Skip to content

Gerenciamento de Acesso Privilegiado (PAM) – Melhores Práticas

Tradicionalmente, as organizações mantém dúzias, se não centenas de contas privilegiadas para permitir as tarefas administrativas essenciais no ecossistema de TI. Entretanto, essas credenciais privilegiadas representam um sério risco de segurança, já que elas podem ser tomadas por atacantes ou mau utilizadas pelos seus donos, de forma acidental ou deliberativa. Logo, o gerenciamento de acesso privilegiado foca primariamente em restringir essas contas, resultando em uma dificuldade complexa e incessante para reduzir o risco.

O Gerenciamento de Acesso Privilegiado moderno toma um caminho diferente, ele oferece a cada administrador apenas o acesso necessário para realizar uma tarefa e apenas enquanto ele realizar essa tarefa. Isso elimina a necessidade de ter todas essas contas privilegiadas, eliminando a necessidade de gerencia-las e o risco de segurança. Abaixo nós detalhamos as melhores práticas envolvidas em minimizar os riscos de segurança associados com contas privilegiadas existentes. Após isso exploraremos alternativas modernas e oferecemos uma solução testada para implementá-la.

Gerenciamento de Acesso Privilegiado

Melhores práticas para o gerenciamento de contas privilegiadas tradicionais

  • Mantenha um inventário atualizado de todas as contas privilegiadas. Tenha certeza de inventariar todas as contas dos grupos críticos do AD, como administradores de domínio, assim como contas root para servidores nix*. Lembre-se também de incluir administradores de sistemas para os seus sistemas de mainframe, bancos de dados, aplicações de negócio como SAP e outras aplicações de alto risco e dispositivos de rede como firewalls, roteadores e switches. O inventário deve identificar o dono de cada conta privilegiada e a sua informação de contato, assim como os componentes de sistema associados à conta e suas localidades primárias no escritório. Mantenha o inventário das suas contas privilegiadas atualizado e documente todas as alterações.
  • Não permita que os administradores compartilhem as contas. Torne os administradores responsáveis por suas ações ao personalizar suas contas privilegiadas. Use as contas de administrador, root e similares apenas quando absolutamente necessário; o melhor é renomeá-las ou desabilitá-las.
  • Minimize o número de contas privilegiadas. Idealmente, cada administrador deve ter apenas uma conta privilegiada para todos os sistemas.
  • Crie uma política de senha e aplique-a. Siga as melhores práticas de senha, incluindo:
    • Troque a senha de cada dispositivo para que você não esteja usando uma senha padrão.
    • Evite usar senhas codificadas em aplicações e appliances
    • Faça com que a senha das contas privilegiadas seja alterada frequentemente para reduzir o risco dos colaboradores do departamento comprometerem seus sistemas.
  • Torne obrigatória a utilização do MFA para contas privilegiadas. Opções incluem tokens, push-to-authenticate/approve, NFC bluetooth beacons, GPS/geolocalização e biometria. Uma senha por si só não é o suficiente.
  • Limite o escopo das permissões para cada conta privilegiada. Muitas contas privilegiadas não tem limite, elas têm acesso total a tudo. Para minimizar o risco você deve reforçar dois princípios:
    • Separação de tarefas – Nenhum colaborador deve realizar todas as ações de um determinado sistema ou aplicação
    • Privilégio mínimo – Os colaboradores têm apenas o mínimo dos privilégios para realizarem seus trabalhos.
Leia também:  Netwrix no Quadrante Mágico do Gartner para Gerenciamento de Acesso Privilegiado 2025

Conteúdo Relacionado: Entendendo o movimento lateral e escalonamento de privilégio

Estratégias úteis incluem delegar as permissões no AD e configurar o controle de acesso baseado em função em todo o sistema que você usa.

  • Use as melhores práticas de elevação de privilégio. Quando os usuários precisam de acesso adicional eles devem seguir uma requisição documentada e o processo de aprovação, seja por papel ou usando um ticket em sistema de gerenciamento de acesso privilegiado. Após aprovação, eleve os privilégios do usuário durante o período requisitado para realizar a tarefa específica. Similarmente, os administradores de TI devem usar suas contas privilegiadas apenas quando eles necessitam de permissões elevadas para uma tarefa específica; caso contrário eles deviam usar contas regulares.
  • Monitore e log toda a atividade privilegiada. Para reduzir o risco de vazamento de dados e indisponibilidade, esteja vigilante sobre quais ações os usuários privilegiados estão tomando usando uma variedade de técnicas de log e monitoramento. Implemente controles de segurança tradicionais, como firewalls e controles de acesso a rede, que limitam o acesso aos sistemas, particularmente sistemas críticos como o sistema de detecção de intrusão ou o gerenciador de acesso e identidade. Todos esses sistemas deve ter os logs habilitados e você deve habilitar também os logs de eventos de logon/logoff  e outras ações de usuários privilegiados. Você precisa também de monitoramento em tempo real da atividade do usuário privilegiado e a capacidade de alertar a equipe apropriada sobre ações críticas. Criar esses alertas requer que as informações nos logs sejam claras e fáceis de entender, o que não é o caso nativo da maioria das plataformas, entretanto você pode usar um software de auditoria de TI para resolver esse problema.
  • Estenda a proteção do seu acesso privilegiado além do firewall. Não esqueça das contas associadas com as mídias sociais, aplicações SaaS, parceiros, contratados e clientes. Eles devem ser protegidos de acordo com a sua política de gerenciamento de contas privilegiadas.
  • Analise o risco de cada o usuário privilegiado. Use a avaliação de risco de forma continua para avaliar o perigo que cada usuário privilegiado oferece e foque em investigar as contas com maior risco primeiro.

Gerenciamento de Acesso Privilegiado

  • Traga contas de serviço para o gerenciamento. Contas de serviço normalmente tem privilégios mais elevados para dados e infraestrutura, então elas precisam ser protegidas através do gerenciamento automatizado. Por exemplo, suas senhas devem ser alteradas frequentemente sem causar interrupções no fluxo de trabalho.
  • Assegura contas privilegiadas baseadas na nuvem. Com mais fluxo de trabalho migrando para a nuvem ano após ano, é essencial que as mesmas práticas de gerenciamento de acesso sejam usadas em contas que dão acesso privilegiado a sistemas e serviços baseados na nuvem como as contas do Azure AD.
  • Reveja os direitos de acesso privilegiado em intervalos apropriados (ao menos uma vez ao mês) e reveja regularmente as atribuições de permissões privilegiadas. Documente todas as alterações sem falha.
  • Eduque seus usuários. Dê a sua equipe a informação que eles precisam para terem sucesso e tenha certeza de atualizá-los sobre as políticas e procedimentos sempre que houver alguma alteração nelas. Todo mundo, não apenas os administradores mas todos os usuários, devem saber como gerenciar e usar apropriadamente suas contas privilegiadas.
  • Documente todas as práticas e políticas do gerenciamento de contas. Por fim, mas não menos importante, tenha certeza de que as suas regras e processos estejam explicitamente anotados e assinados pela gerência para que tudo possa ser aplicado nos conformes.
Leia também:  Inteligência Artificial Segura: Rumo à Prosperidade Digital 2025

Gerenciamento de Acesso Privilegiado Moderno

Seguir rigorosamente todas essas práticas para dezenas ou centenas de contas privilegiadas é um grande desafio e que ainda deixa as organizações com uma grande superfície de ataque, já que cada conta está em risco de ser tomada por um atacante ou usada de forma incorreta pelo seu dono. É aí que entra a terceira geração de gerenciamento de acesso privilegiado:

  • Imponha privilégios de Confiança Zero por meio de contas temporárias que tenham privilégios suficientes. Apesar da melhor prática padrão ser elevar os privilégios apenas quando necessário, é possível ir além e remover as contas por completo quando elas não forem necessárias. A solução PAM deve garantir aos administradores o nível exato de privilégios necessários quando eles forem preciso, somente pelo tempo em que forem precisos.
  • Implemente aprovações para requisições de sessões privilegiadas. Para as tarefas mais críticas, deverá haver uma aprovação no fluxo de trabalho na qual a requisição de sessão deve ser aprovada ou negada pelo pessoal apropriado.
  • Mantenha uma trilha de auditoria e registre todas as sessões privilegiadas. As organizações precisam rastrear todas as ações. Algumas soluções levam esse passo adiante implementando monitoramento em tempo real e o histórico de sessões registradas para as tarefas dos usuários privilegiados

Próximo passo: Gerenciamento de atividade e contas privilegiadas com uma solução dedicada

O Netwrix SbPAM é uma solução PAM de terceira geração que é rápida para instalar, não gera impacto no sistema, não requer software por parte do cliente e é simples de usar. Funciona igualmente bem em pequenas e grandes empresas.

O SbPAM facilita o acesso administrativo seguro e reduz sua superfície de ataque. Ele automaticamente gera contas na hora com as permissões necessárias para cumprir com as tarefas administrativas, permitindo que você elimine a ameaça de ter diversas contas privilegiadas e ter o trabalho de controlar todas elas.

Minimize o risco relacionado aos acessos de privilégio com o software de gerenciamento de acesso privilegiado da Netwrix:

  • Crie conta sob demanda com o acesso necessário para a tarefa e que são deletadas automaticamente após elas.
  • Veja exatamente  quais atividades privilegiadas estão ocorrendo nos seus sistemas  com monitoramento ao vivo e retrospectivo das sessões.
  • Proteja as contas de serviço rotacionando as senhas dela em um único lugar.
  • Mitigue os riscos do pass-the-hash, ticket dourado e ataques relacionados com o descarte de tickets do Kerberos após cada sessão privilegiada.
  • Ofereça provas de que a atividade privilegiada na sua organização não está criando ameaças de segurança cibernética.
  • Reduza a sobrecarga de adoção, a solução da Netwrix funciona com o Remote Desktop Connection Manager e o Microsoft LAPS e você pode integrá-la com o seu cofre de senhas.

Gerenciamento de Acesso Privilegiado - PAM

Comente o que achou do artigo