Skip to content
PAM
Cyber Security Identidade e Acesso

O que é Gerenciamento de Acesso Privilegiado (PAM)?

Publicado

Usuários com acesso privilegiado aos sistemas e redes de uma organização representam uma ameaça especial. Ameaçadores externos frequentemente visam contas privilegiadas usando esquemas de phishing e técnicas de engenharia social, já que obter controle sobre essas credenciais os ajuda a se mover mais livremente dentro da rede. Além disso, às vezes as pessoas usam indevidamente suas próprias contas privilegiadas; esse tipo de ciberataque demora mais para ser descoberto, de acordo com o Relatório de Investigação de Violação de Dados da Verizon.

Ferramentas de gerenciamento de acesso privilegiado (PAM) ajudam administradores de rede a controlar o acesso privilegiado para reduzir o risco de uso acidental ou deliberado dessas contas poderosas.

O que é acesso privilegiado?

Acesso privilegiado é um nível mais alto de acesso de TI concedido a usuários específicos, como profissionais de TI que precisam realizar tarefas administrativas ou usuários que precisam ler ou editar dados sensíveis. Contas privilegiadas também podem ser usadas por serviços que precisam de acesso a sistemas ou dados sensíveis, como dados de clientes armazenados em bancos de dados.

Em resumo, contas de usuário privilegiadas têm mais permissões para acessar sistemas, serviços, endpoints e dados do que contas de usuário regulares. Exemplos de contas privilegiadas incluem:

  • Conta de administrador de TI – Permite que profissionais de TI realizem funções como:
    • Instalação de hardware ou software
    • Redefinição de senhas para contas de usuário padrão
    • Fazer login em todas as máquinas em um ambiente específico
    • Fazer alterações na infraestrutura de TI
  • Conta administrativa de domínio – Concede acesso administrativo a todas as estações de trabalho e servidores dentro do domínio
  • Contas de serviço – Usadas por um aplicativo ou serviço para acessar dados e outros recursos
  • Contas de aplicativos – Usadas por aplicativos para acessar bancos de dados, executar trabalhos em lote ou scripts ou fornecer acesso a outros aplicativos
  • Contas de usuário privilegiado de negócios – Dadas a indivíduos como operadores de banco de dados ou gerentes encarregados de trabalhar com informações sensíveis, como registros de RH ou financeiros
  • Contas de emergência – Fornecidas a usuários convocados para lidar com desastres ou outras interrupções que interfiram na disponibilidade das redes e sistemas da empresa?

Por que contas privilegiadas requerem proteção especial

O acesso privilegiado representa um risco significativo de segurança para todas as organizações. Em geral, existem três motivos principais para gerenciar o acesso privilegiado:

  • Contas privilegiadas são os principais alvos para atacantes. Se um atacante encontrar uma maneira de comprometer uma conta privilegiada, ele pode obter acesso a sistemas e dados sensíveis – e ser capaz de encobrir seus rastros por um longo tempo enquanto ainda mantém o acesso.
  • Contas privilegiadas podem ser mal utilizadas por seus proprietários. Administradores podem desativar acidentalmente ou deliberadamente controles de segurança, modificar a Política de Grupo, roubar dados sensíveis ou causar danos à infraestrutura.
  • O controle sobre contas privilegiadas é um requisito de todos os principais regulamentos de conformidade. Auditores prestam atenção especial a esse requisito, e lacunas nos controles de acesso privilegiado podem resultar em multas severas.

Caminhos para explorar uma conta privilegiada

Aqui estão alguns exemplos de como uma conta privilegiada pode ser mal utilizada:

  • Usuários cruzam limites de segurança. As melhores práticas recomendam que cada administrador receba não apenas uma conta de usuário privilegiada, mas também uma conta de usuário regular que eles devem usar para atividades diárias que não exigem direitos de acesso especiais. Não aderir a essa melhor prática pode levar a incidentes de segurança. Por exemplo, se um administrador usar sua conta privilegiada para fazer login em uma estação de trabalho, suas credenciais podem ser armazenadas localmente, e um atacante que obtiver uma posição nessa máquina pode roubá-las.
  • Contas privilegiadas são compartilhadas. Se vários administradores compartilham acesso a uma conta privilegiada, é difícil responsabilizar os indivíduos por suas ações, o que aumenta a possibilidade de que um deles possa usá-la de maneira não autorizada.
  • Aumento da superfície de ataque devido a privilégios permanentes. Normalmente, contas privilegiadas são contas permanentes – a conta está disponível para uso a qualquer momento. Portanto, um atacante que comprometer uma conta de administrador está livre para usá-la para se mover lateralmente em seu ambiente e procurar oportunidades para aumentar seus privilégios. Isso aumenta dramaticamente o risco de que eles consigam alcançar seu objetivo final de roubar dados ou causar outros danos à organização.
Leia também:  O Acesso a Cybersecurity Baseada em IA Exige um Novo Olhar Sobre os Orçamentos das Organizações

O que é gerenciamento de acesso privilegiado?

O gerenciamento de acesso privilegiado (PAM) é uma estratégia de segurança abrangente para gerenciar contas com permissões elevadas para recursos corporativos críticos e controlar o uso dessas contas. O PAM faz parte do guarda-chuva de gerenciamento de identidade e acesso (IAM).

Motivos para investir em PAM incluem:

  • Proteção contra roubo de credenciais privilegiadas
  • Redução do risco de abuso de credenciais
  • Garantia de responsabilidade individual
  • Redução do risco de tempo de inatividade para bancos de dados, servidores e outras infraestruturas críticas devido ao uso deliberado ou acidental de contas privilegiadas
  • Garantir a adesão ao princípio do menor privilégio
  • Atendimento aos requisitos de estruturas de segurança e regulamentos de conformidade

Recursos e capacidades de PAM

Abaixo está uma lista de áreas principais relacionadas ao suporte à segurança de contas privilegiadas:

  • Gerenciamento de credenciais privilegiadas – Lida com o processo de armazenamento e recuperação de senhas para contas de usuário privilegiadas para reduzir o risco de roubo de credenciais. Administradores podem criar e revogar credenciais conforme necessário a partir de um local central.
  • Métodos de PAM sob demanda (Just-in-time, JIT) – Ajuda a garantir que as contas recebam acesso privilegiado apenas quando necessário e apenas pelo tempo necessário para completar uma tarefa de negócios. Isso impede que as contas de usuário mantenham privilégios de acesso elevados por mais tempo do que o necessário para evitar a exploração por usuários internos ou ameaças externas.
  • Descoberta e integração de contas privilegiadas – Ajuda a descobrir onde as contas privilegiadas existem dentro de uma organização para que as organizações possam garantir que sejam trazidas sob o guarda-chuva do PAM.
  • Rastreamento de atividades de usuários privilegiados – Ajuda a rastrear como os usuários utilizam suas credenciais de acesso privilegiado, para que as empresas possam identificar mais rapidamente o uso não autorizado de uma conta privilegiada.
  • Registro e relatórios – Permite que a organização registre e crie relatórios sobre o uso de contas privilegiadas.
  • Autenticação multifator – Força os usuários a confirmar sua identidade de mais de uma maneira antes de permitir o acesso a aplicativos e sistemas da empresa.
  • Gerenciamento de sessões privilegiadas – Dá aos administradores de segurança controle sobre as sessões de trabalho dos usuários com acesso privilegiado. Por exemplo, eles podem bloquear o acesso a recursos críticos quando detectam atividades suspeitas por uma conta de usuário privilegiada.
  • Elevação e delegação de privilégios – Permite que os administradores executem um controle mais granular sobre os direitos concedidos a contas de usuário privilegiadas versus uma abordagem de tudo ou nada.
  • Automação de tarefas privilegiadas – Permite que os administradores configurem fluxos automatizados que lidam com tarefas repetitivas de PAM.

Como funcionam as soluções de PAM?

  1. Um usuário que precisa realizar uma tarefa que requer permissões elevadas pode solicitar acesso a uma conta de usuário privilegiada. O usuário deve fornecer uma justificativa comercial para pôr que precisa de acesso privilegiado.
  2. A solução de PAM aprova ou nega a solicitação e registra a decisão. A maioria das soluções de PAM pode ser configurada para solicitar a aprovação do gerente para determinadas solicitações.
  3. Se a aprovação for concedida, o usuário recebe temporariamente o acesso privilegiado necessário para completar a tarefa especificada. Normalmente, eles recebem acesso via PAM em vez de aprender a senha da conta privilegiada.
Leia também:  Gerenciamento de Acesso Privilegiado PAM: Estratégias para Nuvem e On-Premises

Quais são os principais desafios do PAM?

Abordagens tradicionais para PAM envolvem sérios desafios, incluindo os seguintes:

Processos manuais

As organizações podem optar por armazenar credenciais privilegiadas em planilhas e girá-las manualmente. Isso é trabalhoso e propenso a erros. Mais problemático, não é seguro e abre portas tanto para atacantes quanto para uso interno indevido.

Ferramentas gratuitas

Estas são mais seguras do que não fazer nada, mas ainda deixam várias lacunas, como fluxo de trabalho, rotação pós-sessão ou incapacidade de auditar quem está acessando-as.

Soluções de PAM tradicionais

As soluções de PAM mais antigas têm dois desafios principais. Em primeiro lugar, sua complexidade as torna caras de implementar. Além da infraestrutura e licenciamento de PAM, as organizações têm que investir muitas horas em configuração, implantação e manutenção contínua. Além disso, muitas soluções de PAM exigem licenciamento adicional para operar, como CALs de terceiros, infraestrutura de banco de dados e componentes adicionais.

Em segundo lugar, a maioria das soluções de PAM adota uma abordagem centrada em cofre: elas simplesmente gerenciam as contas privilegiadas e focam apenas no controle de acesso. Essa abordagem não faz nada para remover ou limitar a superfície de ataque de movimento lateral apresentada por essas contas, isso é chamado de Privilégio Permanente. Atores de ameaça, como ransomware, podem se propagar por organizações, alavancando contas privilegiadas, mesmo que estejam em um cofre.

Superando os desafios do PAM

A melhor maneira de reduzir o risco de segurança sem afetar a eficiência dos negócios é habilitar privilégios sob demanda. Zero Standing Privilege é uma abordagem em que os administradores recebem apenas privilégios suficientes para concluir uma tarefa específica e apenas pelo tempo necessário para concluí-la. Quando o administrador termina, os privilégios são removidos da conta ou a conta é removida completamente. Essa abordagem just-in-time reduz drasticamente o risco de contas poderosas serem exploradas por ameaças internas ou externas.

Melhores práticas para gerenciamento de acesso privilegiado

  • Inventarie todas as suas contas privilegiadas.
  • Realize uma avaliação de risco para entender as ameaças mais sérias às suas contas privilegiadas.
  • Implemente um modelo de Zero Standing Privilege para remover contas privilegiadas quando não estiverem em uso.
  • Estabeleça políticas formais para controlar o acesso ao privilégio.
  • Rastreie o uso de contas privilegiadas para que você possa rapidamente sinalizar comportamentos suspeitos.
  • Aproveite ferramentas que permitam o privilégio sob demanda para atividades do dia a dia.
  • Limpe contas inativas ou não utilizadas no Active Directory antes que possam ser mal utilizadas.
  • Empregue os princípios de Confiança Zero e menor privilégio.

PAM Just-in-time enquanto reduz a superfície de ataque.

O Netwrix Privilege Secure for Access Management facilita o acesso administrativo seguro usando tecnologia de terceira geração que é eficaz, intuitiva e fácil de implantar. O Netwrix Privilege Secure for Access Management gera automaticamente contas efêmeras para cada sessão privilegiada e depois provisiona e desprovisiona dinamicamente permissões sob demanda que são apropriadas para a atividade solicitada. Essa ação remove a superfície de ataque do “privilégio permanente” quando as contas estão em repouso, fornecendo acesso privilegiado controlado sem o ônus e a responsabilidade das soluções centradas em cofre tradicionais.

 

 

FAQ

O que está incluído no gerenciamento de acesso privilegiado?

O gerenciamento de acesso privilegiado inclui a segurança do gerenciamento de usuários e processos que recebem privilégios elevados dentro das plataformas de TI de uma empresa. Ele estabelece controles sobre o acesso aos recursos empresariais.?

Por que eu preciso de gerenciamento de acesso privilegiado?

O gerenciamento de acesso privilegiado ajuda as empresas a garantir que os usuários não obtenham acesso não autorizado aos sistemas da empresa. Também impede que ciberatacantes obtenham acesso às credenciais de conta de usuário privilegiado.

O que é gerenciamento de acesso privilegiado em redes?

O gerenciamento de acesso privilegiado em redes significa centralizar o controle de senha e restringir o acesso por meio de uma solução de PAM, o que ajuda as empresas a prevenir ataques às suas redes.

Posts Relacionados

Gerenciamento de Acesso Privilegiado (PAM) – Melhores Práticas Default ThumbnailMudança na política de segurança: a hora de rever privilégios de acesso é agora

Comente o que achou do artigo