Se o dado é o novo petróleo, é a hierarquia de acesso a esse ativo que determina quem é quem numa organização e em sua política de segurança. Por essa razão, as empresas organizam a política de acessos aos Apps em níveis. A meta é proteger a aplicação, estabelecendo quem pode fazer o quê na plataforma digital. Contas de acesso privilegiado são especialmente lucrativas para os criminosos cibernéticos. Segundo a Statista, o preço médio de um login de conta Amazon na Dark Web era de USD 30,36 em 2020.
O login de usuários privilegiados, no entanto, valia USD 259,56 para criminosos digitais. Há razões para essa diferença de valores. Um estudo da Forrester Research estima que 80% das violações de segurança ocorridas nos EUA em 2021 envolviam o abuso de acesso privilegiado. O mesmo relatório indica que, em 66% das empresas, ataques assim iniciados aconteceram mais de uma vez, chegando a cinco ou mais incidentes. A repetição das violações baseadas no roubo de acessos privilegiados não é uma surpresa. Uma análise realizada em 2019 com 1000 líderes de TI e cybersecurity dos EUA indica que, em 63% das empresas, costumava-se demorar mais do que 24 horas para desativar o acesso privilegiado de uma colaborador que sai da organização. Isso expõe essas empresas a atos de vingança, incluindo a venda de credenciais de acesso privilegiado na Dark Web.
Existem muitos tipos de contas privilegiadas. Contas privilegiadas incluem superusuários, administradores de domínios digitais, administradores locais e líderes das áreas de negócios. Incluem também contas não ligadas a pessoas e, sim, a Bots lícitos. O dono do acesso privilegiado tem acesso ou permissão a recursos e sistemas que contêm informações altamente confidenciais. Esses usuários podem fazer alterações críticas em aplicações, infraestrutura de TI e sistemas.
Segundo o estudo Heimdal Security, as organizações presumem que 80% de suas contas de acesso privilegiado estão sendo gerenciadas e monitoradas adequadamente. O mesmo estudo mostra que, após a checagem das identidades, somente 20% dessas contas VIP estavam realmente sob controle.
Para elevar a maturidade da cybersecurity da organização, uma boa estratégia é estudar o gerenciamento de acesso privilegiado (PAM – Privileged Access Management). Trata-se de um processo de atribuição, monitoramento e proteção do acesso de nível gerencial a aplicações críticas. O PAM abrange também o monitoramento em tempo real das atividades realizadas por usuários privilegiados que fizeram login nesses sistemas.
Política de segurança: o fim do direito de acesso fixo
Segundo o Gartner, em 2022, o mercado de gerenciamento de acesso privilegiado (PAM) foi avaliado em USD 2,65 bilhões. Espera-se que o mercado de PAM ultrapasse USD 8 bilhões até 2027. Além disso, 50% das empresas implementarão o modelo de acesso privilegiado Just-in-time até 2024.
Na era PAM, privilégios deixam de ser um direito de acesso fixo. Nesta nova abordagem, o usuário conseguirá acessar o serviço necessário por um tempo mínimo. Assim que a tarefa for realizada, a pessoa perderá o privilégio de acesso. Isso permite que acessos de alto nível aconteçam somente após análise do perfil do usuário, por um período muito limitado e com o máximo controle.
Estratégias como estas já estão produzindo resultados nas organizações. É o que comprova o estudo Netwrix Hybrid Security Trends 2023, realizado a partir de entrevistas com 1610 líderes de segurança cibernética de todo o mundo. Vinte e nove porcento dos CISOs satisfeitos com a maturidade da cultura de segurança da sua organização dizem que uma das razões para essa conquista é a adoção de soluções de gerenciamento de acesso privilegiado (PAM).
A jornada em direção ao PAM inclui algumas estratégias:
Eliminar o privilégio permanente
Reduzir a superfície de ataque eliminando o privilégio permanente. Em vez disso, criar contas temporárias com acesso suficiente apenas para realizar a tarefa em questão. Remover essas contas quando o trabalho for concluído.
Controlar as sessões em tempo real
Aumentar o nível de compromisso do usuário com a política de segurança monitorando todas as atividades administrativas em vários sistemas de TI. Observar as sessões e encerrar imediatamente atividades suspeitas.
Facilitar os fluxos de trabalho existentes
Capacitar a equipe de usuários a continuar trabalhando da maneira como está acostumada, mas com mais segurança. Isso é feito por meio da integração da plataforma PAM a aplicações existentes internas e de terceiros.
Certificar regularmente o acesso privilegiado
Assegurar a conformidade e aumentar a segurança verificando regularmente – pelo menos uma vez no trimestre – a legitimidade do privilégio de cada usuário.
Descobrir e integrar ao PAM contas ainda não gerenciadas
Para cada plataforma suportada, o scanner do PAM elenca todas as contas locais e de domínio com privilégios associados. Esses controles simplificam a identificação e integração de contas privilegiadas não gerenciadas à plataforma PAM.
Apesar da inteligência para elevar a maturidade da política de acesso privilegiado já estar disponível no mercado, muitas empresas continuam não contando com a proteção adequada. Algumas sequer têm visibilidade sobre quais contas têm privilégios elevados. Isso é mais comum entre organizações que usam aplicações rodando em ambientes multinuvem, que frequentemente são implementadas com privilégios padrão de administrador (configuração default). Um problema adicional do acesso privilegiado é que muitas aplicações não são projetadas para integração com soluções PAM. Isso pode tornar a jornada em direção ao PAM mais árdua.
Talvez isso explique porque, segundo uma pesquisa realizada pela Cybersecurity Insiders, ao investir em uma solução de PAM, as organizações priorizam a facilidade de integração com outras plataformas (72%), seguida pela experiência do usuário final (62%) e pelo desempenho e a eficácia do produto (61%).
O impacto político do PAM
Há um impacto político na entrada em cena de uma solução PAM. Frequentemente, a implementação do PAM requer mudanças em processos e fluxos de trabalho tradicionais, o que pode encontrar resistência por parte das equipes de TI e de outros stakeholders. Os usuários acreditam ter direito a privilégios de acesso para realizar seus trabalhos. Eles nunca pedirão que seus privilégios sejam retirados. Mas o excesso de privilégios é um problema. Frequentemente, o malware atua no contexto do usuário – quanto mais privilegiado o usuário, mais longe o malware consegue chegar, em movimentações Leste-Oeste potencialmente destruidoras.
Para lidar com essas preocupações, os CISOs devem construir estratégias de comunicação com as áreas de negócios e os usuários para deixar claras as vantagens do PAM. Trata-se de conquistar corações e mentes dos principais stakeholders desde o início do projeto, promovendo uma abordagem colaborativa ao processo de adoção do PAM.
A implementação de uma solução de PAM vai além da tecnologia. É necessário alterar hábitos arraigados de usuários que têm privilégios fixos de acesso. Nessa jornada, é fundamental adotar soluções avançadas e flexíveis, que automatizam o PAM e sua integração a outras plataformas sem causar atrito. E, em paralelo, investir em ações educacionais que facilitem a adesão do usuário VIP a uma nova política de acessos que é boa para ele, para a empresa e para a economia do país.
Autor: Thiago N. Felippe
