O que é gerenciamento de acesso privilegiado (PAM)?

Em um sistema de computador, "privilégio" refere-se a permissões de acesso maiores do que as de um usuário padrão. Uma conta de usuário comum pode ter permissão para exibir entradas em um banco de dados, enquanto um administrador privilegiado seria capaz de configurar, adicionar, alterar e excluir entradas.

Usuários não humanos, como máquinas, aplicativos e cargas de trabalho, também podem ter privilégios elevados. Por exemplo, um processo de backup automatizado pode ter acesso a arquivos confidenciais e configurações do sistema.

Contas privilegiadas são alvos de alto valor para hackers, que podem abusar de seus direitos de acesso para roubar dados e danificar sistemas críticos enquanto se esquivam da detecção. Na verdade, a invasão de contas válidas é um dos dois vetores de ataques cibernéticos mais comuns atualmente, de acordo com o IBM® X-Force Threat Intelligence Index.

E o perigo também pode vir de dentro de uma organização. Um estudo do IBM Institute for Business Value descobriu que funcionários bem-intencionados podem compartilhar dados organizacionais privados em produtos de inteligência artificial (IA) de terceiros sem saber se as ferramentas atendem às suas necessidades de segurança. O estudo relata que 41% dos funcionários adquiriram, modificaram ou criaram tecnologia sem o conhecimento da equipe de TI ou de segurança, criando uma brecha grave na segurança.

As ferramentas e práticas do PAM ajudam as organizações a protegerem contas privilegiadas contra ataques baseados em identidade. Especificamente, as estratégias de PAM fortalecem a postura de segurança organizacional, reduzindo o número de usuários e contas privilegiados, protegendo credenciais privilegiadas e aplicando o princípio de privilégios mínimos.

O Gerenciamento de identidade e acesso (IAM) é um campo amplo que abrange todos os esforços de segurança de identidade de uma organização para todos os usuários e recursos. O PAM é um subconjunto do IAM que se concentra na proteção de contas e usuários privilegiados.

Há uma sobreposição considerável entre IAM e PAM. Ambos envolvem o provisionamento de identidades digitais, bem como a implementação de políticas de controle de acesso e de sistemas de autenticação e autorização.

No entanto, o PAM vai além das medidas padrão do IAM porque as contas privilegiadas exigem uma proteção mais forte do que as contas padrão. Os programas PAM utilizam medidas de segurança avançadas, como cofres de credenciais e gravação de sessão, para controlar estritamente como os usuários obtêm privilégios elevados e o que fazem com eles.

Seria impraticável e ineficaz aplicar medidas tão rigorosas a contas não privilegiadas. Essas medidas interromperiam o acesso regular do usuário e dificultariam o trabalho diário das pessoas. Essa diferença nos requisitos de segurança é o motivo pelo qual o PAM e o IAM se transformaram em disciplinas separadas, mas relacionadas.

Contas privilegiadas apresentam maiores riscos de segurança. Suas permissões elevadas são propícias a abusos e muitas organizações têm dificuldades para rastrear atividades privilegiadas em sistemas locais e na nuvem. O PAM ajuda as organizações a terem mais controle sobre contas privilegiadas para impedir hackers e conectar os usuários às permissões de que precisam.

Os ataques baseados em identidade, nos quais os hackers assumem o controle de contas de usuários e abusam de seus privilégios válidos, estão em ascensão. Os relatórios X-Force da IBM relatam que esses ataques representam 30% das violações de segurança. Esses ataques geralmente têm como alvo contas privilegiadas, seja diretamente ou por meio de movimento lateral.

Agentes hostis—ameaças internas ou invasores externos—, que tiverem acesso contas privilegiadas podem causar sérios danos. Podem utilizar as permissões elevadas para espalhar malware e acessar recursos essenciais sem restrições e enganarem as soluções de segurança fazendo-as pensar que são usuários legítimos com contas válidas.

De acordo com o relatório do custo das violações de dados da IBM, as violações em que hackers utilizam credenciais roubadas estão entre as mais caras, custando US$ 4,67 milhões em média. As ameaças internas que abusam de seus privilégios válidos podem causar danos ainda maiores, com essas violações de segurança custando em média US$ 4,92 milhões.

Além disso, a transformação digital e o crescimento da inteligência artificial aumentaram o número de usuários privilegiados na média das redes. Cada novo serviço de nuvem, aplicação de IA, estação de trabalho e dispositivo de Internet das Coisas (IoT) traz novas contas privilegiadas. Essas contas incluem as contas de administrador que os usuários humanos precisam para gerenciar esses ativos e as contas que esses ativos utilizam para interagir com a infraestrutura de rede.

Para complicar ainda mais, as pessoas geralmente compartilham contas privilegiadas. Por exemplo, em vez de atribuir a cada administrador do sistema sua própria conta, muitas equipes de TI configuram uma conta de administrador por sistema e compartilham as credenciais com os usuários que precisam delas.

Consequentemente, é difícil para as organizações rastrear contas privilegiadas enquanto agentes maliciosos estão concentrando sua atenção nessas mesmas contas.

As tecnologias e estratégias de PAM ajudam as organizações a terem mais visibilidade e controle sobre contas e atividades privilegiadas sem interromper os fluxos de trabalho legítimos dos usuários. O Center for Internet Security lista as principais atividades de PAM entre seus controles de segurança “críticos”.¹

Ferramentas como cofres de credenciais e elevação de privilégios just-in-time podem viabilizar o acesso seguro para os usuários que precisam dele, mantendo hackers e agentes internos não autorizados afastados. As ferramentas de monitoramento de sessão privilegiada permitem que as organizações acompanhem tudo o que cada usuário faz com seus privilégios na rede, permitindo que as equipes de TI e de segurança detectem atividades suspeitas.

O gerenciamento de acesso privilegiado combina processos e ferramentas tecnológicas para controlar como os privilégios são atribuídos, acessados e usados. Muitas estratégias de PAM concentram-se em três pilares:

• Gerenciamento privilegiado de contas: criação, provisionamento e descarte seguro de contas com permissões elevadas.

• Gerenciamento de privilégios: gerenciar como e quando os usuários obtêm privilégios, bem como o que os usuários podem fazer com seus privilégios.

• Gerenciamento de sessões privilegiadas: monitoramento de atividades privilegiadas para detectar comportamentos suspeitos e garantir a conformidade.

O gerenciamento de contas privilegiadas supervisiona todo o ciclo de vida das contas com permissões elevadas, desde a criação até a desativação.

Uma conta privilegiada é qualquer conta com direitos de acesso acima da média em um sistema. Os usuários de contas privilegiadas podem executar tarefas como alterar as configurações do sistema, instalar um software novo e adicionar ou remover outros usuários.

Nos ambientes de TI modernos, as contas privilegiadas assumem muitas formas. Tanto usuários humanos quanto não humanos, como dispositivos de IoT e fluxos de trabalho automáticos, podem ter contas privilegiadas. Confira alguns exemplos:

• As contas administrativas locais oferecem aos usuários controle sobre um único notebook, servidor ou outro endpoint individual.

• Contas administrativas de domínio dão aos usuários controle sobre um domínio inteiro, como todos os usuários e estações de trabalho em um domínio do Microsoft Active Directory.

• As contas privilegiadas de usuários corporativos oferecem aos usuários acesso elevado para fins não relacionados à TI, como a conta que um funcionário financeiro utiliza para acessar os fundos da empresa.

• As contas de superusuário concedem privilégios irrestritos em um sistema específico. Nos sistemas Unix e Linux®, as contas de superusuário são chamadas de contas “raiz”. No Microsoft Windows, elas são chamadas de contas de “administrador”.

• As contas de serviço permitem que aplicativos e fluxos de trabalho automatizados interajam com sistemas operacionais.

• Contas de aplicativos permitem que os aplicativos interajam uns com os outros, façam chamadas para interfaces de programação de aplicativos (APIs) e executem outras funções importantes.

O gerenciamento de contas privilegiadas lida com todo o ciclo de vida dessas contas privilegiadas, incluindo:

• Descoberta: registro de todas as contas privilegiadas existentes em uma rede.

• Provisionamento: criação de novas contas privilegiadas e atribuição de permissões com base no princípio do privilégio mínimo.

• Acesso: gerenciamento de quem pode acessar contas privilegiadas e como

• Descarte: retirar com segurança contas privilegiadas que não são mais necessárias.

Um dos principais objetivos do gerenciamento de contas privilegiadas é a redução do número de contas privilegiadas em um sistema e restringir o acesso a essas contas. O gerenciamento de credenciais é uma ferramenta fundamental para atingir esse objetivo.

Em vez de atribuir contas privilegiadas a usuários individuais, muitos sistemas PAM centralizam essas contas e armazenam suas credenciais em um cofre de senhas. O cofre armazena com segurança senhas, tokens, chaves Secure Shell (SSH) e outras credenciais em um formato criptografado.

Quando um usuário, humano ou não, precisa executar uma atividade privilegiada, deve verificar as credenciais da conta apropriada no cofre.

Por exemplo, digamos que um membro da equipe de TI precise fazer alterações em um laptop da empresa. Para fazer isso, ele precisa utilizar a conta de administrador local deste laptop. As credenciais da conta são armazenadas em um cofre de senhas, então o membro da equipe de TI começa solicitando a senha da conta.

O membro da equipe deve primeiro passar por um desafio de autenticação forte, como autenticação multifator (MFA), para provar sua identidade. Em seguida, o vault utiliza controles de acesso baseados em função (RBAC) ou políticas semelhantes para determinar se esse usuário tem permissão para acessar as credenciais dessa conta.

Esse membro da equipe de TI tem permissão para utilizar esta conta de administrador local, portanto o cofre de credenciais concede acesso. O membro da equipe de TI agora pode utilizar a conta de administrador local para fazer as alterações necessárias no notebook da empresa.

Para maior segurança, muitos cofres de credenciais não compartilham credenciais diretamente com os usuários. Em vez disso, utilizam o logon único (SSO) e intermediação de sessão para iniciar conexões seguras sem que o usuário veja a senha.

O acesso à conta do usuário normalmente expira após um determinado período ou após a conclusão da tarefa. Muitos cofres de credenciais podem rotacionar credenciais automaticamente em uma programação ou após cada uso, dificultando que agentes mal-intencionados roubem e usem indevidamente essas credenciais.

O PAM substitui os modelos de privilégios perpétuos, nos quais um usuário sempre tem o mesmo nível estático de permissões, por modelos de acesso just-in-time em que os usuários recebem privilégios elevados quando precisam realizar tarefas específicas. O gerenciamento de privilégios é como as organizações implementam esses modelos dinâmicos de acesso menos privilegiado.

Os cofres de credenciais são uma forma de as organizações eliminarem os privilégios perpétuos, pois os usuários podem acessar contas privilegiadas apenas por um tempo limitado e para fins limitados. Mas os cofres não são a única maneira de controlar os privilégios do usuário.

Alguns sistemas PAM utilizam um modelo chamado elevação de privilégio just-in-time (JIT). Em vez de fazer login em contas privilegiadas separadas, os usuários têm suas permissões temporariamente aumentadas quando precisam realizar atividades privilegiadas.

No modelo de elevação de privilégios JIT, cada usuário tem uma conta padrão com permissões padrão. Quando um usuário precisa fazer algo que requer permissões elevadas, como um membro da equipe de TI que altera configurações importantes em um notebook da empresa, ele envia uma solicitação a uma ferramenta PAM. A solicitação pode incluir algum tipo de justificativa que descreva o que o usuário precisa fazer e por quê.

A ferramenta PAM avalia a solicitação em relação a um conjunto de regras predefinidas. Se esse usuário estiver autorizado a executar a tarefa nesse sistema, a ferramenta PAM elevará seus privilégios. Esses privilégios elevados são válidos apenas por um curto período e permitem que o usuário realize apenas as tarefas específicas de que precisa.

A maioria das organizações utiliza a elevação de privilégios e o cofre de credenciais para gerenciamento de privilégios. Alguns sistemas exigem contas privilegiadas dedicadas, como as contas administrativas padrão incorporadas em alguns dispositivos, e outros não.

O gerenciamento de sessões privilegiadas (PSM) é o aspecto do PAM que supervisiona atividades privilegiadas. Quando um usuário faz check-out de uma conta privilegiada ou um aplicativo tem seus privilégios elevados, as ferramentas PSM rastreiam o que eles fazem com esses privilégios.

As ferramentas PSM podem registrar atividades de sessão privilegiadas registrando eventos e pressionamentos de tecla. Algumas ferramentas PSM também fazem gravações de vídeo de sessões privilegiadas. Os registros PSM ajudam as organizações a detectar atividades suspeitas, atribuir atividades privilegiadas a usuários individuais e criar trilhas de auditoria para fins de conformidade.

O gerenciamento de identidade privilegiada (PIM) e o gerenciamento de usuários privilegiados (PUM) são subcampos sobrepostos do gerenciamento de acesso privilegiado. Os processos do PIM se concentram na atribuição e manutenção de privilégios para identidades individuais em um sistema. Os processos PUM se concentram na manutenção de contas de usuários privilegiados.

No entanto, as distinções entre PIM, PUM e outros aspectos do PAM não são universalmente aceitas. Alguns profissionais até utilizam os termos de forma intercambiável. Em última análise, o importante é que tudo caia sob o guarda-chuva do PAM. Diferentes organizações podem conceituar tarefas PAM de forma diferente, mas todas as estratégias PAM têm o objetivo de evitar o uso indevido de acesso privilegiado.

É ineficiente, e muitas vezes impossível, fazer manualmente as principais tarefas do PAM, como elevação de privilégios e rotações regulares de senha. A maioria das organizações utiliza soluções PAM para simplificar e automatizar grande parte do processo.

As ferramentas PAM podem ser instaladas no local como dispositivos de software ou hardware. Cada vez mais, eles são entregues como aplicativos de software como serviço (SaaS) baseados em nuvem.

A empresa de análise Gartner classifica as ferramentas PAM em quatro classes:

• Ferramentas de gerenciamento de contas e sessões privilegiadas (PASM) controlam o gerenciamento do ciclo de vida de contas, gerenciamento de senhas, armazenamento de credenciais e monitoramento de sessões privilegiadas em tempo real.

• As ferramentas de gerenciamento de elevação e delegação de privilégios (PEDM) permitem a elevação de privilégios just-in-time avaliando, aprovando e negando automaticamente solicitações de acesso privilegiado. 

• As ferramentas de gerenciamento de segredos se concentram na proteção de credenciais e no gerenciamento de privilégios para usuários não humanos, como aplicativos, cargas de trabalho e servidores.

• As ferramentas de gerenciamento de direitos de infraestrutura de nuvem (CIEM) são projetadas para gerenciamento de identidade e acesso em ambientes de nuvem, onde usuários e atividades são mais difusos e exigem controles diferentes do que suas contrapartes locais.

Embora algumas ferramentas do PAM sejam soluções pontuais que abrangem uma classe de atividades, muitas organizações estão adotando plataformas abrangentes que combinam as funções de PASM, PEDM, gerenciamento de segredos e CIEM. Essas ferramentas também podem oferecer suporte a integrações com outras ferramentas de segurança, como o envio de registros de sessão privilegiados para uma solução de gerenciamento de eventos e informações de segurança (SIEM).

Algumas plataformas PAM abrangentes têm funções extras, como:

• A capacidade de descobrir automaticamente contas privilegiadas desconhecidas anteriormente

• A capacidade de impor MFA em usuários que solicitam acesso privilegiado

• Acesso remoto seguro para atividades e usuários privilegiados

• Recursos de gerenciamento de acesso privilegiado do fornecedor (VPAM) para parceiros e contratados terceirizados

Analistas preveem que as ferramentas de PAM, assim como outros controles de segurança, incorporarão cada vez mais IA e aprendizado de máquina (ML). De fato, algumas ferramentas PAM já utilizam IA e ML em sistemas de autenticação baseados em risco.

A autenticação baseada em risco avalia constantemente o comportamento do usuário, calcula o nível de risco desse comportamento e altera dinamicamente os requisitos de autenticação com base nesse risco. Por exemplo, um usuário que solicitar privilégios para configurar um único laptop pode precisar passar pela autenticação de dois fatores. Um usuário que queira alterar as configurações de todas as estações de trabalho de um domínio pode precisar apresentar ainda mais evidências para confirmar sua identidade.

Uma pesquisa da OMDIA² prevê que as ferramentas PAM podem utilizar IA generativa para analisar solicitações de acesso, automatizar a elevação de privilégios, gerar e refinar políticas de acesso e detectar atividades suspeitas em registros de sessão privilegiada.

Embora as ferramentas e táticas PAM governem atividades privilegiadas em uma organização, elas também ajudam a lidar com desafios específicos de segurança de identidade e acesso.

• Redução da superfície de ataque de identidade
• Gerenciamento da expansão de identidade
• Conformidade regulamentar
• Gerenciamento de segredos de DevOps