{"id":2582,"date":"2023-11-22T12:00:34","date_gmt":"2023-11-22T15:00:34","guid":{"rendered":"https:\/\/aiqon.com.br\/blog\/?p=2582"},"modified":"2023-11-22T12:00:34","modified_gmt":"2023-11-22T15:00:34","slug":"mudanca-na-politica-de-seguranca-a-hora-de-rever-privilegios-de-acesso-e-agora","status":"publish","type":"post","link":"https:\/\/aiqon.com.br\/blog\/mudanca-na-politica-de-seguranca-a-hora-de-rever-privilegios-de-acesso-e-agora\/","title":{"rendered":"Mudan\u00e7a na pol\u00edtica de seguran\u00e7a: a hora de rever privil\u00e9gios de acesso \u00e9 agora"},"content":{"rendered":"<div id=\"bsf_rt_marker\"><\/div><p>Se o\u00a0<strong>dado \u00e9 o novo petr\u00f3leo<\/strong>, \u00e9 a\u00a0<strong>hierarquia de acesso<\/strong>\u00a0a esse ativo que determina quem \u00e9 quem numa organiza\u00e7\u00e3o e em sua\u00a0<strong>pol\u00edtica de seguran\u00e7a<\/strong>. Por essa raz\u00e3o, as empresas organizam a pol\u00edtica de acessos aos Apps em n\u00edveis. A meta \u00e9 proteger a aplica\u00e7\u00e3o, estabelecendo quem pode fazer o qu\u00ea na plataforma digital. Contas de acesso privilegiado s\u00e3o especialmente lucrativas para os criminosos cibern\u00e9ticos. Segundo a Statista, o pre\u00e7o m\u00e9dio de um login de conta Amazon na Dark Web era de USD 30,36 em 2020.<\/p>\n<p>O login de usu\u00e1rios privilegiados, no entanto, valia USD 259,56 para criminosos digitais. H\u00e1 raz\u00f5es para essa diferen\u00e7a de valores. Um estudo da Forrester Research estima que 80% das viola\u00e7\u00f5es de seguran\u00e7a ocorridas nos EUA em 2021 envolviam o abuso de acesso privilegiado. O mesmo relat\u00f3rio indica que, em 66% das empresas, ataques assim iniciados aconteceram mais de uma vez, chegando a cinco ou mais incidentes. A repeti\u00e7\u00e3o das viola\u00e7\u00f5es baseadas no roubo de acessos privilegiados n\u00e3o \u00e9 uma surpresa. Uma an\u00e1lise realizada em 2019 com 1000 l\u00edderes de TI e cybersecurity dos EUA indica que, em 63% das empresas, costumava-se demorar mais do que 24 horas para desativar o acesso privilegiado de uma colaborador que sai da organiza\u00e7\u00e3o. Isso exp\u00f5e essas empresas a atos de vingan\u00e7a, incluindo a venda de credenciais de acesso privilegiado na Dark Web.<\/p>\n<p>Existem muitos tipos de contas privilegiadas. Contas privilegiadas incluem superusu\u00e1rios, administradores de dom\u00ednios digitais, administradores locais e l\u00edderes das \u00e1reas de neg\u00f3cios. Incluem tamb\u00e9m contas n\u00e3o ligadas a pessoas e, sim, a Bots l\u00edcitos. O dono do acesso privilegiado tem acesso ou permiss\u00e3o a recursos e sistemas que cont\u00eam informa\u00e7\u00f5es altamente confidenciais. Esses usu\u00e1rios podem fazer altera\u00e7\u00f5es cr\u00edticas em aplica\u00e7\u00f5es, infraestrutura de TI e sistemas.<\/p>\n<p>Segundo o estudo Heimdal Security, as organiza\u00e7\u00f5es presumem que 80% de suas contas de acesso privilegiado est\u00e3o sendo gerenciadas e monitoradas adequadamente. O mesmo estudo mostra que, ap\u00f3s a checagem das identidades, somente 20% dessas contas VIP estavam realmente sob controle.<\/p>\n<p>Para elevar a maturidade da cybersecurity da organiza\u00e7\u00e3o, uma boa estrat\u00e9gia \u00e9 estudar o gerenciamento de acesso privilegiado (PAM \u2013 Privileged Access Management). Trata-se de um processo de atribui\u00e7\u00e3o, monitoramento e prote\u00e7\u00e3o do acesso de n\u00edvel gerencial a aplica\u00e7\u00f5es cr\u00edticas. O PAM abrange tamb\u00e9m o monitoramento em tempo real das atividades realizadas por usu\u00e1rios privilegiados que fizeram login nesses sistemas.<\/p>\n<h3>Pol\u00edtica de seguran\u00e7a: o fim do direito de acesso fixo<\/h3>\n<p>Segundo o Gartner, em 2022, o mercado de gerenciamento de acesso privilegiado (PAM) foi avaliado em USD 2,65 bilh\u00f5es. Espera-se que o mercado de PAM ultrapasse USD 8 bilh\u00f5es at\u00e9 2027. Al\u00e9m disso, 50% das empresas implementar\u00e3o o modelo de acesso privilegiado Just-in-time at\u00e9 2024.<\/p>\n<p>Na era PAM, privil\u00e9gios deixam de ser um direito de acesso fixo. Nesta nova abordagem, o usu\u00e1rio conseguir\u00e1 acessar o servi\u00e7o necess\u00e1rio por um tempo m\u00ednimo. Assim que a tarefa for realizada, a pessoa perder\u00e1 o privil\u00e9gio de acesso. Isso permite que acessos de alto n\u00edvel aconte\u00e7am somente ap\u00f3s an\u00e1lise do perfil do usu\u00e1rio, por um per\u00edodo muito limitado e com o m\u00e1ximo controle.<\/p>\n<p>Estrat\u00e9gias como estas j\u00e1 est\u00e3o produzindo resultados nas organiza\u00e7\u00f5es. \u00c9 o que comprova o estudo <a href=\"https:\/\/www.netwrix.com\/2023_hybrid_security_trends_report.html\">Netwrix Hybrid Security Trends 2023<\/a>, realizado a partir de entrevistas com 1610 l\u00edderes de seguran\u00e7a cibern\u00e9tica de todo o mundo. Vinte e nove porcento dos CISOs satisfeitos com a maturidade da cultura de seguran\u00e7a da sua organiza\u00e7\u00e3o dizem que uma das raz\u00f5es para essa conquista \u00e9 a ado\u00e7\u00e3o de solu\u00e7\u00f5es de gerenciamento de acesso privilegiado (PAM).<em>\u00a0<\/em><\/p>\n<p>A jornada em dire\u00e7\u00e3o ao PAM inclui algumas estrat\u00e9gias:<\/p>\n<h4>Eliminar o privil\u00e9gio permanente<\/h4>\n<p>Reduzir a superf\u00edcie de ataque eliminando o privil\u00e9gio permanente. Em vez disso, criar contas tempor\u00e1rias com acesso suficiente apenas para realizar a tarefa em quest\u00e3o. Remover essas contas quando o trabalho for conclu\u00eddo.<\/p>\n<h4>Controlar as sess\u00f5es em tempo real<\/h4>\n<p>Aumentar o n\u00edvel de compromisso do usu\u00e1rio com a pol\u00edtica de seguran\u00e7a monitorando todas as atividades administrativas em v\u00e1rios sistemas de TI. Observar as sess\u00f5es e encerrar imediatamente atividades suspeitas.<\/p>\n<h4>Facilitar os fluxos de trabalho existentes<\/h4>\n<p>Capacitar a equipe de usu\u00e1rios a continuar trabalhando da maneira como est\u00e1 acostumada, mas com mais seguran\u00e7a. Isso \u00e9 feito por meio da integra\u00e7\u00e3o da plataforma PAM a aplica\u00e7\u00f5es existentes internas e de terceiros.<\/p>\n<h4>Certificar regularmente o acesso privilegiado<\/h4>\n<p>Assegurar a conformidade e aumentar a seguran\u00e7a verificando regularmente \u2013 pelo menos uma vez no trimestre \u2013 a legitimidade do privil\u00e9gio de cada usu\u00e1rio.<\/p>\n<h4>Descobrir e integrar ao PAM contas ainda n\u00e3o gerenciadas<\/h4>\n<p>Para cada plataforma suportada, o scanner do PAM elenca todas as contas locais e de dom\u00ednio com privil\u00e9gios associados. Esses controles simplificam a identifica\u00e7\u00e3o e integra\u00e7\u00e3o de contas privilegiadas n\u00e3o gerenciadas \u00e0 plataforma PAM.<\/p>\n<p>Apesar da intelig\u00eancia para elevar a maturidade da pol\u00edtica de acesso privilegiado j\u00e1 estar dispon\u00edvel no mercado, muitas empresas continuam n\u00e3o contando com a prote\u00e7\u00e3o adequada. Algumas sequer t\u00eam visibilidade sobre quais contas t\u00eam privil\u00e9gios elevados. Isso \u00e9 mais comum entre organiza\u00e7\u00f5es que usam aplica\u00e7\u00f5es rodando em ambientes multinuvem, que frequentemente s\u00e3o implementadas com privil\u00e9gios padr\u00e3o de administrador (configura\u00e7\u00e3o default). Um problema adicional do acesso privilegiado \u00e9 que muitas aplica\u00e7\u00f5es n\u00e3o s\u00e3o projetadas para integra\u00e7\u00e3o com solu\u00e7\u00f5es PAM. Isso pode tornar a jornada em dire\u00e7\u00e3o ao PAM mais \u00e1rdua.<\/p>\n<p>Talvez isso explique porque, segundo uma pesquisa realizada pela Cybersecurity Insiders, ao investir em uma solu\u00e7\u00e3o de PAM, as organiza\u00e7\u00f5es priorizam a facilidade de integra\u00e7\u00e3o com outras plataformas (72%), seguida pela experi\u00eancia do usu\u00e1rio final (62%) e pelo desempenho e a efic\u00e1cia do produto (61%).<\/p>\n<h3>O impacto pol\u00edtico do PAM<\/h3>\n<p>H\u00e1 um impacto pol\u00edtico na entrada em cena de uma solu\u00e7\u00e3o PAM. Frequentemente, a implementa\u00e7\u00e3o do PAM requer mudan\u00e7as em processos e fluxos de trabalho tradicionais, o que pode encontrar resist\u00eancia por parte das equipes de TI e de outros stakeholders. Os usu\u00e1rios acreditam ter direito a privil\u00e9gios de acesso para realizar seus trabalhos. Eles nunca pedir\u00e3o que seus privil\u00e9gios sejam retirados. Mas o excesso de privil\u00e9gios \u00e9 um problema. Frequentemente, o malware atua no contexto do usu\u00e1rio \u2013 quanto mais privilegiado o usu\u00e1rio, mais longe o malware consegue chegar, em movimenta\u00e7\u00f5es Leste-Oeste potencialmente destruidoras.<\/p>\n<p>Para lidar com essas preocupa\u00e7\u00f5es, os CISOs devem construir estrat\u00e9gias de comunica\u00e7\u00e3o com as \u00e1reas de neg\u00f3cios e os usu\u00e1rios para deixar claras as vantagens do PAM. Trata-se de conquistar cora\u00e7\u00f5es e mentes dos principais stakeholders desde o in\u00edcio do projeto, promovendo uma abordagem colaborativa ao processo de ado\u00e7\u00e3o do PAM.<\/p>\n<p>A implementa\u00e7\u00e3o de uma solu\u00e7\u00e3o de PAM vai al\u00e9m da tecnologia. \u00c9 necess\u00e1rio alterar h\u00e1bitos arraigados de usu\u00e1rios que t\u00eam privil\u00e9gios fixos de acesso. Nessa jornada, \u00e9 fundamental adotar solu\u00e7\u00f5es avan\u00e7adas e flex\u00edveis, que automatizam o PAM e sua integra\u00e7\u00e3o a outras plataformas sem causar atrito. E, em paralelo, investir em a\u00e7\u00f5es educacionais que facilitem a ades\u00e3o do usu\u00e1rio VIP a uma nova pol\u00edtica de acessos que \u00e9 boa para ele, para a empresa e para a economia do pa\u00eds.<\/p>\n<p><span style=\"color: #0094a4;\"><strong>Autor:<\/strong><\/span> <em><a href=\"https:\/\/www.linkedin.com\/in\/thiagofelippe\/\">Thiago N. Felippe<\/a><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Se o\u00a0dado \u00e9 o novo petr\u00f3leo, \u00e9 a\u00a0hierarquia de acesso\u00a0a esse ativo que determina quem \u00e9 quem numa organiza\u00e7\u00e3o e em sua\u00a0pol\u00edtica de seguran\u00e7a. Por essa raz\u00e3o, as empresas organizam a pol\u00edtica de acessos aos Apps em n\u00edveis. A meta \u00e9 proteger a aplica\u00e7\u00e3o, estabelecendo quem pode fazer o qu\u00ea na plataforma digital. Contas de [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_feature_clip_id":0,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_post_was_ever_published":false},"categories":[113],"tags":[203],"class_list":["post-2582","post","type-post","status-publish","format-standard","category-cybersecurity","tag-pam","czr-hentry"],"jetpack_featured_media_url":"","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2582","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2582"}],"version-history":[{"count":1,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2582\/revisions"}],"predecessor-version":[{"id":2583,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/posts\/2582\/revisions\/2583"}],"wp:attachment":[{"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2582"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2582"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/aiqon.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2582"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}