O Guia do Iniciante para Gerenciamento de Acesso Privilegiado

A Cyber ​​Security Ventures estima que os danos causados ​​por crimes cibernéticos chegarão a US$ 6 trilhões anualmente até 2021. Eles chamam isso de “hackerpocalypse”. Esse valor é o dobro dos danos sofridos em 2015 de US$ 3 trilhões. Essa é a maior ameaça global às empresas e um dos maiores problemas da humanidade.

Os incentivos para ataques cibernéticos criminosos são agora tão grandes que excederão a quantidade de dinheiro ganho com o tráfico ilegal de drogas global.

Contas de usuários privilegiados

As contas de usuários privilegiados são frequentemente alvo de ataques porque têm permissões autorizadas mais fortes, podem acessar informações confidenciais e criar novas contas de usuário ou alterar as configurações do usuário.

Os tipos de contas que têm acesso privilegiado podem incluir contas administrativas, contas de administrador de domínio, contas de serviços de autenticação, contas de segurança de TI de emergência, contas de administrador do Microsoft Active Directory, contas de serviços de nuvem e contas de interface de programação de aplicativos (API) de caminho crítico.

Se uma conta de usuário privilegiada for comprometida, o dano possível pode ser extremo. Por exemplo. Os danos pela violação da Equifax das contas de histórico de crédito de praticamente todos os americanos adultos foram estimados em US$ 4 bilhões. O gerenciamento de acesso privilegiado é usado para reduzir esse risco.

O que é gerenciamento de acesso privilegiado?

O gerenciamento de acesso é usado com a identificação do cliente para controlar o acesso do usuário aos serviços de rede. O gerenciamento de acesso privilegiado é usado para controlar os níveis de permissão definidos como a política de segurança para grupos, tipos de contas, aplicativos e indivíduos. Isso inclui o gerenciamento de senhas, monitoramento de sessão, acesso privilegiado do fornecedor e acesso a dados de aplicativos.

Como funciona o gerenciamento de acesso privilegiado?

O software de gerenciamento de acesso privilegiado (PAM) armazena as credenciais de contas privilegiadas em um repositório separado e altamente seguro, onde os arquivos são criptografados. O armazenamento criptografado separado ajuda a garantir que as credenciais não sejam roubadas ou usadas por uma pessoa não autorizada para obter acesso à rede no nível do administrador do sistema.

Os sistemas PAM mais sofisticados não permitem que os usuários escolham senhas. Em vez disso, um gerenciador de senha segura usa autenticação multifator para verificar a solicitação de um usuário autorizado legítimo e, em seguida, emite uma senha de uso único sempre que um usuário administrador faz login. Essas senhas expiram automaticamente se um usuário expirar, a sessão é interrompido, ou após um certo período.

Gerenciamento de Acesso Privilegiado e Active Directory

O gerenciamento de acesso privilegiado da Microsoft funciona com os Serviços de Domínio Active Directory da Microsoft para proteger as contas dos administradores de rede e outras contas com permissões de acesso especiais. Isso ajuda a reduzir os riscos de perder as credenciais de usuários autorizados que podem gerenciar os domínios de uma empresa.

No sistema Microsoft Active Directory, o PAM é uma instância específica do Privileged Identity Management (PIM) autorizada pelo Microsoft Identity Manager. O PAM da Microsoft permite que um usuário autorizado restabeleça o controle sobre um sistema Active Directory comprometido. Isso é feito mantendo as informações da conta dos administradores em um ambiente separado que não seja afetado por ataques cibernéticos maliciosos.

PAM para Active Directory melhora a segurança

O PAM da Microsoft para Active Directory torna mais desafiador para hackers obter acesso não autorizado a uma rede e fazer uso indevido de contas privilegiadas. Sob o esquema PAM da Microsoft, grupos privilegiados têm acesso e controle sobre servidores de computador e aplicativos de software que operam em vários domínios vinculados.

Monitoramento de atividade de rede

As atividades do grupo privilegiado são constantemente monitoradas com maior visibilidade e controles de acesso afinados. Os administradores de rede sempre podem ver o que os usuários privilegiados estão fazendo. A detecção de penetração de rede acontece em tempo real. Isso dá aos administradores de rede mais informações sobre como o acesso privilegiado à conta é usado no ambiente operacional da rede.

Outras plataformas de gerenciamento de acesso privilegiado

Há muitas plataformas de gerenciamento de acesso privilegiado a serem consideradas. A Saviynt anunciou recentemente uma nova plataforma de gerenciamento de acesso privilegiado para serviços em nuvem e aplicativos híbridos.

O software de gerenciamento de acesso de usuários em nuvem fornece recursos de segurança críticos necessários para gerenciar serviços em nuvem. As plataformas PAM mais inovadoras funcionam com serviços baseados em nuvem, redes locais e combinações híbridas de ambos.

Principais plataformas PAM

As principais plataformas de gerenciamento de acesso privilegiado escolhidas pela Solution Review são:

• BeyondTrust — Esta plataforma funciona bem para redes que possuem servidores com diferentes sistemas operacionais. Ele suporta autenticação por verificação de identidade pessoal (PIV) e possui recursos automatizados que permitem compartilhar arquivos na rede usando o protocolo de rede SMB (Server Message Block).

• CA Technologies — Esta plataforma PAM funciona com sistemas híbridos que usam serviços em nuvem e redes locais. A empresa fornece suporte de infraestrutura global. O sistema se integra bem com Security Analytics, IGA e outras soluções de gerenciamento de eventos e informações de segurança (SIEM).

• Centrify — A força desta plataforma PAM é sua solução inovadora para o armazenamento seguro de senhas em cofre e seus recursos de encaminhamento.

• CyberArk — Esta plataforma é reconhecida como líder em mitigação de riscos de contas privilegiadas com excelentes recursos de proteção de senhas.

• Ekran — Esta plataforma usa um console de controle baseado na Web para implantações que precisam manter alta disponibilidade. Possui monitoramento de atividade de rede em tempo real e pode gravar as sessões de login dos usuários. Para maior segurança, os supervisores podem controlar o acesso mesmo depois de concedido. Possui total integração com sistemas de bilhetagem e soluções SIEM.

• ManageEngine — Esta plataforma funciona bem com redes híbridas em nuvem/no local. É fácil de instalar e configurar. Ele é usado por muitas empresas à medida que migram de redes locais para serviços baseados em nuvem.

• One Identity — Esta empresa oferece soluções PAM que podem ser usadas internamente por administradores de rede e uma solução de acesso privilegiado baseada em nuvem oferecida por meio de um provedor chamado Balabit. A One Identity comprou a Balabit em janeiro de 2018 para expandir suas soluções PAM. O One Identity é popular em muitos países porque é oferecido em 13 idiomas. Suas soluções focam no gerenciamento de senhas para controle de acessos privilegiados.

• SecureAuth — Esta plataforma possui uma ampla gama de recursos de gerenciamento de acesso que incluem software de autenticação multifator combinado com PAM. O software de autenticação multifator elimina a necessidade de autenticação de senha que é usada para determinar a identidade privilegiada.

• Soluções Simeio — Este sistema oferece Privileged Identity Management (PIM) que pode ser usado para automatizar a criação de relatórios para problemas de conformidade. Ele se integra à autenticação multifator e outras infraestruturas de governança de acesso. O PIM é oferecido como um serviço que inclui monitoramento 24 horas por dia, 7 dias por semana, sem investimento de capital em equipamentos de TI.

• Thycotic — Este sistema oferece uma ferramenta de gerenciamento de senha que possui fortes recursos de gerenciamento de identidade e tempos de implantação rápidos para gerenciamento de acesso privilegiado.

• Xton Technologies — Este é um sistema PAM de nível empresarial acessível com fácil implementação e configuração. O sistema é de baixa manutenção e funciona bem para empresas de todos os tamanhos.

Gerenciando riscos de segurança de acesso privilegiado

Grande parte do foco na segurança cibernética é evitar ataques cibernéticos hostis provenientes da penetração externa da rede. No entanto, o gerenciamento de acesso privilegiado também inclui o gerenciamento interno de riscos de segurança.

A ação ou inação de um funcionário descontente ou descuidado geralmente é a fonte de uma grande violação de segurança cibernética. A “engenharia” humana pode ser usada como uma ferramenta usada para induzir uma pessoa a revelar informações de login seguras. Este pode ser um trabalho interno também.

Qualquer pessoa que tenha autorizado acesso a contas de acesso privilegiado pode causar muitos danos aos sistemas em rede. Eles podem alterar os controles de segurança, ajustar as permissões dos usuários, fazer uso indevido de recursos organizacionais e fazer cópias de grandes quantidades de dados confidenciais.

Um agente desonesto que acessa uma rede com uma conta de usuário privilegiada com alto nível de autorização pode fazer praticamente qualquer coisa e apagar qualquer evidência do que fez.

Para gerenciar esses riscos, toda organização deve seguir estas práticas recomendadas:

• Entenda o escopo detalhado do acesso privilegiado.
• Conceda apenas o acesso especificamente necessário para cada usuário.
• Monitore a atividade de acesso privilegiado à rede em tempo real.
• Use a automação para gerenciar controles de acesso de privilégios.
• Controle de forma forte e proativa todo o acesso a ativos críticos.
• Isole senhas e outros dados confidenciais importantes em cofres seguros que não podem ser afetados por malware.
• Use um sistema que envie automaticamente alertas do sistema para os supervisores de rede quando ocorrer qualquer atividade de acesso suspeito.
• Dê aos supervisores a capacidade de encerrar imediatamente qualquer acesso à conta.
• Grave sessões de login para auditorias de segurança de TI.

O gerenciamento de acesso privilegiado é uma parte vital dos sistemas defensivos para evitar acesso não autorizado e violações de dados. Os cibercriminosos continuam a encontrar novas maneiras de explorar sistemas vulneráveis. Os administradores de rede precisam focar sua estratégia de segurança de TI para incluir as melhores soluções para PAM que possam implantar e ser proativos na defesa de ativos críticos.