O trabalho em casa (WFH) e o acesso remoto aceleraram a transformação digital e a migração da TI para a nuvem. Os programas de segurança precisam abarcar a visibilidade, o monitoramento contínuo e um modelo unificado de identidade e privilégio para o ambiente multicloud. As soluções de gerenciamento de acessos privilegiados são facilitadores essenciais para a estratégia de segurança na nuvem, porque elas podem proteger os principais ativos da empresa contra a crescente vulnerabilidade dos home offices, além de reduzir significativamente a capacidade de invasores de explorar erros de gerenciamento de configuração, credenciais ou privilégios.
Cuidados com a Segurança de TI
Você se lembra de subir em cordas nas aulas de ginástica na escola? Ou de pular corda? Pois é: cordas podem machucar suas mãos.
Com as empresas aderindo cada vez mais à computação em nuvem, evitar brechas na segurança de TI é sempre uma preocupação. Resultados negativos nesse âmbito podem causar grandes problemas em meio a uma atmosfera de mudanças descontroladas acontecendo muito rapidamente.
Estratégia de Segurança em Nuvem
Transformação digital acelerada significa adoção acelerada da computação em nuvem. Sabe todos aqueles usuários que costumavam estar no escritório? Agora eles estão na nuvem. Serviços e aplicações? Também estão migrando para a nuvem. Uma análise feita pela Cloud Security Alliance sobre as principais ameaças mostra que temos que garantir o uso da nuvem.
O que é interessante sobre as ameaças "Egregious 11" da CSA é que muitas delas - como configuração incorreta, plano de controle fraco, baixa visibilidade e falta de arquitetura - são falhas do cliente. No início deste mês, escrevi sobre a necessidade de Limpeza de Risco e Dívida Técnica gerada pela adoção descuidada da computação em nuvem.
O amplo escopo dessas ameaças e sua causa raiz na dívida técnica deixa bem claro: praticamente todas as empresas precisam de uma nova ou atualizada estratégia de segurança em nuvem.
Falhas na Proteção dos Acessos Privilegiados
Como os perfis no Twitter de Jeff Bezos, Elon Musk, Bill Gates e tantos outros foram recentemente hackeados e usados para solicitar pagamentos de bitcoin? Um artigo da Verge sugere que os invasores "encontraram uma brecha de segurança grave no processo de login ou recuperação de contas do Twitter ou ... de alguma forma, obtiveram acesso aos privilégios de administrador de um funcionário do Twitter".
As violações nas redes sociais devem ser lições aprendidas sobre a importância de reduzir vetores de ataque privilegiados. Considere que vários estudos mostram que o uso indevido de credenciais é a principal causa de violações. Por trás de qualquer violação está uma falha no gerenciamento dos acessos (ou acessos privilegiados). Isso é verdade porque o usuário típico não deve ter acesso às "jóias da coroa" e deve ser muito difícil para os hackers obter contas privilegiadas com acesso além do habitual.
Falhas no PAM em Nuvem
À medida que o centro de gravidade da TI mudou, os sistemas PAM precisaram evoluir. Em meio ao trabalho remoto forçada causado pela pandemia, essas deficiências de arquitetura não são mais apenas limitativas, mas absolutamente perigosas. Geralmente vemos as seguintes lacunas nos sistemas PAM mais antigos:
• Integração limitada com estruturas de identidade nativas ou APIs do provedor de serviços em nuvem (CSP)
• Má visibilidade nos ambientes em nuvem
• Software agente no servidor em ambientes de infraestrutura como serviço (IaaS)
• Contas estáticas ou sempre ativadas (também chamadas de contas com privilégios permanentes)
Vamos nos concentrar na última dessas lacunas, para que todos entendam a necessidade de ...
Just-in-Time (JIT) PAM
Tradicionalmente, o acesso privilegiado é concedido por meio de uma combinação de contas e funções. Por exemplo, a poderosa função de administrador de domínio do Active Directory é conferida em contas estáticas com uma associação ao grupo de Domain Administrator. Conforme mostrado na figura abaixo, as contas estáticas podem ser provisionadas por meio do sistema de gerenciamento de identidades e acessos (IAM) ou criadas manualmente. O sistema PAM tradicional cria as contas privilegiadas, gerencia o acesso a elas e executa a rotação de credenciais.
O problema é que contas estáticas sempre ativas podem se tornar alvos em potencial. Elas estão entre as primeiras coisas que os atacantes avançados procuram quando se deslocam lateralmente pela infraestrutura da vítima.
Felizmente, os CSPs forneceram uma maneira melhor de gerenciar os acessos privilegiados: vincular as funções privilegiadas às contas apenas temporariamente, após a aprovação de uma solicitação. Conforme mostrado na figura, o sistema IAM (ou PAM) pode processar solicitações de acesso válidas e vincular dinamicamente funções privilegiadas à conta do usuário solicitante, chamando uma API como o Amazon Web Service (AWS) AssumeRole. O acesso privilegiado dura um determinado tempo ou é excluído, reduzindo a superfície de ataque disponível para quaisquer agentes indesejáveis no ambiente de TI. Precisamos de uma mudança de paradigma de concessões, do acesso estático para o dinâmico – e daí para o gerenciamento de acesso privilegiado just-in-time (JIT PAM).
Recursos Críticos para Gerenciamento de Acessos Privilegiados em Nuvem (PAM)
Para proteger efetivamente seu acesso privilegiado, suas credenciais e sessões em ambientes de nuvem, os sistemas PAM precisam ter muitos dos recursos tradicionais do PAM (como cofre de credenciais, rotação de credenciais, intermediário de sessão, gravação de sessão, auditoria privilegiada de usuário, suporte a conta de serviço e alta disponibilidade), mais o seguinte:
• Administração unificada baseada em navegador e suporte a protocolo de sessão remota
• Agilidade de autenticação e autorização para vários casos de uso, terceiros, ambientes em nuvem
• Integração com sistemas de acesso nativos da nuvem
• Suporte de concessão de acesso just-in-time
Acesso e Trabalho Remoto Seguro e Produtivo
O trabalho e o acesso remoto aceleraram a transformação digital e a migração da TI para a nuvem. Os programas de segurança precisam abordar a visibilidade, o monitoramento contínuo e um modelo unificado de identidade e privilégio para o ambiente multicloud. Os sistemas PAM são essenciais para a estratégia de segurança na nuvem, porque eles podem proteger os principais ativos da empresa contra o aumento da vulnerabilidade, além de reduzir significativamente a capacidade do invasor de explorar erros de gerenciamento de configuração, credenciais ou privilégios.
Para saber mais sobre como implementar ou aprimorar sua estratégia de segurança na nuvem para lidar com o "novo normal", assista ao meu webinar.
Dan Blum, Managing Partner and Principal Consultant at Security Architects Partners
An internationally-recognized expert in security, privacy, cloud computing, and identity management, Dan Blum leads and delivers consulting projects such as: cloud security and privacy assessments, security program assessments, risk management framework reviews, and identity management architectures.
Formerly a Golden Quill award-winning VP and Distinguished Analyst at Gartner, Mr. Blum holds CISSP and Open FAIR certifications. He has participated in industry groups such as ISACA, FAIR Institute, the CSA, IDPRO, Kantara Initiative, and others.