Alert icon Keyboard navigation enabled.
Alert icon TAB or Shift+TAB to navigate across. Down ↓ to open menu. ESC to close menu.
Alert icon Down ↓ to select section. Right → to activate. Up ↑ / Down ↓ / Tab to traverse all. ESC to exit.
BeyondTrust
Skip to content Use space or enter to skip.

O que podemos ajudá-lo a encontrar hoje?

Resultados instantâneos
  • Resultados do site
  • Documentação Técnica

Opções de filtro

Refine sua pesquisa

Filtrando por

Suas pesquisas recentes:

  • English
  • Deutsch
  • français
  • español
  • 한국어
  • português
  • Home
  • Conteúdos
  • Blog
  • Gestão de Acesso sem a Necessidade de Senha current page
Link copied

Gestão de Acesso sem a Necessidade de Senha

6 de jul. de 2020
Author:
Morey Haber Headshot 2024
Morey J. Haber
Chief Technology Officer, BeyondTrust
Blog banner default
Gestão de Acesso sem a Necessidade de Senha
Morey Haber Headshot 2024
Morey J. Haber
Chief Technology Officer, BeyondTrust

A gestão de acesso sem que o usuário precise prover uma senha é um conceito simples com enormes possibilidades para proteger uma organização. Tarefas administrativas podem ser “confiáveis” para usuários e ativos sem provisionar credenciais adicionais, e há diversas tecnologias que utilizam direitos e privilégios em aplicações e sistemas operacionais para fazê-los executar os privilégios necessários, incluindo autenticação de rede, para transparência completa do usuário.

Neste blog, abordarei os fundamentos da “gestão sem senha” com um pouco mais de detalhes, incluindo por que e quando é necessária, como funciona e como implementá-la.

Quando Usar a Gestão sem Senha

A quantidade crescente de contas administrativas com privilégios excessivos as torna um alvo fácil para os agentes de ameaças. Cada uma dessas contas de administrador é um vetor de ataque que oferece recursos administrativos de um invasor bem-sucedido sobre os direitos aos quais a conta de administrador é atribuída.

Geralmente, as contas administrativas são atribuídas com diversos privilégios, já que as funções administrativas são necessárias todo o sistema, rede e administradores de banco de dados - as contas que geralmente têm acesso às informações mais valiosas da organização (segredos comerciais etc.).

Infelizmente, em muitas organizações, as contas administrativas também são atribuídas a usuários finais comuns para que possam adicionar uma impressora, executar um programa específico ou até mesmo alterar as configurações de rede. Todos esses são casos de uso válidos, funções administrativas e exigem credenciais de administrador para executar as tarefas. O dilema é como remover as credenciais administrativas para reduzir os riscos de ataques a essas contas. A resposta é relativamente simples: gestão sem senha. Com credenciais privilegiadas em cerca de 80% das violações (de acordo com a Forrester Research), a eliminação de senhas privilegiadas, sempre que possível, reduz enormemente a superfície de ameaças.

Gestão sem Senha Definida

A gestão sem senha é um caso de uso oferecido por meio da tecnologia de gerenciamento de contas privilegiadas (PAM). Embora o PAM seja tradicionalmente considerado como senha privilegiada e gerenciamento de sessão, privilégio mínimo no endpoint e acesso remoto seguro, a gestão sem senha preenche a lacuna entre os três para permitir que qualquer usuário execute uma tarefa administrativa específica sem inserir explicitamente credenciais administrativas adicionais. Isso é diferente da autenticação sem senha, que fornece confiança a partir de atributos ou biometria baseados no usuário para aprovar uma solicitação de autenticação.

O conceito de gestão sem senha geralmente está vinculado ao gerenciamento de acessos privilegiados just-in-time (JIT), uma vez que os métodos de gerenciamento sem senha podem abranger várias tecnologias para elevar temporariamente um usuário ou aplicação (método preferencial) para a tarefa solicitada específica. Em outras palavras, em vez de inserir credenciais administrativas secundárias para uma tarefa que requer elevação, o usuário é confiável com base no contexto (ou atributos) para executar a aplicação em um estado elevado - sem um mecanismo adicional.

Por exemplo, considere um usuário que foi autenticado em um recurso. A autenticação pode ser baseada em credenciais de usuário padrão, autenticação multifatorial, logon único etc. A confiança e o contexto de autenticação são importantes para a granularidade das tarefas permitidas, mas, neste caso, basta aceitar que o usuário final tenha sido autenticado no recurso, sem usar credenciais administrativas.

Quando o usuário final (ou administrador) tenta executar um programa ou um comando, ou fazer uma alteração no sistema operacional, as melhores práticas de segurança determinam que ele não deve ter permissão sem que haja algum tipo de comprovação para provar que têm direitos administrativos. Isso é normalmente executado pelo usuário final fornecendo credenciais adicionais, autorizando-as a executar a ação de solicitação. Esse é um ponto de ataque comum em que um agente de ameaça entrará para roubar credenciais.

E se a confiança da autenticação inicial for alta e a tarefa solicitada “simplesmente funcionar” sem precisar de nenhum tipo de comprovação? O usuário já provou ser quem ele diz ser, e os recursos que deseja executar ou modificar em ativos específicos foram pré-aprovados. Esse fluxo de trabalho é a gestão sem senha. Funções administrativas específicas são atribuídas a usuários e ativos com base em políticas e no uso de tecnologia - o usuário opera como administrador ou raiz sem inserir credenciais secundárias de administrador. Além disso, em vez de credenciais, uma justificativa simples em texto simples pode ser solicitada e documentada para que eventos privilegiados atendam aos requisitos de certificação regulatória para atividades privilegiadas.

Benefícios da Gestão sem Senha

Como, com a gestão sem senha, não é necessário inserir credenciais administrativas para executar as funções administrativas, elas podem ser excluídas ou removidas de seus serviços de diretório, eliminando assim um vetor de ataque significativo. Esse é um benefício importante da gestão sem senha. Isso também inclui a eliminação de credenciais compartilhadas quando o método para executar tarefas administrativas eleva aplicações (e não usuários), usando técnicas como tokenização, que são fundamentais para os conceitos de PAM just-in-time. Novamente, o resultado é que, no final, não há senhas administrativas para um ator de ameaças roubar.

Como Implementar a Gestão sem Senha

A gestão sem senha requer apenas duas etapas preliminares em qualquer organização:

- Identificação das tarefas que requerem privilégios administrativos para operar

- Identificação de quais usuários precisam executá-los

Assim, a gestão sem senha pode ser aplicada com base nos recursos disponíveis na maioria dos sistemas operacionais (embora sejam limitados) ou pela implantação de uma solução de gerenciamento de acessos privilegiados para o seu ambiente.

Para saber como a plataforma PAM da BeyondTrust pode ajudá-lo a implementar a gestão sem senha, entre em contato conosco hoje mesmo.

Últimas postagens
  • Principais Previsões de Tendências de Segurança Cibernética para 2024
    out. 30, 2023 Principais Previsões de Tendências de Segurança Cibernética para 2024
    Blog
    1m
  • Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    mai. 4, 2023 Como uma simples recomendação de segurança ajuda a resolver um grande problema antigo
    Blog
    1m
  • BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    out. 19, 2021 BeyondTrust Aponta Tendências em Cibersegurança para os Próximos 5 Anos
    Blog
    1m
  • O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    jul. 28, 2020 O Trabalho Remoto Chegou para Ficar: seu Service Desk está Preparado?
    Blog
    1m
  • Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    jul. 23, 2020 Acesso remoto, Computação em Nuvem e Transformação Digital Chegaram para Ficar: o PAM é a chave para protegê-los
    Blog
    1m
Relacionado
  • Em conformidade com Risk Management in Technology (RMIT)
    fev. 12, 2019 Em conformidade com Risk Management in Technology (RMIT)
    Blog
    1m
  • BEYONDTRUST É LÍDER NO RELATÓRIO DA KUPPINGERCOLE
    mar. 25, 2019 BEYONDTRUST É LÍDER NO RELATÓRIO DA KUPPINGERCOLE
    Blog
    1m
Compartilhar este artigo
  • Link
Mantenha-se atualizado
Receba as últimas notícias, ideias e táticas da BeyondTrust. Você pode cancelar a inscrição a qualquer momento.

Fique atualizado

Suporte ao cliente Entre em contato com vendas
  • LinkedIn
  • X
  • Facebook
  • Instagram
  • Add BeyondTrust as a preferred source on Google
  • Privacidade
  • Security
  • Gerenciar configurações de cookies
  • Do Not Sell My Data
  • WEEE Compliance

Copyright © 2003 — 2023 BeyondTrust Corporation. All rights reserved. Other trademarks identified on this page are owned by their respective owners. BeyondTrust Corporation is not a chartered bank or trust company, or depository institution. It is not authorized to accept deposits or trust accounts and is not licensed or regulated by any state or federal banking authority.

Prefers reduced motion setting detected. Animations will now be reduced as a result.