Se você é um profissional de sistemas, certamente já se deparou com as vulnerabilidades relacionadas ao grande número de contas com permissões elevadas em ativos de TI cruciais. Explore as melhores opções para manter esses acessos sob controle.
O cenário de acesso privilegiado pode rapidamente se tornar complexo com o aumento de usuários, aplicativos, dispositivos e tipos de infraestrutura.
Para evitar essa situação problemática, a implementação de uma solução de gestão de acesso privilegiado é fundamental. Vamos começar respondendo à questão mais básica:
O que é Gerenciamento de Acesso Privilegiado?
O Gerenciamento de Acesso Privilegiado (PAM) consiste em um conjunto de estratégias e tecnologias de segurança cibernética que visam controlar acessos e permissões elevadas (“privilegiadas”) para usuários, contas, processos e sistemas em um ambiente de TI.
Ao estabelecer níveis adequados de controle de acesso privilegiado, o PAM auxilia as organizações na redução de suas superfícies de ataque e na prevenção (ou mitigação) de danos causados por ataques externos, bem como tentativas internas de sabotagem ou atos de negligência.
Embora o gerenciamento de privilégios abranja diversas estratégias, um objetivo primordial é a aplicação do princípio do privilégio mínimo, que consiste em restringir os direitos e permissões de acesso ao mínimo indispensável para que usuários, contas, aplicativos e dispositivos possam executar suas atividades rotineiras autorizadas.
Muitos analistas e especialistas consideram o PAM uma das iniciativas de segurança mais cruciais para diminuir os riscos cibernéticos e obter um alto retorno sobre o investimento em segurança.
Como o Gerenciamento de Acesso Privilegiado (PAM) Opera?
O gerenciamento de acesso privilegiado opera com base no princípio do privilégio mínimo, garantindo que até mesmo os usuários com maiores privilégios acessem apenas os recursos necessários. As ferramentas de gerenciamento de acesso privilegiado geralmente integram soluções PAM mais abrangentes, projetadas para lidar com diversos desafios relacionados ao monitoramento, segurança e administração de contas privilegiadas.
Uma solução de gerenciamento de acesso privilegiado eficaz deve ser capaz de monitorar e registrar todas as atividades de acesso privilegiado, além de reportá-las a um administrador. Isso permite que o administrador acompanhe os acessos privilegiados e identifique possíveis usos indevidos.
A solução deve facilitar a detecção de anomalias e ameaças potenciais por parte dos administradores de sistema, possibilitando a adoção de medidas imediatas para limitar os danos. As funcionalidades essenciais de uma solução de gerenciamento de acesso privilegiado devem incluir:
- Identificação, gerenciamento e monitoramento de contas privilegiadas em todos os sistemas e aplicativos de uma rede.
- Controle de acesso a contas privilegiadas, incluindo acessos compartilhados ou disponíveis em situações de emergência.
- Geração de credenciais aleatórias e seguras para contas privilegiadas, como senhas, nomes de usuário e chaves.
- Implementação de autenticação multifator.
- Restrição e controle de comandos, tarefas e atividades que envolvam privilégios.
- Gerenciamento do compartilhamento de credenciais entre serviços para limitar a exposição.
PAM vs. IAM
O Gerenciamento de Acesso Privilegiado (PAM) e o Gerenciamento de Identidade e Acesso (IAM) são abordagens comuns para manter altos padrões de segurança e permitir que usuários acessem ativos de TI, independentemente de sua localização ou dispositivo.
É fundamental que as equipes de negócios e TI compreendam as diferenças entre as duas abordagens e suas funções na proteção do acesso a dados confidenciais e sensíveis.
O IAM é um conceito mais abrangente, usado principalmente para identificar e autorizar usuários em toda a organização. O PAM, por sua vez, é um subconjunto do IAM que se concentra em usuários privilegiados, ou seja, aqueles que necessitam de permissão para acessar os dados mais confidenciais.
O IAM refere-se à identificação, autenticação e autorização de perfis de usuários que utilizam identidades digitais exclusivas. As soluções IAM oferecem às empresas um conjunto de funcionalidades que apoiam uma abordagem de confiança zero para segurança cibernética, exigindo que os usuários verifiquem sua identidade sempre que solicitarem acesso a um servidor, aplicativo, serviço ou outro ativo de TI.
A seguir, apresentamos uma visão geral das principais soluções PAM disponíveis, tanto como sistemas baseados em nuvem quanto instalados localmente.
StrongDM
StrongDM oferece uma plataforma de acesso à infraestrutura que elimina a necessidade de soluções de endpoint, abrangendo todos os protocolos. Funciona como um proxy que combina métodos de autenticação, autorização, rede e observabilidade em uma única plataforma.
Em vez de dificultar o acesso, os mecanismos de atribuição de permissões do StrongDM agilizam o acesso, concedendo e revogando instantaneamente acesso granular e de privilégio mínimo por meio do controle de acesso baseado em função (RBAC), controle de acesso baseado em atributo (ABAC) ou aprovações de endpoint para todos os recursos.
O processo de integração e saída de funcionários é simplificado, permitindo a aprovação temporária de privilégios elevados para operações confidenciais por meio de integrações com Slack, Microsoft Teams e PagerDuty.
O StrongDM possibilita que cada usuário ou serviço se conecte aos recursos exatos de que precisa, independentemente de sua localização. Além disso, substitui o acesso VPN e hosts bastiões por redes de confiança zero.
O StrongDM oferece diversas opções de automação, incluindo a integração de fluxos de trabalho de acesso ao seu pipeline de implantação, streaming de logs para seu SIEM e coleta de evidências para diversas auditorias de certificação, como SOC 2, SOX, ISO 27001 e HIPAA.
ManageEngine PAM360
PAM360 é uma solução abrangente para empresas que desejam incorporar o PAM em suas operações de segurança. Com os recursos de integração contextual do PAM360, é possível criar um console central onde diferentes partes do sistema de gestão de TI são interconectadas, proporcionando uma correlação mais profunda entre dados de acesso privilegiado e dados gerais da rede, facilitando inferências significativas e uma resposta mais rápida.
O PAM360 garante que nenhum caminho de acesso privilegiado aos seus ativos de missão crítica fique sem gerenciamento, desconhecido ou não monitorado. Para isso, oferece um cofre de credenciais onde é possível armazenar contas privilegiadas, com gerenciamento centralizado, permissões de acesso baseadas em função e criptografia AES-256.
Com controles just-in-time para contas de domínio, o PAM360 concede privilégios elevados somente quando os usuários precisam deles. Após um período determinado, as permissões são revogadas automaticamente e as senhas são redefinidas.
Além do gerenciamento de acesso privilegiado, o PAM360 facilita a conexão de usuários privilegiados a hosts remotos com um único clique, sem a necessidade de plug-ins de navegador ou agentes de endpoint. Essa funcionalidade estabelece um túnel de conexões por meio de gateways criptografados e sem senhas, proporcionando proteção máxima.
Teleport
Teleport tem como estratégia consolidar todos os aspectos do acesso à infraestrutura em uma única plataforma para engenheiros de software e os aplicativos que desenvolvem. Essa plataforma unificada visa reduzir a superfície de ataque e os custos operacionais, melhorando a produtividade e garantindo a conformidade com as normas.
O Access Plane do Teleport é uma solução de código aberto que substitui credenciais compartilhadas, VPNs e tecnologias legadas de gerenciamento de acesso privilegiado. Foi projetado especificamente para fornecer o acesso necessário à infraestrutura sem comprometer o trabalho ou diminuir a produtividade da equipe de TI.
Profissionais e engenheiros de segurança podem acessar servidores Linux e Windows, clusters Kubernetes, bancos de dados e aplicações DevOps, como CI/CD, controle de versão e painéis de monitoramento por meio de uma única ferramenta.
O Teleport Server Access utiliza padrões abertos como certificados X.509, SAML, HTTPS e OpenID Connect, entre outros. Seus criadores focaram na simplicidade de instalação e uso, pilares de uma boa experiência do usuário e de uma sólida estratégia de segurança. A solução consiste em apenas dois binários: um cliente que permite aos usuários fazer login para obter certificados de curta duração e o agente Teleport, instalado em qualquer servidor ou cluster Kubernetes com um único comando.
Okta
Okta é uma empresa especializada em soluções de autenticação, diretório e logon único. Também oferece soluções PAM por meio de parceiros que se integram a seus produtos para fornecer identidade centralizada, políticas de acesso personalizáveis e adaptáveis, relatórios de eventos em tempo real e superfícies de ataque reduzidas.
Através das soluções integradas da Okta, as empresas podem provisionar/desprovisionar automaticamente usuários privilegiados e contas administrativas, ao mesmo tempo em que proporcionam acesso direto a ativos críticos. Os administradores de TI podem detectar atividades anômalas por meio da integração com soluções de análise de segurança, emitir alertas e tomar medidas para evitar riscos.
Boundary
A HashiCorp oferece sua solução Boundary para fornecer gerenciamento de acesso baseado em identidade para infraestruturas dinâmicas. Também oferece gerenciamento de sessão simples e seguro, bem como acesso remoto a qualquer sistema confiável baseado em identidade.
Ao integrar a solução Vault da HashiCorp, é possível proteger, armazenar e controlar estruturalmente o acesso a tokens, senhas, certificados e chaves de criptografia para proteger segredos e outros dados confidenciais por meio de uma interface de usuário, uma sessão CLI ou uma API HTTP.
Com o Boundary, é possível acessar hosts e sistemas críticos de diversos fornecedores separadamente, sem a necessidade de gerenciar credenciais individuais para cada sistema. Pode ser integrado a provedores de identidade, eliminando a necessidade de expor a infraestrutura ao público.
O Boundary é uma solução de código aberto independente de plataforma. Como parte do portfólio da HashiCorp, oferece a capacidade de se integrar facilmente aos fluxos de trabalho de segurança, facilitando sua implantação na maioria das plataformas de nuvem pública. O código necessário está disponível no GitHub e pronto para uso.
Delinea
As soluções de gerenciamento de acesso privilegiado da Delinea visam simplificar ao máximo a instalação e o uso da ferramenta. A empresa busca tornar suas soluções intuitivas, facilitando a definição de limites de acesso. Seja na nuvem ou em ambientes locais, as soluções PAM da Delinea são simples de implementar, configurar e gerenciar, sem comprometer a funcionalidade.
A Delinea oferece uma solução baseada em nuvem que permite a implantação em centenas de milhares de máquinas. Essa solução consiste em um Privilege Manager para estações de trabalho e Cloud Suite para servidores.
O Privilege Manager permite descobrir máquinas, contas e aplicativos com direitos de administrador, seja em estações de trabalho ou servidores hospedados na nuvem. Ele também opera em máquinas de diferentes domínios. Ao definir regras, é possível aplicar automaticamente políticas para gerenciar privilégios, estabelecendo associações a grupos locais e alternando automaticamente credenciais privilegiadas não humanas.
Um assistente de política permite elevar, negar e restringir aplicativos com apenas alguns cliques. Por fim, a ferramenta de relatórios da Delinea fornece informações detalhadas sobre aplicativos bloqueados por malware e a conformidade com o princípio do privilégio mínimo. Ela também oferece integração de análise de comportamento privilegiado (PBA) com o Privilege Manager Cloud.
BeyondTrust
O Privilege Management da BeyondTrust facilita a elevação de privilégios para aplicativos conhecidos e confiáveis que necessitam deles, controlando o uso dos aplicativos e registrando e relatando atividades privilegiadas. Isso é feito usando ferramentas de segurança já presentes em sua infraestrutura.
Com o Privilege Manager, é possível fornecer aos usuários os privilégios exatos de que precisam para realizar suas tarefas, sem o risco de privilégios excessivos. É possível também definir políticas e distribuições de privilégios, ajustando e determinando o nível de acesso disponível em toda a organização, prevenindo ataques de malware devido ao excesso de privilégios.
É possível usar políticas refinadas para elevar os privilégios de aplicativos para usuários padrão do Windows ou Mac, fornecendo acesso suficiente para cada tarefa. O BeyondTrust Privilege Manager integra-se com aplicativos confiáveis de suporte técnico, scanners de gerenciamento de vulnerabilidades e ferramentas SIEM por meio de conectores integrados à ferramenta.
A análise de segurança de endpoint da BeyondTrust permite correlacionar o comportamento do usuário com inteligência de segurança. Também oferece acesso a uma trilha de auditoria completa de todas as atividades do usuário, acelerando a análise forense e simplificando a conformidade empresarial.
One Identity
As soluções de Gerenciamento de Acesso Privilegiado (PAM) da One Identity reduzem os riscos de segurança e facilitam a conformidade empresarial. O produto é oferecido nos modos SaaS ou local, permitindo proteger, controlar, monitorar, analisar e gerenciar o acesso privilegiado em diversos ambientes e plataformas.
Além disso, oferece a flexibilidade de conceder privilégios totais a usuários e aplicativos somente quando necessário, aplicando um modelo operacional de confiança zero e privilégio mínimo em todas as outras situações.
CyberArk
Com o CyberArk Privileged Access Manager, é possível descobrir e incorporar automaticamente credenciais e segredos privilegiados utilizados por entidades humanas ou não humanas. Por meio do gerenciamento centralizado de políticas, a solução da CyberArk permite que administradores de sistema definam políticas para rotação de senhas, complexidade de senhas, atribuição de cofre por usuário e muito mais.
A solução pode ser implantada como um serviço (modo SaaS) ou instalada em seus servidores (auto-hospedada).
Centrify
O serviço Privilege Threat Analytics da Centrify detecta abusos de acesso privilegiado adicionando uma camada de segurança às suas infraestruturas de nuvem e locais, utilizando análise comportamental avançada e autenticação multifator adaptável. Com as ferramentas do Centrify, é possível receber alertas quase em tempo real sobre comportamentos anormais de todos os usuários em uma rede.
O Centrify Vault Suite permite atribuir acesso privilegiado a contas e credenciais compartilhadas, manter senhas e segredos de aplicativos sob controle e proteger sessões remotas. Já com o Centrify Cloud Suite, sua organização pode, independentemente do tamanho, controlar globalmente o acesso privilegiado por meio de políticas gerenciadas centralmente e aplicadas dinamicamente no servidor.
Conclusão
O uso indevido de privilégios é uma das principais ameaças de segurança cibernética atualmente, frequentemente resultando em perdas financeiras significativas e até mesmo na paralisação de negócios. É um dos vetores de ataque mais populares entre cibercriminosos, pois, quando bem-sucedido, oferece acesso livre às camadas mais profundas de uma empresa, muitas vezes sem disparar alertas até que o dano esteja feito. O uso de uma solução adequada de gerenciamento de acesso de privilégios é essencial sempre que os riscos de abuso de privilégios de conta se tornam difíceis de controlar.