A evolução do controlo de acesso na era da IA: rumo a um modelo de Acesso Zero

Nas empresas modernas, os colaboradores já não são apenas humanos, mas também agentes de IA que assumem funções variáveis e operam, muitas vezes, fora dos controlos de segurança habituais. Manter privilégios pré-definidos representa um risco crítico, uma vez que os cibercriminosos procuram comprometer estes agentes para executar ataques completos e automatizados.

O conceito de “Acesso Zero”

Uma vez que a IA autónoma redefine constantemente os requisitos de acesso, o único modelo viável é o acesso zero: conceder permissões apenas quando são necessárias e sob pedido. Os agentes de IA podem mudar de tarefa e de instruções em poucos minutos, tornando rapidamente obsoletos os perfis fixos. Neste modelo, ninguém possui privilégios por defeito; cada sessão começa sem qualquer acesso, sendo as permissões ativadas em tempo real através de três pilares:

1. Acesso no momento certo (Just-in-Time): as permissões são concedidas especificamente para a tarefa necessária e revogadas assim que esta termina.
2. Acesso baseado no contexto: o acesso é ativado sob condições específicas (como a existência de um ticket de suporte ou de uma tarefa agendada) e é anulado caso as circunstâncias mudem.
3.  Avaliação contínua: cada pedido é validado com base na identidade, no dispositivo, no comportamento, na localização e no risco. A decisão de acesso pode mudar em segundos, caso seja detetada uma anomalia.​

Contenção de incidentes e resposta dinâmica

A verdadeira eficácia deste modelo demonstra-se durante um incidente. As falhas — seja devido a uma IA mal configurada ou a uma instrução incorreta — são inevitáveis. Num modelo estático, isto facilita a movimentação lateral e a escalada de privilégios, permitindo impactos massivos. O Acesso Zero limita estas vias ao garantir que o acesso é mínimo, temporário e rastreável, acelerando drasticamente as investigações de segurança.

As quatro áreas-chave para a implementação

Para transformar o acesso num motor dinâmico adaptado à velocidade da IA, as organizações devem dar prioridade a:

• Visibilidade contínua: é imperativo saber que agentes existem e a que sistemas estão a aceder em todos os momentos.
• Tomada de decisão em tempo real: as avaliações devem basear-se em sinais de risco atuais, ultrapassando as revisões periódicas que não detetam ameaças imediatas.
• Políticas dinâmicas: utilizar controlos baseados em atributos para conceder ou negar privilégios com precisão cirúrgica.​
• Velocidade das máquinas: a automatização deve gerir a aplicação e revogação de permissões; um comité humano não consegue supervisionar a escala de um ecossistema automatizado.

Conclusão

A transição para um modelo de acesso em tempo real e centrado no risco representa uma mudança de mentalidade necessária. Embora exija investimento e coordenação entre as equipas de engenharia e segurança, este é o único caminho para manter o controlo sobre uma IA que cresce exponencialmente.

Conteúdo co-produzido pela MediaNext e pela Netskope