecniche, incrementando il rischio di violazioni.

Come comportarsi

La soluzione per abbassare la soglia di rischio è la progettazione di architetture sicure capaci di isolare adeguatamente queste identità e proteggere le informazioni sensibili. Un obiettivo facile a dirsi ma difficile da implementare, perché la complessità di tali progetti aumenta esponenzialmente con il numero di sistemi e identità coinvolte. Le architetture inoltre devono rispettare rigorosi requisiti di conformità, che spesso richiedono l’implementazione di controlli di sicurezza aggiuntivi e una gestione precisa dei log di audit.

Un'altra esigenza è l’equilibrio tra automazione e sicurezza. L'automazione è essenziale per garantire l’efficienza operativa, ma dev’essere configurata in modo da prevenire l'abuso delle identità non umane e dei secrets, quindi pianificando con attenzione controlli che impediscano il superamento dei limiti di sicurezza.

Ai fini della sicurezza, un altro elemento mandatorio è la capacità di rilevare anomalie nel comportamento delle identità non umane. Si tratta dell’ennesima sfida difficile da vincere, dato l'elevato volume di transazioni automatizzate legittime che avvengono nei moderni ambienti IT. Tuttavia, la capacità di individuare comportamenti sospetti è fondamentale per prevenire attacchi mirati e ridurre i danni in caso di violazione. Il fattore chiave è la comprensione approfondita di come le identità non umane interagiscono con i sistemi, che è un risultato raggiungibile mediante una continua sorveglianza e un'analisi attenta.