Você já deve estar cansado de ouvir notícias de empresas que sofreram com vazamentos de dados, causando perdas irreparáveis e uma dor de cabeça enorme para a liderança da organização. E ai, você se depara questionando-se “isso poderia acontecer comigo também?”
Bem, isso pode e eventualmente acontecerá se você não tomar as devidas precauções o quanto antes. Garantir controles rígidos de acesso às informações da sua organização pode impedir a ocorrência de violações. E quer saber mais? Você deve controlar o acesso às suas contas privilegiadas. Essas contas controlam as informações mais importantes da sua organização. Nas mãos erradas, suas contas privilegiadas representam uma enorme ameaça.
Os ataques cibernéticos mais prejudiciais ocorrem quando credenciais privilegiadas são roubadas, oferecendo aos invasores o mesmo nível de acesso que os funcionários internos, responsáveis por gerenciar seus sistemas de informações. Isso coloca sua organização à mercê das intenções nefastas dos invasores.
Credenciais Privilegiadas de Segurança e Compliance
O gerenciamento seguro das senhas privilegiadas é essencial para controlar o acesso às suas contas mais importantes. A segurança de senhas privilegiadas é um gerenciamento usado para proteger o login de credenciais que possuem privilégios de segurança elevados.
Hoje, é essencial implementar e aplicar políticas de proteção de senha, não apenas para impedir o acesso não autorizado, mas também para atender às regras de conformidade. Os drivers internos e reguladores de uma organização variam de acordo com o setor e mercado específicos. Mas descrevo aqui algumas das regras de conformidade que afetam muitas organizações:
- Sarbanes Oxley (SOX): Impacta todas as empresas públicas nos EUA e internacionalmente. As auditorias da SOX se concentram em como a empresa é capaz de proteger e assegurar a precisão completa das informações financeiras e a divulgação das mesmas.
- Padrão de segurança de dados do setor de cartões de pagamento (PCI-DSS): Embora não seja um regulamento orientado pelo governo, o PCI-DSS aplica padrões em organizações que armazenam, processam e / ou transmitem dados de titulares de cartões de pagamento.
- Lei Gramm-Leach Bliley (GLBA): exige que as “instituições financeiras” forneçam proteção adequada em relação aos dados do cliente.
Atualizando práticas de gerenciamento de senhas privilegiadas para enfrentar ameaças modernas
Embora a proteção de credenciais privilegiadas seja uma preocupação há muitos anos, as práticas tradicionais de segurança de senhas sempre foram “pouco maduras”. Algumas táticas de gerenciamento de senhas incluem:
- Armazenamento e controle físico de senhas: Lembro-me de quando as senhas privilegiadas eram escritas em papel, lacradas em um envelope e armazenadas em um cofre, com um responsável controlando o acesso. Essa solução baseada em processo foi chamada de "firecall ID ".
- Armazenamento e controle de senhas via aplicativo: Antigamente, as senhas antes armazenadas em um documento do Excel, do Word ou banco de dados até que fosse necessário.
Esses métodos apresentavam alguns problemas óbvios. O método de guardar a senha em cofres físicos é impossível de escalar, além de ser totalmente manual, exigindo um processo para garantir que um inventário seja mantido. As soluções baseadas em aplicativos pecavam em relação à confiança, sofrendo com problemas de segurança associados ao armazenamento e acesso.
Foi ai que apareceram as soluções baseadas em tecnologias:
- Soluções de gerenciamento de identidade, que tentam reduzir o número de senhas que você precisa gerir, permitindo que a tecnologia crie um mapeamento de uma única credencial para várias credenciais. No entanto, essas soluções não abordam o problema das contas administrativas compartilhadas. Como as contas compartilhadas não são "de propriedade" de nenhum indivíduo, não há como reduzir o número de IDs.
- Ferramentas de redefinição de senha, que permitem que os usuários redefinam uma senha desconhecida a partir de uma conhecida. Isso hipoteticamente poderia ajudar com o problema de contas administrativas compartilhadas, já que a conta de administrador poderia ter uma nova senha gerada quando necessário. No entanto, essa abordagem exige que o sistema de destino esteja funcionando no modo multiusuário com acessibilidade de rede. Em muitos casos, a conta administrativa compartilhada é necessária para restaurar um sistema que deixou de funcionar.
- Ferramentas de armazenamento de senha, que fornecem uma alternativa aos envelopes, mas não abordam o problema da gestão da contas no sistema destino. Ao resolver parte do problema, eles eliminam a maioria dos processos manuais necessários para atualizar e gerenciar a conta destino.
Seis Dicas para Proteger suas Senhas Privilegiadas
Dica 1: Utilize autenticação de 2 (2FA) ou múltiplos fatores (MFA)
Uma senha é um único fator de autenticação. O tipo de conta ou informação que a senha está protegendo deve determinar quais controles adicionais de segurança você pode precisar. Para contas privilegiadas, utilize sempre autenticação 2FA ou MFA com uma senha.
Dica 2: Crie senhas longas, fortes e complexas
A força de uma senha se resume a quão facilmente alguém pode adivinhá-la. Por isso, ao criar uma senha, torne-a única e que não seja facilmente descoberta. Crie suas senhas com pelo menos 8 caracteres, e quanto maior, melhor. Além disso, eu recomendo que você considere o uso de palavras que combinem caracteres especiais, como % & @!). Uma senha longa e forte combinada com fatores de autenticação 2FA será a melhor proteção para suas contas. Para mais regras sobre como criar credenciais privilegiadas robustas, confira este infográfico.
Dica 3: Utilize um gerenciador de senhas
Se você tiver muitas contas e senhas para proteger, use um gerenciador de senhas, que te ajuda a rastrear a “idade” de cada senha, permite que você conheça os controles de segurança aplicados e auxilia a gerar senhas complexas para todas as suas contas. Com o gerenciador de senhas, você só precisa lembrar de uma senha forte.
Dica 4: Use criptografia e não confie em ninguém
Ainda que você utilize senhas fortes, uma prática de segurança responsável é criptografar suas informações críticas. Além disso, não confie em NINGUÉM para compartilhar suas senhas.
Dica 5: Idade da senha
Estabeleça um ciclo regular de alteração de suas senhas. A melhor prática para senhas de sistemas é alterar as senhas com frequência. Um gerenciador de senhas pode permitir que você automatize facilmente esse processo. Minha recomendação é alterar as senhas pelo menos entre 6 e 9 meses. No entanto, quanto mais sensível a senha, mais frequentemente você deve alterá-la.
Dica 6: Use uma solução de gerenciamento de senhas privilegiadas
Finalmente, esta é a minha dica MAIS IMPORTANTE. Com uma solução de gerenciamento de senhas privilegiadas, você pode criar, compartilhar e alterar automaticamente as senhas da empresa. Além disso, é possível atribuir permissões de usuário em qualquer nível e controlar o uso de senhas com relatórios de auditoria completos. O gerenciamento de contas privilegiadas, também conhecido como PAM, pode ser usado para melhorar a percepção das avaliações de vulnerabilidades, varredura de inventário de rede de TI, segurança de ambiente virtual, administração de identidade e análise de comportamento. Se você gerenciar de forma adequada suas contas privilegiadas, poderá proteger sua organização da maneira mais eficiente e eficaz.
Conclusões
À medida que as regras de conformidade aumentam, a tolerância para soluções manuais ou orientadas a processos para o gerenciamento e controle de contas e senhas privilegiadas torna-se cada vez mais insustentável. Os sistemas PAM inquestionavelmente tornarão sua organização mais segura. Faça isso agora, porque é realmente uma questão de quando - e não se - suas contas privilegiadas serão comprometidas.
Para entender mais profundamente os fundamentos do gerenciamento de senhas privilegiadas, assista ao meu webinar: Privileged Password Management 101: Laying the Foundation for Success.
Derek A. Smith, Founder, National Cybersecurity Education Center
Derek A. Smith is an expert at cybersecurity, cyber forensics, healthcare IT, SCADA security, physical security, investigations, organizational leadership and training. He is currently the Director of Cybersecurity Initiatives for the National Cybersecurity Institute at Excelsior College, responsible to perform complex duties relating to the development and coordination of cyber initiatives at NCI. Formerly, he has worked for a number of IT companies including Computer Sciences Corporation and Booz Allen Hamilton. Derek spent 18 years as a special agent for various government agencies and the military. He has also taught business and IT courses at several universities for over 20 years. Derek has served in the US Navy, Air Force and Army for a total of 24 years. He completed an MBA, MS in IT Information Assurance, Masters in IT Project Management, and a BS in Education.