Menu

Implementação eficaz do gerenciamento de acesso privilegiado: um guia passo a passo

O gerenciamento de acesso privilegiado (PAM) é uma parte fundamental da segurança cibernética moderna.

Em termos simples, é a estratégia que você usa para monitorar e controlar o acesso aos ativos ou dados mais confidenciais, como informações confidenciais de clientes ou servidores de missão crítica.

A lógica é simples: esses ativos carregam um nível único de risco devido aos danos que podem causar à sua organização se forem acessados pelas pessoas erradas.

Portanto, é sensato restringir o acesso do usuário o máximo possível.

A teoria pode ser simples, mas a execução está longe de ser direta.

Para acertar, você precisa das ferramentas e processos certos. Neste blog, explicamos como fazer exatamente isso.

Para começar, aqui estão alguns insights importantes do artigo, em resumo:

Principais insights

  • A implementação eficaz do PAM envolve a identificação de contas privilegiadas, a aplicação de privilégios mínimos, o aproveitamento da automação, o monitoramento contínuo e a garantia de conformidade.
  • A integração de proteções PAM modernas, como gerenciamento automatizado de credenciais, autenticação multifator, gravação de sessão e detecção de ameaças em tempo real, aumentará a segurança com baixo esforço.
  • Os fundamentos e fundamentos do PAM envolvem o gerenciamento e o monitoramento de contas privilegiadas para limitar o acesso a sistemas confidenciais, garantindo segurança, responsabilidade e conformidade.
  • O princípio do privilégio mínimo é fundamental em qualquer estratégia PAM eficaz. Ele garante que os usuários e sistemas tenham apenas o acesso mínimo necessário, reduzindo o risco de acesso não autorizado e aumentando a segurança.

Cinco etapas principais para uma implementação eficaz do PAM

Blue Template 1600 x 1600 4 sections1

Se você deseja implementar uma estratégia de gerenciamento de acesso privilegiado, pode estar se perguntando por onde começar.

Embora cada ambiente de TI seja diferente, há uma série de etapas que a maioria das organizações deve seguir ao implementar uma estratégia de PAM.

Aqui estão os cinco mais importantes:

1. Identifique contas privilegiadas

O primeiro e mais importante passo é auditar e identificar todas as contas privilegiadas que existem em seu ambiente de TI.

A maioria das organizações terá uma variedade de contas que não conhece – e você não pode implementar efetivamente o PAM até identificá-las.

Esses incluem:

  • Contas sombra/extintas – Contas de usuário privilegiadas associadas a pessoas que não trabalham mais para ou com a empresa. Podem ser ex-funcionários ou contratados terceirizados. Muitas vezes, essas contas não são excluídas quando o contrato termina, o que cria um ponto de entrada atraente para hackers.
    Permissões extras – Quando os funcionários recebem privilégios de acesso para uma tarefa ou projeto específico e mantêm o acesso elevado assim que essa necessidade for superada. Novamente, isso cria pontos de entrada desnecessários.
  • Contas de serviço privilegiadas – APIs, fluxos de trabalho de RPA e outras identidades de máquina que exigem acesso privilegiado. Se, por exemplo, você programou uma API para recuperar informações confidenciais do cliente de um banco de dados e exibi-las em um aplicativo do cliente, essa API exigirá acesso privilegiado da mesma forma que qualquer funcionário que acesse as mesmas informações. Muitas vezes, eles são negligenciados e esquecidos, pois as organizações assumem que o acesso privilegiado só pode ser associado a indivíduos.

Para identificar essas contas, você precisará de uma ferramenta PAM especializada.

Eles podem verificar seu ambiente de TI para identificar todos os privilégios nas contas de usuário e serviço, incluindo aqueles que você não conhece.

2. Identifique ativos e dados confidenciais

A próxima etapa é identificar quais dados e ativos confidenciais suas contas privilegiadas podem estar acessando.

Isso pode ser particularmente difícil porque não é o mesmo para todas as empresas.

Se um hacker roubar uma versão confidencial do produto, você terá problemas. Se eles roubarem o rascunho de trabalho de um ativo de marketing que você publicou na semana passada, você provavelmente ficará bem.

O desafio é que nenhuma ferramenta pode dizer qual é qual.

Em última análise, deve ser um julgamento subjetivo baseado nas consequências de ter um determinado ativo ou arquivo infiltrado.

No entanto, a maioria dos ativos e dados confidenciais se enquadrará em uma das três grandes categorias:

  • Ativos críticos: refere-se a ativos de TI ou endpoints. Exemplos comuns aqui podem incluir servidores críticos, aplicativos voltados para o cliente ou qualquer coisa que possa levar à perda de negócios, serviços ou produtividade dos funcionários se ela cair. Geralmente, o acesso a esses ativos é concedido a administradores de TI, equipes de segurança ou especialistas em DevOps.
  • Dados confidenciais: isso inclui todos os dados de funcionários ou clientes cobertos por regulamentos de conformidade, como o GDPR. Principalmente, isso envolverá detalhes financeiros e outras informações de identificação pessoal (PII).
  • Propriedade intelectual: A categoria final é menos claramente definida, pois envolve qualquer coisa que sua organização queira manter a sete chaves. Isso pode incluir lançamentos futuros de produtos, segredos comerciais ou simplesmente qualquer coisa que sua equipe de relações públicas desaprove que vaze.

Depois de identificar ativos confidenciais em todas essas três categorias, você pode começar a implementar privilégios mínimos.

“O gerenciamento eficaz de identidades consiste em ter uma lista predefinida de funções e privilégios, para que você saiba quando contrata alguém ou muda de função, fica claro quais privilégios devem ser atribuídos. O objetivo do acesso baseado em funções é tirar o indivíduo e a pessoa e atribuir regras com base em sua identidade.”

– Mikkel Pederson, Chefe de Capacitação de Vendas Globais, Heimdal®

Depois de identificar contas privilegiadas e ativos confidenciais, a próxima etapa é implementar privilégios mínimos.

Isso envolve a remoção de acesso desnecessário sempre que possível. Em particular, isso envolve as contas sombra, contas de serviço extra e privilégios estendidos que identificamos na primeira seção.

De longe, a maneira mais fácil de fazer isso é agrupar arquivos confidenciais com base em quem deve ter acesso a eles.

Dessa forma, você pode implementar controles de acesso baseados em função para cada um desses grupos.

Por exemplo, os gerentes de RH teriam acesso ao endereço dos funcionários e às informações salariais, mas não às informações confidenciais do cliente no CRM. Para os gerentes de vendas, o oposto seria verdadeiro.

Para arquivos básicos, isso deve ser bastante simples; É um caso de colocar arquivos em pastas e controlar o acesso a essas pastas.

Se esses dados forem armazenados em aplicativos de nuvem ou SaaS, será mais difícil.

Alguns deles terão proteções PAM integradas, outros não – então você terá que pensar cuidadosamente sobre quais ferramentas está usando e se elas podem oferecer a proteção de que você precisa.

Também pode ser útil, nesta fase, considerar uma plataforma CIEM para controlar o acesso aos dados armazenados em ambientes de nuvem particularmente complexos.

Seja qual for a tática que você esteja usando, o objetivo deve ser reduzir os privilégios ao mínimo absoluto.

Dessa forma, há menos pontos de entrada para os hackers atingirem.

4. Implemente proteções PAM modernas

Remover privilégios desnecessários é um ótimo primeiro passo – mas não é a única ferramenta em seu arsenal.

Afinal, sempre haverá contas que precisam de acesso a informações confidenciais, e essas identidades ainda podem ser infiltradas.

Mas há uma série de outras medidas que você pode implementar que podem melhorar a defesa dessas contas privilegiadas que ainda precisam existir.

Aqui estão alguns dos mais importantes:

  • Rotação de credenciais: uma política para garantir que as senhas sejam alteradas regularmente, geralmente combinada com restrições na força da senha. Uma vez solicitado, os usuários finais devem alterar sua senha antes de fazer login. Isso garante que as senhas vazadas ou roubadas se tornem redundantes após um determinado período. As políticas de rotação podem ser definidas por meio de soluções PAM e estão disponíveis por meio de uma variedade de outras ferramentas de segurança.
  • Autenticação multifator: Isso geralmente envolve a autenticação de um usuário por meio de seu smartphone ao fazer login, o que cria uma camada extra de defesa. Isso pode ocorrer por meio de um aplicativo autenticador, uma senha de uso único ou uma leitura de impressão digital. A funcionalidade MFA agora é comum nos principais produtos SaaS. Eles também podem ser implementados em nível corporativo usando produtos PAM ou por meio de uma variedade de ferramentas de segurança da Microsoft.
  • Cofre de senhas: Um cofre ou gerenciador de senhas é outra ferramenta cada vez mais popular. Aqui, as senhas são criptografadas e armazenadas em um aplicativo ou plug-in seguro, muitas vezes sem que os próprios usuários finais possam vê-las. Isso garante que as senhas possam ser complexas, exclusivas e alteradas regularmente sem afetar a experiência do usuário. Também evita que as senhas sejam salvas em formato de texto simples por meio de aplicativos de notas inseguros ou outras mídias.
  • Chaves e tokens digitais: semelhante ao cofre de senhas, visa remover totalmente as senhas baseadas em texto. Em vez disso, o acesso pode ser concedido por meio de tokens, chaves ou IDs digitais, que podem ser provisionados com segurança por meio de produtos PAM e gerenciados centralmente pela equipe de TI. Geralmente, essas chaves são cadeias de caracteres criptografadas baseadas em texto que são desconhecidas para o usuário final e não podem ser reproduzidas com eficácia em formato de texto simples.
  • Chaves físicas: Itens (por exemplo, pendrive, cartão-chave, chaveiros, microchips, etc.) que podem autenticar indivíduos. Assim como as chaves tradicionais, a autenticação baseia-se na suposição de que apenas o indivíduo selecionado possui esse item. Você pode decidir, por exemplo, que qualquer pessoa com uma conta de administrador root precisa se autenticar por meio de uma senha, uma digitalização de impressão digital e uma chave digital – essencialmente uma camada estendida de autenticação multifator.
  • Acesso just-in-time: Outro recurso que pode ser habilitado pelas plataformas PAM ou PEDM mais atualizadas. Trata-se essencialmente de uma série de políticas dinâmicas que concedem ou revogam o acesso a ativos confidenciais com base no contexto. Isso evita a necessidade de qualquer indivíduo ter acesso ‘sempre ativo’, também conhecido como privilégios permanentes. Na prática, isso significa que o acesso pode ser recusado se certos ‘sinais de risco’ (por exemplo, novo dispositivo, novo local, vulnerabilidades não corrigidas) forem detectados. Quando o acesso é concedido, geralmente é feito por razões específicas e por períodos limitados no tempo.

Os produtos mais atualizados permitirão que você crie e implemente políticas PAM para decidir quais tipos de autenticação devem ser usados em quais cenários.

Um bom lugar para começar é implementar a MFA em todas as contas privilegiadas e usar um cofre de senhas como padrão para todas as credenciais digitais.

Em seguida, você pode considerar a implementação de chaves digitais, tokens e políticas just-in-time para permitir o acesso a ativos e dados mais confidenciais.

Seja qual for a abordagem escolhida, a melhor política de PAM é, de longe, criar uma defesa em camadas.

Nenhuma política única interromperá 100% dos ataques, por isso é importante usar uma combinação de diferentes técnicas.

5. Monitore, audite e repita

Até agora, identificamos ativos confidenciais, eliminamos privilégios desnecessários e implementamos uma série de políticas para manter seu ambiente de TI seguro.

Você pode presumir que o trabalho está concluído neste momento – mas é importante não ficar tranquilo.

As políticas que você criar precisarão ser revisadas continuamente para garantir que você obtenha o equilíbrio certo entre segurança e usabilidade.

Todas as políticas de segurança têm algum impacto na experiência do usuário. E quando esse impacto se torna muito grave, os funcionários geralmente começam a encontrar soluções alternativas complicadas para evitá-los – o que não é bom para a segurança.

É importante, portanto, descobrir qual é o impacto de suas políticas para que você possa decidir onde elas são mais necessárias.

Então, como você faz isso? A primeira etapa é a mais óbvia: converse com sua equipe.

Isso lhe dará uma ideia de como eles percebem as políticas e onde estão os maiores problemas.

Se as medidas de segurança em ativos de risco relativamente baixo estão criando muitos atritos desnecessários, isso pode ser um sinal de que não são necessárias.

Também é importante monitorar qual comportamento de risco está sendo detectado em seu ambiente de TI.

Isso pode ser algo simples, como um login de um novo local, ou algo mais complexo, como uma vulnerabilidade não corrigida ou suspeita de malware.

Isso lhe dará uma ideia dos maiores riscos e, por associação, quais políticas você pode implementar para mitigá-los.

Geralmente, essas informações estão disponíveis na maioria dos produtos PASM padrão por meio da funcionalidade de ‘monitoramento de sessão’.

Noções básicas do PAM: como funciona o acesso privilegiado e por que é importante

“Hoje, a revolução do trabalho híbrido está em andamento e muitos funcionários estão trabalhando em casa ou trazendo seus próprios dispositivos. Isso requer mais foco no gerenciamento de acesso a dispositivos locais, em vez de PAM relacionado ao domínio. Essa é uma das coisas mais difíceis sobre o PAM na nuvem – se você tem 200 ou 2000 dispositivos, cada um deles deve ser gerenciado individualmente.”

– Mikkel Pederson, Chefe de Capacitação de Vendas Globais, Heimdal®

O princípio-chave do PAM é governar o acesso a dados e ativos confidenciais com base em quem realmente precisa deles. Geralmente, os privilégios são concedidos a usuários específicos com base em suas funções.

Pode ser tão simples quanto conceder à equipe de TI acesso a endpoints críticos e aos funcionários de RH acesso a informações confidenciais dos funcionários.

Este não é um conceito novo ou revolucionário.

Mas os ambientes de TI de hoje são cada vez mais complexos, consistindo em servidores, instâncias de nuvem, fluxos de trabalho de RPA, dispositivos IoT e toda uma gama de outros ativos e endpoints.

Gerenciar e restringir ativos como esses é muito mais complexo do que antes.

É aí que entra o conceito de privilégio mínimo.

Princípio mínimo: o único princípio-chave do PAM eficaz

“O menor privilégio é uma jornada, não um destino. Não há um único aplicativo que você possa instalar, habilidade que você possa treinar ou processo que você possa criar que obtenha o mínimo de privilégios. São todas essas coisas e muito mais. Feito corretamente, é uma mentalidade que é aplicada a tudo o que você faz. Primeiro, assuma o risco e, em seguida, trabalhe para trás a partir daí para reduzir esse risco o máximo possível.

– Bogdan Dolohan, Chefe de Suporte Técnico, Heimdal®

Nos últimos dez a quinze anos, a maneira como interagimos com a tecnologia no trabalho mudou fundamentalmente.

Antigamente, era comum viajar para o trabalho, entrar no escritório usando um cartão-chave físico, sentar-se em uma mesa com fio e digitar uma senha.

A maioria, se não todos, os endpoints de TI estavam conectados a uma rede física, geralmente conectada a um servidor.

Nesse contexto, a segurança de acesso privilegiado era muito mais direta. Se você pudesse controlar o acesso à máquina específica de um usuário, poderia presumir que ele estava seguro depois de fazer login.

Então, a nuvem mudou tudo.

Em um mundo remoto e com vários dispositivos, as organizações precisam ser muito mais direcionadas e táticas sobre as medidas de segurança que usam e onde as aplicam.

É aqui que entra o privilégio mínimo.

Hoje, o privilégio mínimo é essencialmente a base do acesso privilegiado moderno. O princípio dita que o acesso só deve ser dado a contas que realmente precisam dele.

Idealmente, ele também deve ser estendido para garantir que o acesso seja concedido apenas quando necessário.

Superficialmente, isso é bastante simples.

Mas, como descobriremos, implementar esse princípio pode ser um negócio mais complexo.

Qual solução PAM eu preciso?

Leia mais: As 11 principais soluções de software de gerenciamento de acesso privilegiado (PAM) em 2024

Nesses ambientes de TI cada vez mais complexos, alcançar o gerenciamento de acesso privilegiado (PAM) eficaz requer as ferramentas certas.

Na última década, uma variedade de produtos evoluiu para ajudar a gerenciar as complexidades do acesso a contas privilegiadas em um mundo remoto que prioriza a nuvem. Mas, à medida que surgem novas ameaças e formas de trabalho, novas ferramentas são necessárias para ajudar a gerenciá-las.

Isso significa que agora existem vários tipos de solução PAM no mercado, cada um com um conjunto diferente de metas, ferramentas e políticas.

Para as equipes de TI, isso pode tornar as coisas excepcionalmente complicadas, porque não é imediatamente óbvio quais produtos de segurança você precisa.

Se você tiver um ambiente de TI relativamente simples, com poucos servidores voltados para o cliente e informações confidenciais limitadas, suas políticas de PAM poderão ser bastante simples.

Mas quanto mais tecnologia complexa você adicionar, mais políticas especializadas você precisará para ajudar a protegê-los.

Para aumentar a confusão, também há um cruzamento significativo entre os diferentes produtos, o que significa que há uma boa chance de que uma ferramenta se torne redundante quando você atualiza para outra.

Aqui estão alguns dos tipos mais comuns de produtos PAM no mercado:

Infographic Photo Template 1600 x 18002

1. Acesso privilegiado e gerenciamento de sessão (PASM)

O tipo mais comum de solução PAM. Eles ajudam a detectar, gerenciar e monitorar o uso de contas privilegiadas, dando aos administradores de TI a capacidade de delegar e revisar permissões a partir de um painel central.

Eles também geralmente apresentam análises para monitorar sessões e atividades privilegiadas e geralmente também incluem políticas que permitem definir a complexidade das senhas e com que frequência são alteradas.

2. Gerenciamento de Elevação e Delegação de Privilégios (PEDM)

Uma solução PAM mais avançada. Ele fornece controles baseados em identidade mais específicos e granulares e permite que as equipes de segurança implementem controles mais rigorosos e dinâmicos, com ênfase particular no acesso just-in-time (mais sobre isso abaixo).

3. Gerenciamento de Direitos de Infraestrutura em Nuvem (CIEM)

Embora as ferramentas tradicionais de PASM sejam úteis, elas geralmente se concentram em identidades no nível do sistema operacional e do arquivo.

Isso deixa uma lacuna importante para serviços e infraestrutura baseados em nuvem, que os produtos CIEM visam preencher.

Geralmente, eles monitoram permissões e acesso em instâncias de nuvem, ambientes de DevOps, bancos de dados ou quaisquer outros aplicativos ou sites hospedados na nuvem.

4. Ferramentas de gerenciamento de senhas

Um termo abrangente para qualquer ferramenta projetada especificamente para monitorar, girar e proteger senhas e outras credenciais digitais.

Muitas vezes, esses recursos são incluídos em ferramentas PASM, PEDM ou SIEM mais amplas, portanto, há algum risco de sobreposição e redundância aqui.

Heimdal®: uma abordagem única para acesso privilegiado

Aqui está o segredo para um gerenciamento eficaz de acesso privilegiado: não é tudo ou nada.

Neste blog, explicamos uma variedade de técnicas, ferramentas e recursos do PAM que podem ajudá-lo a controlar o acesso aos ativos e dados mais confidenciais.

Não há bala de prata aqui, e a solução certa será diferente para cada empresa.

É por isso que é tão importante criar uma abordagem em camadas com várias defesas do PAM em suas contas privilegiadas.

Mas, como explicamos, existem vários tipos diferentes de solução PAM disponíveis.

Para criar essa abordagem em camadas, as organizações geralmente acabam construindo uma rede pesada que combina gerenciadores de senhas com ferramentas PASM, CIEM ou PEDM.

Quanto mais você adiciona, mais complexa e ineficaz se torna a solução resultante.

XDR Dashboard 3D Front 2048x1063 2

Na Heimdal®, adotamos uma abordagem diferente. Em vez disso, toda a nossa gama de ferramentas de gerenciamento de acesso privilegiado (PAM) está disponível por meio de um módulo PAM simples. Isso inclui:

  • Cofre de credenciais corporativas: um cofre seguro para garantir que as senhas sejam monitoradas, armazenadas e gerenciadas com segurança.
  • Monitoramento de sessão: análise, gravação e reprodução de sessão em tempo real – oferecendo insights exclusivos sobre o comportamento de usuários privilegiados e auditoria e conformidade simplificadas.
  • Controles avançados de acesso baseados em função: por meio de um intrincado sistema RBAC, você pode otimizar o gerenciamento de permissões e minimizar o risco de contas com privilégios excessivos.
  • Acesso just-in-time: conceda ou revogue dinamicamente o acesso com base em sinais contextuais, garantindo que contas privilegiadas ainda possam ser bloqueadas se determinados riscos forem detectados.

Tudo isso está disponível através do módulo PAM em nossa plataforma XDR.

Para receber mais informações sobre o Heimdal e como obter o produto, visite nossa página dedicada

Você gostaria de ler

Placehodler

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse vel ultricies massa. Praesent at semper augue. Pellentesque at tortor vel ante blandit aliquam. Praesent rutrum ex nec felis lacinia, eu luctus massa ullamcorper. Pellentesque nulla massa, bibendum commodo justo at, euismod rutrum nibh. Cras in felis eget nisl faucibus porta eu ac massa. Donec quis malesuada metus. Phasellus at mauris non magna laoreet luctus. Aliquam erat volutpat. Integer ut lorem a purus aliquam aliquet. Duis maximus porta ex, vel convallis nulla efficitur sed. Ut justo nulla, consequat ac scelerisque in, tincidunt non tortor.

bicycle