Em 2018, mais de onze violações de dados significativas ocorridas nos Estados Unidos foram causadas pela exploração de terceiros (Target, Saks 5th Avenue, Universal Music Group, Applebee’s, etc.). Foram violações desastrosas, caras e bastante prejudiciais às empresas.
Embora os administradores de TI, os colaboradores internos e os fornecedores precisem de acesso privilegiado para realizar seus trabalhos com eficiência, isso não significa que você precisa dar a eles todo e qualquer acesso ao seu ambiente. Inclusive, as empresas até permitem que alguns tipos de serviços sejam executados por terceiros. Mas nesse caso, o acesso privilegiado precisa ser protegido da mesma forma (ou até mais) que os colaboradores internos privilegiados da organização. Não fazer isso deixa a sua companhia com um link muito fraco em segurança, que pode ser facilmente explorado por hackers.
Para lidar com o risco cibernético de terceiros, você precisa ter um bom entendimento sobre acesso remoto para implementar os controles apropriados a fim de ajudar a proteger o acesso às suas contas privilegiadas.
O desafio é que sua organização usa produtos e softwares de TI de vários fornecedores para aprimorar seu core business, e isso exige que você tenha acesso remoto seguro a esses fornecedores para que eles possam fazer as manutenções necessárias e solucionar problemas relacionados a esses produtos.
É aí que você se depara com o dilema de como fornecer acesso necessário e, ao mesmo tempo, proteger sua organização contra malwares e mal-intencionados que entram por meio de conexões de terceiros. Os agentes de ameaças cibernéticas aproveitam todos os pontos fracos que podem encontrar em sua infraestrutura para descobrir e explorar seus ativos de informações.
Eles exploram continuamente os caminhos tradicionais de acesso remoto, e garantir esse acesso é um desafio complicado. Os terceiros podem não usar os mesmos protocolos de segurança que você utiliza. Sua política de senha pode não ser tão forte; e eles, por sua vez, podem compartilhar credenciais entre várias pessoas. Mesmo se eles usarem os protocolos de segurança apropriados, os métodos tradicionais de conectividade remota (por exemplo, VPNs) são facilmente invadidos por meio de credenciais de usuário roubadas e seqüestro de sessão.
Como observei anteriormente, algumas das violações mais devastadoras nos últimos anos foram diretamente atribuídas às falhas de segurança de terceiros, que são um prato cheio para os hackers. Um estudo recente descobriu que 63% das violações de dados estavam vinculadas a um terceiro responsável pelo suporte, desenvolvimento e / ou manutenção do sistema.
Oito dicas para reduzir os riscos de segurança do acesso remoto
Com tudo isso em mente, gostaria de comentar algumas dicas sobre como ter controle sobre as conexões de rede de terceiros e aumentar sua segurança de acesso remoto.
Dica 1 – Monitore as Conexões de Terceiros
Primeiro, é essencial que você monitore as atividades de seus fornecedores. Você precisa monitorar e investigar atividades de terceiros para impor políticas para acesso aos sistemas. Sua intenção é entender atividades básicas para determinar se uma violação de política foi um simples erro ou uma indicação de comportamento malicioso. Você deve conduzir gravações de sessão para fornecer informações completas sobre uma determinada sessão e examiná-la em busca de violações ou problemas de políticas conhecidos. E, finalmente, você deve correlacionar informações para revisar todos os dados de um único ponto de vista para detectar tendências e padrões fora do comum.
Aqui estão alguns passos para o monitoramento:
- Faça um inventário das conexões de terceiros para ajudá-lo a saber de onde essas conexões vêm, a que estão conectadas e quem tem acesso a quais;
- Analise suas regras de firewall para buscar as que permitem conexões de entrada das quais você não está ciente;
- Execute varreduras de vulnerabilidades em seus hosts externos para procurar serviços que estejam atendendo conexões de entrada;
- Certifique-se de que suas políticas de segurança de senha corporativa se aplicam a contas em conexões de rede de entrada;
- Estabeleça padrões de segurança especificamente para lidar com problemas de terceiros e aplicá-los usando controles técnicos;
- Monitore as falhas de segurança e, em seguida, minimize-as.
Através do monitoramento, você pode fazer um trabalho melhor de conter os riscos de terceiros por meio de planejamento e diligência prudentes.
Dica 2 – Implemente Múltiplas Camadas de Proteção
A melhor maneira de proteger sua organização contra ameaças de segurança decorrentes de terceiros é aprovar uma estratégia de defesa em várias camadas que cubra toda a empresa - todos os endpoints, todos os dispositivos móveis, todas as aplicações e todos os dados. Implemente criptografia, autenticação multifator e uma política abrangente de segurança de dados, entre outras medidas.
Dica 3 – Evangelize sua Empresa e Terceiros sobre Prevenção
Ensinar sua organização, seus clientes e fornecedores sobre prevenção é essencial. Mostre para toda a empresa e reforce continuamente a realidade de que os riscos são reais.
Dica 4 – Avalie os terceiros
A realidade é que mesmo os parceiros de negócios mais confiáveis podem representar uma ameaça à segurança, se não aplicarem as práticas recomendadas. Revise regularmente o uso de credenciais com seus terceiros, entenda quem está usando e limite o acesso temporário, pois isso potencialmente abre as portas para o aumento da vulnerabilidade.
Além disso, avalie continuamente os padrões de segurança e as práticas recomendadas do fornecedor para garantir que eles atendam aos da sua organização, e exija que eles façam atualizações de patches e vulnerabilidades atualizadas. Confie, mas verifique se suas obrigações contratuais estão sendo seguidas à risca.
Dica 5 – Estabeleça um contrato de nível de serviço (SLA)
Crie um contrato de nível de serviço (SLA) com terceiros que obrigue os fornecedores a cumprir as políticas de segurança de sua empresa.
Dica 6 – Autentique o comportamento do usuário
As credenciais de fornecedor e parceiro geralmente são muito fracas e suscetíveis a divulgação inadvertida. Portanto, a melhor maneira de proteger as credenciais é gerenciá-las e controlá-las de maneira proativa. Você faz isso eliminando contas compartilhadas, impondo a integração e usando verificações de segundo plano para terceiros com acesso aos seus sistemas.
Dica 7 - Autenticação Separada do Controle de Acesso
A maioria de seus fornecedores só precisa de acesso a sistemas muito específicos. Portanto, para proteger melhor sua organização, limite o acesso usando segmentação de rede física ou lógica e acesse canais por meio de caminhos conhecidos, aproveitando uma solução de gerenciamento de acesso privilegiado para restringir protocolos não aprovados e direcionar sessões aprovadas para um rota predefinida.
Dica 8 – Evite Erros e Comandos não Autorizados
Usando uma solução de gerenciamento de acesso privilegiado, ative controles de permissão refinados e aplique o princípio de privilégio mínimo. Um procedimento importante para ser adotado é intermediar as permissões em vários sistemas de destino usando contas diferentes, cada uma com diferentes níveis de permissão. Você também deve limitar os comandos que um determinado usuário pode aplicar por meio de blacklists e whitelists para fornecer um alto grau de controle e flexibilidade.
Considerações finais
O risco de violações de dados causadas por terceiros é muito perigoso para ser ignorado. Essa lista de oito dicas é apenas um ponto de partida: cabe a você abordar de forma holística as vulnerabilidades de segurança que podem surgir a partir dos relacionamentos de seus fornecedores como parte essencial de suas políticas de gerenciamento de riscos de TI.
Para um mergulho mais profundo no aprimoramento da segurança do acesso remoto e no acesso privilegiado, confira meu mais recente webinar “Como controlar o acesso de seus fornecedores com segurança e proteger as contas privilegiadas” (How to Securely Control Access for Your Vendors & Protect Privileged Accounts).
Temas Relacionados
The Perils of VPNs, & How to minimize Remote Access Threats with PAM (Blog)
Modernizing Your Privileged Password Security (Blog)
Top 10 Expert Tips for Securing Vendor & Remote Employee Access (Webinar)

Derek A. Smith, Founder, National Cybersecurity Education Center
Derek A. Smith is an expert at cybersecurity, cyber forensics, healthcare IT, SCADA security, physical security, investigations, organizational leadership and training. He is currently the Director of Cybersecurity Initiatives for the National Cybersecurity Institute at Excelsior College, responsible to perform complex duties relating to the development and coordination of cyber initiatives at NCI. Formerly, he has worked for a number of IT companies including Computer Sciences Corporation and Booz Allen Hamilton. Derek spent 18 years as a special agent for various government agencies and the military. He has also taught business and IT courses at several universities for over 20 years. Derek has served in the US Navy, Air Force and Army for a total of 24 years. He completed an MBA, MS in IT Information Assurance, Masters in IT Project Management, and a BS in Education.