A Parte 2 de nossa série sobre segurança de carga de trabalho aborda por que saber “quem” e “o que” por trás de cada ação em seu ambiente está se tornando o problema mais urgente — e menos resolvido — na segurança corporativa
Em Parte 1 desta sériechegamos a três conclusões: o campo de batalha mudou para ferramentas ofensivas nativas da nuvem, com reconhecimento de contêiner e aceleradas por IA — sendo o VoidLink o exemplo mais avançado — projetadas especificamente para os ambientes Kubernetes; a maioria das organizações de segurança são funcionalmente cegas para este ambiente; e fechar essa lacuna requer segurança de tempo de execução no nível do kernel.
Mas deixamos um fio crítico subdesenvolvido: a identidade.
Chamamos a identidade de “o tecido conjuntivo” entre a detecção em tempo de execução e a resposta operacional. A identidade está se tornando plano de controle para segurança, a camada que determina se um alerta é acionável, se uma carga de trabalho está autorizada e se sua organização pode responder à pergunta forense mais básica após um incidente: Quem fez isso e o que eles poderiam alcançar?
A Parte 1 mostrou que é nas cargas de trabalho que está o valor, e os adversários perceberam.
A Parte 2 é sobre a desconfortável realidade de que nossos sistemas de identidade não estão preparados para o que já está aqui.
Os ataques da Parte 1 foram falhas de identidade
Cada grande ataque examinado na Parte 1 foi, em sua essência, um problema de identidade.
VoidLink’s O objetivo principal é coletar credenciais, chaves de acesso à nuvem, tokens de API e segredos do desenvolvedor, porque identidades roubadas desbloqueiam todo o resto. O ShadowRay 2.0 teve sucesso porque a estrutura de IA que ele explorou não tinha nenhuma autenticação. LangFlow armazenou credenciais de acesso para cada serviço ao qual se conectou; uma violação entregou aos invasores o que os pesquisadores chamaram de “chave mestra” para tudo o que tocou.
O padrão em tudo isso: os invasores não estão invadindo. Eles estão fazendo login. E cada vez mais, as credenciais que utilizam não pertencem a pessoas, pertencem a máquinas.
A explosão da identidade da máquina
As identidades das máquinas agora superam as identidades humanas na proporção de 82 para 1 na empresa média, de acordo com Rubrik Zero Labs. São a canalização silenciosa da infra-estrutura moderna, criada informalmente, raramente rotacionada e governada por ninguém em particular.
Agora adicione agentes de IA. Ao contrário da automação tradicional, os agentes de IA tomam decisões, interagem com sistemas, acessam dados e delegam cada vez mais tarefas a outros agentes, de forma autônoma. Projetos Gartner um terço das aplicações empresariais incluirá este tipo de IA autónoma até 2028.
Um recente Pesquisa da Cloud Security Alliance descobriram que 44% das organizações estão autenticando seus agentes de IA com chaves de API estáticas, o equivalente digital de uma chave mestra permanente e não monitorada. Apenas 28% conseguem rastrear as ações de um agente até o ser humano que as autorizou. E quase 80% não conseguem dizer, neste momento, o que os seus agentes de IA implantados estão fazendo ou quem é responsável por eles.
Cada um amplia o dano potencial de uma violação de segurança, e nossos sistemas de identidade não foram construídos para isso.
O que a identidade da carga de trabalho acerta – e onde fica aquém
A resposta da indústria de segurança à identidade da máquina é SPIFFEe ESPIRAL, um padrão que fornece a cada carga de trabalho um cartão de identidade criptográfico. Em vez de senhas estáticas ou chaves de API que podem ser roubadas, cada carga de trabalho recebe uma credencial rotativa automática e de curta duração que prova que ela se baseia em atributos verificados de seu ambiente.
As credenciais que são rotacionadas automaticamente em minutos tornam-se inúteis para malwares como o VoidLink, que dependem do roubo de segredos duradouros. Os serviços que verificam a identidade uns dos outros antes da comunicação dificultam muito a movimentação lateral dos invasores pelo seu ambiente. E quando cada carga de trabalho carrega uma identidade verificável, os alertas de segurança tornam-se imediatamente atribuíveis; você sabe qual serviço atuou, Quem é dono dele, e o que deveria estar fazendo.
Onde tudo se decompõe: Agentes de IA
Esses sistemas de identidade foram projetados para serviços de software tradicionais, aplicativos que se comportam de maneira previsível e idêntica em todas as cópias em execução. Os agentes de IA são fundamentalmente diferentes.
Os sistemas atuais de identidade de carga de trabalho geralmente atribuem a mesma identidade a cada cópia de um aplicativo quando as instâncias são funcionalmente idênticas. Se você tiver vinte instâncias de um agente comercial ou de um agente de atendimento ao cliente em execução simultaneamente, elas geralmente compartilham uma identidade porque são tratadas como réplicas intercambiáveis do mesmo serviço. Isso funciona quando cada cópia faz a mesma coisa. Não funciona quando cada agente toma decisões independentes com base em diferentes informações e contextos.
Quando um desses vinte agentes realiza uma ação não autorizada, você precisa saber qual deles fez isso e por quê. A identidade compartilhada não pode lhe dizer isso. Você não pode revogar o acesso de um agente sem desligar todos os vinte. Você não pode escrever políticas de segurança que levem em conta o comportamento diferente de cada agente. E não é possível satisfazer o requisito de conformidade de rastrear cada ação até uma entidade específica e responsável.
Isto cria lacunas: não é possível revogar um único agente sem afetar todo o serviço, as políticas de segurança não conseguem diferenciar entre agentes com comportamentos diferentes e a auditoria luta para rastrear as ações até o tomador de decisão responsável.
Os padrões poderiam eventualmente apoiar identidades de agentes mais refinadas, mas a gestão de milhões de identidades imprevisíveis e de curta duração e a definição de políticas para elas continuam a ser um desafio em aberto.
O problema da delegação que ninguém resolveu
Há um segundo desafio de identidade específico para agentes de IA: delegação.
Quando você pede a um agente de IA para agir em seu nome, o agente precisa levar sua autoridade aos sistemas que acessa. Mas quanta autoridade? Por quanto tempo? Com que restrições? E quando esse agente delega parte da sua tarefa a um segundo agente, que delega um terceiroquem é responsável em cada etapa? Os organismos de normalização estão a desenvolver soluções, mas são rascunhos e não estruturas acabadas.
Três questões permanecem em aberto:
- Quem é o responsável quando uma cadeia de agentes dá errado? Se você autorizar um agente que gera um subagente que executa uma ação não autorizada, a responsabilidade é sua, o desenvolvedor do agente? Nenhuma estrutura fornece uma resposta consistente.
- O que significa “consentimento” para delegação de agentes? Quando você autoriza um agente a “cuidar de sua agenda”, isso inclui o cancelamento de reuniões e o compartilhamento de sua disponibilidade com terceiros? Tornar os escopos de delegação precisos o suficiente para a governança sem torná-los tão granulares que se tornem inutilizáveis é um problema de design não resolvido.
- Como impor limites a uma entidade cujas ações são imprevisíveis? A segurança tradicional pressupõe que você possa enumerar o que um sistema precisa fazer e restringi-lo. Os agentes raciocinam sobre o que fazer em tempo de execução. Restringi-los com muita força prejudica a funcionalidade; muito vagamente cria risco. O equilíbrio certo não foi encontrado.
A identidade torna a segurança do tempo de execução acionável
Na Parte 1, compartilhamos que o Hypershield fornece a mesma visibilidade real em ambientes contêineres que as equipes de segurança têm há muito tempo em endpoints. Isso é essencial, mas sozinho, só responde o que está acontecendo. Respostas de identidade Quem está por trás disso e, para os agentes, precisamos saber por que está acontecendo. É isso que transforma um alerta em uma resposta acionável.
Sem identidade, um alerta do Hypershield informa: “Algo criou uma conexão de rede suspeita.” Com a identidade da carga de trabalho, o mesmo alerta informa: “Seu serviço de API de inferência, de propriedade da equipe de ciência de dados, implantado por meio do pipeline de lançamento v2.4, agindo com autoridade delegada de um usuário específico, iniciou uma conexão de saída que viola sua política de comunicação autorizada.”
Sua equipe sabe imediatamente o que aconteceu, quem é o responsável e exatamente onde concentrar sua resposta, especialmente quando ameaças como o VoidLink operam em velocidade acelerada por IA.
O caminho a seguir: A confiança zero deve se estender aos agentes
A base existe: padrões de identidade de carga de trabalho como SPIFFE para autenticação de máquina, protocolos estabelecidos como OAuth2 para delegação humana e segurança de tempo de execução em nível de kernel como Hypershield para observação comportamental. O que falta é a camada de integração que conecta essas peças para um mundo onde agentes autônomos de IA operam através dos limites de confiança na velocidade da máquina.
Este é um problema de confiança zero. Os princípios que as empresas adotaram para utilizadores e dispositivos devem agora estender-se às cargas de trabalho e aos agentes de IA. Próprio da Cisco Estado da segurança da IA 2026 O relatório ressalta a urgência: embora a maioria das organizações planeje implantar IA de agente em funções de negócios, apenas 29% relatam estar preparadas para proteger essas implantações. Essa lacuna de prontidão é um desafio de segurança definidor.
Fechá-lo requer uma plataforma onde a identidade, a segurança do tempo de execução, a rede e a observabilidade compartilhem o contexto e possam impor políticas em conjunto. Essa é a arquitetura que a Cisco está construindo. Estas são as etapas práticas que toda organização deve seguir:
- Torne as credenciais roubadas inúteis. Substitua segredos estáticos de longa duração por identidades de carga de trabalho de rotação automática e de curta duração. O Cisco Identity Intelligence, desenvolvido pela Duo, impõe verificação contínua entre usuários, cargas de trabalho e agentes, eliminando os segredos persistentes que ataques como o VoidLink são projetados para coletar.
- Dê a cada detecção seu contexto de identidade. Saber que uma carga de trabalho se comportou de forma anormal não é suficiente. As equipes de segurança precisam saber qual carga de trabalho, qual proprietário, o que foi autorizado a atingir e qual é o raio de explosão. Acesso universal à rede Zero Trust conecta a identidade às decisões de acesso em tempo real, para que cada sinal carregue o contexto necessário para agir de forma decisiva.
- Traga agentes de IA para dentro do seu modelo de governança. Cada agente que opera em seu ambiente deve ser conhecido, ter escopo definido e ser autorizado antes de agir, e não ser descoberto após um incidente. A descoberta automatizada de agentes, a autorização delegada e o suporte MCP nativo do Universal ZTNA tornam a identidade do agente um objeto de segurança de primeira classe, em vez de um ponto cego operacional.
- Construa para convergência, não para cobertura. As ferramentas de ponto em camadas criam a ilusão de controle. Os desafios de autorização, delegação e certificação comportamental contínuas exigem uma plataforma onde cada capacidade compartilhe contexto. O Cisco Secure Access e o AI Defense foram projetados para fazer esse trabalho – entregues na nuvem, com reconhecimento de contexto e desenvolvidos para detectar e interromper fluxos de trabalho de agentes maliciosos antes que danos sejam causados.
Na Parte 1, dissemos que o campo de batalha mudou para as cargas de trabalho. Aqui na Parte 2: identidade é como você luta nesse campo de batalha. E num mundo onde os agentes de IA estão a tornar-se uma nova classe de força de trabalho digital, a confiança zero não é apenas uma estrutura de segurança, é a estrutura crítica que protege e defende.
Adoraríamos ouvir o que você pensa! Faça uma pergunta e fique conectado com a Cisco Security nas redes sociais.
Mídias sociais de segurança da Cisco