Este mês, a BeyondTrust publicou o Guia do Comprador para Gerenciamento Completo de Acessos Privilegiados (PAM) para ajudar as organizações a avaliar suas necessidades de segurança de acessos privilegiados e direcioná-las a encontrar as melhores soluções que atendam às suas necessidades.
Nossa experiência em milhares de implantações mostrou que existe um caminho típico que a maioria dos clientes segue, mas, em última instância, suas próximas etapas no PAM dependerão do momento atual de sua empresa e das decisões baseadas em riscos que direcionam seus objetivos.

Ao avaliar as soluções de gerenciamento de privilégios - ou qualquer solução corporativa sobre esse tema -, recomendamos que você considere os seguintes aspectos:
- Custo total de propriedade: Será que resultará em economia de tempo (como a substituição de processos manuais com automação) e permitirá que você tenha recursos para outras iniciativas? Quais são os custos diretos e indiretos para dar suporte à solução durante sua vida útil em seu ambiente?
- Time to value: Como você conseguirá medir os resultados de seus controles de segurança e reduzir os riscos? Em quanto tempo você obterá um impacto positivo nos negócios (liberando tempo para os usuários finais, simplificando os processos, permitindo que a organização adote com confiança novas tecnologias e iniciativas de negócios). Quanto tempo levará para alcançar suas metas com a solução? Quais são as chances/riscos de engavetar o projeto?
- Escalabilidade: Quais são suas necessidades em relação à escala? Uma solução pode atender a algumas de suas necessidades em escala, mas nem todas. Por exemplo, na avaliação de soluções de gerenciamento de contas e sessões privilegiadas (PASM), suas necessidades de escala em torno do gerenciamento de senhas de usuário privilegiados podem ser diferentes das necessidades de gerenciamento de chaves SSH, credenciais de aplicações, contas de serviço ou senhas de máquinas. Algumas soluções poderão gerenciar apenas um desses tipos de senhas. Outras podem oferecer uma cobertura mais ampla de diversos tipos de senhas e atender às suas necessidades de escala em torno de alguns desses recursos (por exemplo, gerenciamento de senhas de usuários privilegiados), mas falham em atender às suas necessidades de escalabilidade em relação a outros recursos (por exemplo, gerenciamento de chaves SSH, gerenciamento de senhas de aplicações, etc). Além disso, se a auditoria de todas as atividades privilegiadas é importante para você (deveria ser), poucas soluções PASM podem ser dimensionadas para gerenciar e monitorar milhares de sessões simultâneas. Portanto, é importante entender as várias facetas das suas necessidades de escalabilidade antecipadamente.
- Integração/interoperabilidade: Como a solução se integra com as demais ferramentas do seu ecossistema de segurança (IAM, SIEM, service desk, analytics)? Isso ajuda você a tomar melhores decisões sobre riscos? Se funcionar apenas como uma solução autônoma /pontual, provavelmente é apenas um paliativo versus uma solução de longo prazo. Por outro lado, se a ferramenta tiver sinergias com as soluções de segurança existentes, também ajudará a maximizar os investimentos existentes.
- Longevidade: O fornecedor da solução crescerá com você? O fornecedor tem recursos para desenvolver capacidades e atender às demandas dos casos de uso de PAM no futuro?
O Guia do comprador ajudará você a ter uma perspectiva e um contexto sobre como quantificar cada um desses valores.
O que mais este guia cobre?
- Uma abordagem comprovada de oito etapas para o gerenciamento holístico de acessos privilegiados
- Os principais recursos do PAM que você deve priorizar para reduzir riscos de segurança, melhorar o desempenho operacional e simplificar seu caminho para alcançar iniciativas de conformidade
- Considerações do PAM para casos de uso emergentes (DevOps, automação de processos robóticos e endpoints não tradicionais como IoT, SCADA etc.)
- 5 diferenciadores que destacam a BeyondTrust de outros fornecedores do setor - incluindo uma seção sobre como revolucionamos genuinamente o ambiente PAM
- Seu próprio template para ajudá-lo a identificar suas necessidades, e avaliar e comparar fornecedores
Cada uma das 8 etapas do guia representa uma área core que, quando implementada, aprimora o controle e a responsabilidade de uma empresa sobre as contas, ativos, usuários, sistemas e atividades que compõem seu ambiente de privilégios, enquanto elimina e mitiga muitos vetores de ameaças. Algumas organizações podem tentar implementar muitas ou todas essas áreas de uma só vez ou em um curto período de tempo, mas a abordagem mais comum é a fase de controles de uma ou algumas áreas do PAM por vez.
Uma lista restrita de áreas e recursos do PAM cobertos no Guia do comprador inclui:
- Gerenciamento de contas e sessões privilegiadas (PASM), incluindo gerenciamento de credenciais privilegiadas para contas humanas e não pessoais, e auditoria de todas as atividades privilegiadas
- Gerenciamento de elevação e delegação de privilégios (PEDM), incluindo a aplicação de restrição de privilégios e controle de aplicativos em desktops, servidores e endpoints não tradicionais
- Protegendo o acesso remoto privilegiado para fornecedores e funcionários
- Auditoria de alterações de arquivos e sistemas
- Tomando decisões de elevação/delegação de privilégios com base no risco em tempo real
Quanto mais áreas você implementar, mais sinergias com o PAM você terá, e maior será o impacto (positivo) nos negócios e a redução de riscos.
Pronto para os próximos passos em sua jornada no PAM? Faça o download de sua cópia do Guia do Comprador para Gerenciamento Completo de Acesso Privilegiado (PAM).
Matt Miller, Content Marketing Manager, BeyondTrust
Matt Miller is a Content Marketing Manager at BeyondTrust. Prior to BeyondTrust, he developed and executed marketing strategies on cyber security and cloud technologies in roles at Accelerite (a business unit of Persistent Systems), WatchGuard Technologies, and Microsoft. Earlier in his career Matt held various roles in IR, marketing, and corporate communications in the biotech / biopharmaceutical industry. His experience and interests traverse cyber security, cloud / virtualization, IoT, economics, information governance, and risk management. He is also an avid homebrewer (working toward his Black Belt in beer) and writer.