As empresas construíram redes de identidade cada vez mais complexas, mas a governação não seguiu o mesmo ritmo. À medida que organizações e equipamentos crescem, a identidade é dispersa entre milhares de aplicações, contas locais, serviços automatizados e agentes de IA que atuam por sua conta. O resultado é uma camada invisível que muitos especialistas já chamam “matéria escura da identidade”: atividade e permissões que existem fora do alcance dos sistemas centrais de gestão de identidades e, portanto, fora da vista das equipes de segurança.
Uma análise recente da Orchid Security indica que cerca de metade da atividade relacionada com identidades empresariais ocorre onde os controles centralizados não a supervisionam. Essa afirmação — que pode ser consultada no trabalho público da empresa — revela algo elementar: se não vemos onde é concedido ou utilizado um acesso, não podemos protegê-lo ou auditá-lo corretamente. Este problema não é apenas técnico, também é organizacional: ferramentas desconectadas, responsabilidades fragmentadas e aplicações criadas por equipamentos independentes alimentam essa invisibilidade.
O Gartner colocou o desafio num contexto mais amplo propondo a ideia do “Identity Visibility and Intelligence Platform” (IVIP) dentro do quadro de Identity Fabric. De acordo com esta visão, há uma camada de supervisão independente que capture e compreenda sinais de identidade acima dos sistemas de acesso e governança tradicionais. Por outras palavras, a solução não pode limitar-se a outro repositório de identidades; deve tornar-se um motor de inteligência que descubra, unifique e analise a atividade real de humanos e máquinas. Mais informações sobre o quadro de Identity Fabric podem ser encontradas no recurso do Gartner: Gartner — Identity Fabric.
O que implicaria uma plataforma com essas características? Primeiro, a capacidade de descobrir de forma contínua as identidades presentes em toda a paisagem tecnológica: desde diretórios corporativos até aplicações à medida, sistemas legados e copilotos de IA que operam com credenciais próprias. Segundo, que essa plataforma sirva como uma camada de dados de identidade consolidada, que unifique registros, telemetrias e fluxos de autorização para oferecer um único “relato” de como estão sendo usados os acessos. E terceiro, que converta esses dados em inteligência acionável usando analítica avançada e modelos que distingam comportamento legítimo de atividade suspeita.
Vários dos desafios práticos aparecem quando as aplicações não expõem APIs padrão ou quando suas lógicas de autenticação são opacas. Algumas propostas tecnológicas atuais recorrem à instrumentação dinâmica e à análise binário para inspeccionar como funcionam internamente as apps sem pedir reescritas de código ou integrações longas. Essa aproximação permite descobrir contas locais, rotas de autenticação não documentadas e credenciais de máquina que de outro modo permaneceriam escondidas. Quando a verdadeira dimensão do parque aplicacional não é conhecida, não é possível medir nem mitigar o risco que alberga.
A união de telemetria própria das aplicações com logs de sistemas centralizados gera uma camada de evidências que muda a maneira de avaliar o risco: em vez de se basear em configurações declaradas, as decisões se apoiam no comportamento observado. Relatórios que analisam ambientes a nível de aplicação mostram padrões preocupantes: muitas aplicações conservam contas ligadas a domínios antigos ou até mesmo correios de consumo, uma proporção alta apresenta privilégios excessivos e um volume significativo de contas termina órfão com o tempo. Esses achados servem para ilustrar que o risco real é frequentemente escondido por trás de pressupostos de governação incompletos.
O problema se complica com a chegada de agentes autônomos de IA. Esses atores do ambiente digital podem dispor de identidades e permissões independentes e, se não se integrarem nas políticas governamentais, se tornam outra fonte de “matéria escura”. Adaptar o modelo de visibilidade e inteligência a esses agentes exige regras claras de atribuição humana, registros completos de atividade, controles contextuais que avaliem o acesso segundo a sensibilidade do recurso e mecanismos de privilégio mínimo que favoreçam acessos just-in-time. Tudo isso deve ser acompanhado de capacidades de remediação automática para encurtar a janela de exposição.
Do ponto de vista operacional, adotar uma plataforma deste tipo transforma também a forma como o sucesso é medido. Para além de licenças ou controlos, os responsáveis pela segurança devem medir resultados: por exemplo, a redução real de licenças inativas ou o tempo médio para revogar acessos críticos após a saída de um empregado. Formalizar acordos de protecção com o negócio — serviços com objectivos específicos de segurança — ajuda a alinhar prioridades e a traduzir controlos técnicos em benefícios tangíveis.
A recomendação prática para os equipamentos que queiram fechar estas lacunas não é complexa em ideia, embora seja exigente em execução. Requer romper silos entre operações, proprietários de aplicações, equipamentos de IAM e governança; priorizar a análise quantificada do risco (com especial atenção a identidades de máquinas); automatizar correções simples que fechem desvios de postura enquanto se detectam; e usar a visibilidade unificada como ativo crítico em momentos de alto risco, como integrações após aquisição. Em suma, trata-se de transformar a observabilidade contínua numa forma de reduzir a superfície de ataque e acelerar auditorias e cumprimento.
A conclusão é clara: a visibilidade deixará de ser um luxo para se tornar a camada de controle essencial. Manter sempre fechada a “porta principal” já não basta se atrás do edifício há passadiças e chaves repartidas sem controle. As organizações que consigam ver, compreender e agir sobre a matéria escura da identidade terão uma enorme vantagem face aos atacantes; as que não, continuarão a enfrentar lacunas inesperadas que emergem precisamente onde os controlos não olham.
Para quem quiser aprofundar os guias e os quadros de referência úteis ao projetar estas capacidades, é recomendável rever documentos de referência sobre gestão de identidades e zero confiança como os NIST ( NIST SP 800-63), recursos sobre modelos de zero confiança CISA e análise sobre gestão de identidades de fornecedores especializados em identidades de máquina como Venafi. Para entender a proposta IVIP no contexto do Identity Fabric, a explicação do Gartner pode servir como marco conceitual: Gartner — Identity Fabric. Finalmente, para acompanhar o trabalho e as auditorias que identificam a “matéria escura” dentro de aplicações, pode consultar-se a documentação técnica e estudos publicados pelas empresas que desenvolvem essas soluções, por exemplo nos recursos de Orchid Security.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...