Publicado: 19 de julho de 2024
Colaborador: Matthew kosinski
O gerenciamento de acesso privilegiado (PAM) é a disciplina de segurança cibernética que rege e protege contas privilegiadas (como contas administrativas) e atividades privilegiadas (como trabalhar com dados confidenciais).
Em um sistema de computador, "privilégio" refere-se a permissões de acesso maiores do que as de um usuário padrão. Uma conta de usuário comum pode ter permissão para exibir entradas em um banco de dados, enquanto um administrador privilegiado seria capaz de configurar, adicionar, alterar e excluir entradas.
Usuários não humanos, como máquinas, aplicativos e cargas de trabalho, também podem ter privilégios elevados. Por exemplo, um processo de backup automatizado pode ter acesso a arquivos confidenciais e configurações do sistema.
Contas privilegiadas são alvos de alto valor para hackers, que podem abusar de seus direitos de acesso para roubar dados e danificar sistemas críticos enquanto se esquivam da detecção. Na verdade, o sequestro de contas válidas é o vetor de ataque cibernético mais comum atualmente, de acordo com o IBM X-Force Threat Intelligence Index.
As ferramentas e práticas do PAM ajudam as organizações a protegerem contas privilegiadas contra ataques baseados em identidade. Especificamente, as estratégias de PAM fortalecem a postura de segurança organizacional, reduzindo o número de usuários e contas privilegiados, protegendo credenciais privilegiadas e aplicando o princípio de privilégios mínimos.
O Gerenciamento de identidade e acesso (IAM) é um campo amplo que abrange todos os esforços de segurança de identidade de uma organização para todos os usuários e recursos. O PAM é um subconjunto do IAM que se concentra na proteção de contas e usuários privilegiados.
Há uma sobreposição considerável entre IAM e PAM. Ambos envolvem o provisionamento de identidades digitais, a implementação de políticas de controle de acesso e a implantação de sistemas de autenticação e autorização .
No entanto, o PAM vai além das medidas padrão do IAM porque as contas privilegiadas exigem uma proteção mais forte do que as contas padrão. Os programas PAM utilizam medidas de segurança avançadas, como cofres de credenciais e gravação de sessão, para controlar estritamente como os usuários obtêm privilégios elevados e o que fazem com eles.
Seria impraticável e ineficaz aplicar medidas tão fortes a contas não privilegiadas. Essas medidas interromperiam o acesso regular do usuário e dificultariam o trabalho diário das pessoas. Essa diferença nos requisitos de segurança é o motivo pelo qual o PAM e o IAM divergiram em disciplinas separadas, mas relacionadas.
Saiba por que o IBM Security Verify foi reconhecido como líder no último relatório do Quadrante Mágico do Gartner para Gerenciamento de Acesso.
Contas privilegiadas apresentam maiores riscos de segurança. Suas permissões elevadas são propícias a abusos e muitas organizações têm dificuldades para rastrear atividades privilegiadas em sistemas locais e na nuvem. O PAM ajuda as organizações a terem mais controle sobre contas privilegiadas para impedir hackers e conectar os usuários às permissões de que precisam.
Os ataques baseados em identidade, nos quais os hackers assumem o controle de contas de usuários e abusam de seus privilégios válidos, estão em ascensão. O X-Force da IBM informa de que esses ataques aumentaram em 71% no ano passado. Eles agora representam 30% das violações de segurança. Esses ataques geralmente têm como alvo contas privilegiadas, seja diretamente ou por meio de movimento lateral.
Agentes hostis—ameaças internas ou invasores externos—, que tiverem acesso contas privilegiadas podem causar sérios danos. Podem utilizar as permissões elevadas para espalhar malware e acessar recursos essenciais sem restrições e enganarem as soluções de segurança fazendo-as pensar que são usuários legítimos com contas válidas.
De acordo com o relatório do custo das violações de dados da IBM, as violações em que hackers utilizam credenciais roubadas estão entre as mais caras, custando USD 4,62 milhões em média. Ameaças internas que abusam de seus privilégios válidos podem causar ainda mais danos, com essas violações custando em média US$ 4,90 milhões.
Além disso, a transformação digital e o crescimento da inteligência artificial aumentaram o número de usuários privilegiados na média das redes. Cada novo serviço de nuvem, aplicativo de IA, estação de trabalho e dispositivo de Internet das Coisas (IoT) traz novas contas privilegiadas. Essas contas incluem as contas de administrador que os usuários humanos precisam para gerenciar esses ativos e as contas que esses ativos utilizam para interagir com a infraestrutura de rede.
Para complicar ainda mais, as pessoas geralmente compartilham contas privilegiadas. Por exemplo, em vez de atribuir a cada administrador do sistema sua própria conta, muitas equipes de TI configuram uma conta de administrador por sistema e compartilham as credenciais com os usuários que precisam delas.
Consequentemente, é difícil para as organizações rastrear contas privilegiadas enquanto agentes maliciosos estão concentrando sua atenção nessas mesmas contas.
As tecnologias e estratégias de PAM ajudam as organizações a terem mais visibilidade e controle sobre contas e atividades privilegiadas sem interromper os fluxos de trabalho legítimos dos usuários. O Center for Internet Security lista as principais atividades de PAM entre seus controles de segurança “críticos”.1
Ferramentas como cofres de credenciais e elevação de privilégios just-in-time podem facilitar o acesso seguro para os usuários que precisam, mantendo hackers e agentes internos não autorizados fora. As ferramentas de monitoramento de sessão privilegiada permitem que as organizações rastreiem tudo o que cada usuário faz com seus privilégios na rede, permitindo que as equipes de TI e segurança detectem atividades suspeitas.
O gerenciamento de acesso privilegiado combina processos e ferramentas tecnológicas para controlar como os privilégios são atribuídos, acessados e usados. Muitas estratégias de PAM concentram-se em três pilares:
Gerenciamento privilegiado de contas: criação, provisionamento e descarte seguro de contas com permissões elevadas.
Gerenciamento de privilégios: gerenciar como e quando os usuários obtêm privilégios, bem como o que os usuários podem fazer com seus privilégios.
Gerenciamento de sessões privilegiadas: monitoramento de atividades privilegiadas para detectar comportamentos suspeitos e garantir a conformidade.
O gerenciamento de contas privilegiadas supervisiona todo o ciclo de vida das contas com permissões elevadas, desde a criação até a desativação.
Uma conta privilegiada é qualquer conta com direitos de acesso acima da média em um sistema. Os usuários de contas privilegiadas podem executar tarefas como alterar as configurações do sistema, instalar um software novo e adicionar ou remover outros usuários.
Nos ambientes de TI modernos, as contas privilegiadas assumem muitas formas. Tanto usuários humanos quanto não humanos, como dispositivos de IoT e fluxos de trabalho automáticos, podem ter contas privilegiadas. Alguns exemplos:
As contas administrativas locais oferecem aos usuários controle sobre um único laptop, servidor ou outro endpoint individual.
Contas administrativas de domínio dão aos usuários controle sobre um domínio inteiro, como todos os usuários e estações de trabalho em um domínio do Microsoft Active Directory.
As contas privilegiadas de usuários corporativos oferecem aos usuários acesso elevado para fins não relacionados à TI, como a conta que um funcionário financeiro utiliza para acessar os fundos da empresa.
As contas de superusuário concedem privilégios irrestritos em um sistema específico. Nos sistemas Unix e Linux, as contas de superusuário são chamadas de contas “raiz”. No Microsoft Windows, elas são chamadas de contas de "administrador".
As contas de serviço permitem que aplicativos e fluxos de trabalho automatizados interajam com sistemas operacionais.
Contas de aplicativos permitem que os aplicativos interajam uns com os outros, façam chamadas para interfaces de programação de aplicativos (APIs) e executem outras funções importantes.
O gerenciamento de contas privilegiadas lida com todo o ciclo de vida dessas contas privilegiadas, incluindo:
Descoberta: registro de todas as contas privilegiadas existentes em uma rede.
Provisionamento: criação de novas contas privilegiadas e atribuição de permissões com base no princípio do privilégio mínimo.
Acesso: gerenciamento de quem pode acessar contas privilegiadas e como.
Descarte: retirar com segurança contas privilegiadas que não são mais necessárias.
Um dos principais objetivos do gerenciamento de contas privilegiadas é a redução do número de contas privilegiadas em um sistema e restringir o acesso a essas contas. O gerenciamento de credenciais é uma ferramenta fundamental para atingir esse objetivo.
Em vez de atribuir contas privilegiadas a usuários individuais, muitos sistemas PAM centralizam essas contas e armazenam suas credenciais em um cofre de senhas. O cofre armazena com segurança senhas, tokens, chaves Secure Shell (SSH) e outras credenciais em um formato criptografado.
Quando um usuário, humano ou não, precisa executar uma atividade privilegiada, deve verificar as credenciais da conta apropriada no cofre.
Por exemplo, digamos que um membro da equipe de TI precise fazer alterações em um laptop da empresa. Para fazer isso, ele precisa utilizar a conta de administrador local deste laptop. As credenciais da conta são armazenadas em um cofre de senhas, então o membro da equipe de TI começa solicitando a senha da conta.
O membro da equipe deve primeiro passar por um desafio de autenticação forte, como autenticação multifatorial (MFA), para provar sua identidade. Em seguida, o cofre utiliza controles de acesso baseados em função (RBAC) ou políticas semelhantes para determinar se esse usuário tem permissão para acessar as credenciais dessa conta.
Este membro da equipe de TI tem permissão para utilizar esta conta de administrador local, portanto o cofre de credenciais concede acesso. O membro da equipe de TI agora pode utilizar a conta de administrador local para fazer as alterações necessárias no notebook da empresa.
Para maior segurança, muitos cofres de credenciais não compartilham credenciais diretamente com os usuários. Em vez disso, utilizam o logon único (SSO) e o corretor de sessão para iniciar conexões seguras sem que o usuário veja a senha.
O acesso à conta do usuário normalmente expira após um determinado período ou após a conclusão da tarefa. Muitos cofres de credenciais podem rotacionar credenciais automaticamente em uma programação ou após cada uso, dificultando que agentes mal-intencionados roubem e usem indevidamente essas credenciais.
O PAM substitui os modelos de privilégios perpétuos, nos quais um usuário sempre tem o mesmo nível estático de permissões, por modelos de acesso just-in-time em que os usuários recebem privilégios elevados quando precisam realizar tarefas específicas. O gerenciamento de privilégios é como as organizações implementam esses modelos dinâmicos de acesso menos privilegiado.
Os cofres de credenciais são uma forma de as organizações eliminarem os privilégios perpétuos, pois os usuários podem acessar contas privilegiadas apenas por um tempo limitado e para fins limitados. Mas os cofres não são a única maneira de controlar os privilégios do usuário.
Alguns sistemas PAM utilizam um modelo chamado elevação de privilégio just-in-time (JIT). Em vez de fazer login em contas privilegiadas separadas, os usuários têm suas permissões temporariamente aumentadas quando precisam realizar atividades privilegiadas.
No modelo de elevação de privilégios do JIT, cada usuário tem uma conta padrão com permissões padrão. Quando um usuário precisa fazer algo que requer permissões elevadas, como um membro da equipe de TI que altera configurações importantes em um laptop da empresa, ele envia uma solicitação a uma ferramenta PAM. A solicitação pode incluir algum tipo de justificativa que descreva o que o usuário precisa fazer e por quê.
A ferramenta PAM avalia a solicitação em relação a um conjunto de regras predefinidas. Se esse usuário estiver autorizado a executar esta tarefa neste sistema, a ferramenta PAM elevará seus privilégios. Esses privilégios elevados são válidos apenas por um curto período e permitem que o usuário realize apenas as tarefas específicas de que precisa.
A maioria das organizações utiliza a elevação de privilégios e o cofre de credenciais para gerenciamento de privilégios. Alguns sistemas exigem contas privilegiadas dedicadas, como as contas administrativas padrão incorporadas em alguns dispositivos, e outros não.
O gerenciamento de sessões privilegiadas (PSM) é o aspecto do PAM que supervisiona atividades privilegiadas. Quando um usuário faz check-out de uma conta privilegiada ou um aplicativo tem seus privilégios elevados, as ferramentas PSM rastreiam o que eles fazem com esses privilégios.
As ferramentas PSM podem registrar atividades de sessão privilegiadas registrando eventos e pressionamentos de tecla. Algumas ferramentas PSM também fazem gravações de vídeo de sessões privilegiadas. Os registros PSM ajudam as organizações a detectar atividades suspeitas, atribuir atividades privilegiadas a usuários individuais e criar trilhas de auditoria para fins de conformidade.
O gerenciamento de identidade privilegiada (PIM) e o gerenciamento de usuários privilegiados (PUM) são subcampos sobrepostos do gerenciamento de acesso privilegiado. Os processos do PIM se concentram na atribuição e manutenção de privilégios para identidades individuais em um sistema. Os processos PUM se concentram na manutenção de contas de usuários privilegiados.
No entanto, as distinções entre PIM, PUM e outros aspectos do PAM não são universalmente aceitas. Alguns profissionais até utilizam os termos de forma intercambiável. Em última análise, o importante é que tudo caia sob o guarda-chuva do PAM. Diferentes organizações podem conceituar tarefas PAM de forma diferente, mas todas as estratégias PAM têm o objetivo de evitar o uso indevido de acesso privilegiado.
É ineficiente, e muitas vezes impossível, fazer manualmente as principais tarefas do PAM, como elevação de privilégios e rotações regulares de senha. A maioria das organizações utiliza soluções PAM para simplificar e automatizar grande parte do processo.
As ferramentas PAM podem ser instaladas no local como dispositivos de software ou hardware. Cada vez mais, eles são entregues como aplicativos de software como serviço (SaaS) baseados em nuvem.
A empresa de análise Gartner classifica as ferramentas PAM em quatro classes:
Ferramentas de gerenciamento de contas e sessões privilegiadas (PASM) controlam o gerenciamento do ciclo de vida de contas, gerenciamento de senhas, armazenamento de credenciais e monitoramento de sessões privilegiadas em tempo real.
As ferramentas de gerenciamento de elevação e delegação de privilégios (PEDM) permitem a elevação de privilégios just-in-time avaliando, aprovando e negando automaticamente solicitações de acesso privilegiado.
As ferramentas de gerenciamento de segredos se concentram na proteção de credenciais e no gerenciamento de privilégios para usuários não humanos, como aplicativos, cargas de trabalho e servidores.
As ferramentas de gerenciamento de direitos de infraestrutura de nuvem (CIEM) são projetadas para gerenciamento de identidade e acesso em ambientes de nuvem, onde usuários e atividades são mais difusos e exigem controles diferentes do que suas contrapartes locais.
Embora algumas ferramentas do PAM sejam soluções pontuais que abrangem uma classe de atividades, muitas organizações estão adotando plataformas abrangentes que combinam as funções de PASM, PEDM, gerenciamento de segredos e CIEM. Essas ferramentas também podem oferecer suporte a integrações com outras ferramentas de segurança, como o envio de registros de sessão privilegiados para uma solução de gerenciamento de eventos e informações de segurança (SIEM).
Algumas plataformas PAM abrangentes têm funções extras, como:
A capacidade de descobrir automaticamente contas privilegiadas desconhecidas anteriormente
A capacidade de impor MFA em usuários que solicitam acesso privilegiado
Acesso remoto seguro para atividades e usuários privilegiados
Recursos de gerenciamento de acesso privilegiado do fornecedor (VPAM) para parceiros e contratados terceirizados
Analistas preveem que as ferramentas de PAM, assim como outros controles de segurança, incorporarão cada vez mais IA e aprendizado de máquina (ML). De fato, algumas ferramentas PAM já utilizam IA e ML em sistemas de autenticação baseados em risco.
A autenticação baseada em risco avalia constantemente o comportamento do usuário, calcula o nível de risco desse comportamento e altera dinamicamente os requisitos de autenticação com base nesse risco. Por exemplo, um usuário que solicitar privilégios para configurar um único laptop pode precisar passar pela autenticação de dois fatores. Um usuário que queira alterar as configurações de todas as estações de trabalho de um domínio pode precisar apresentar ainda mais evidências para confirmar sua identidade.
A pesquisa da OMDIA2 prevê que as ferramentas PAM podem utilizar IA generativa para analisar solicitações de acesso, automatizar a elevação de privilégios, gerar e refinar políticas de acesso e detectar atividades suspeitas em registros de sessão privilegiada.
Embora as ferramentas e táticas PAM governem atividades privilegiadas em uma organização, elas também podem ajudar a lidar com desafios específicos de segurança de identidade e acesso.
- Redução da superfície de ataque de identidade
- Gerenciamento da expansão de identidade
- Conformidade regulamentar
- Gerenciamento de segredos de DevOps
Os cibercriminosos estão utilizando cada vez mais contas válidas para invadir redes. Ao mesmo tempo, muitas organizações estão sofrendo com o aumento de privilégios. Os usuários têm privilégios mais altos do que precisam e as contas com privilégios obsoletos não são desativadas corretamente.
Consequentemente, as identidades se tornaram os maiores riscos de muitas organizações. As ferramentas e táticas do PAM podem ajudar a corrigir essas vulnerabilidades.
Os cofres de credenciais dificultam o roubo de contas privilegiadas, e as ferramentas PEDM reforçam o acesso granular menos privilegiado que restringe a movimentação lateral. As organizações podem utilizar essas e outras soluções de PAM para substituírem privilégios permanentes por um modelo de confiança zero onde os usuários devem ser autenticados e autorizados em cada conexão e atividade. Esse modelo pode ajudar a reduzir a superfície de ataque de identidade e limitar as oportunidades dos hackers.
A transformação digital gerou uma explosão de identidades privilegiadas nas redes corporativas, o que representa um desafio considerável para a segurança das informações.
O departamento de negócios médio utiliza 87 aplicativos SaaS diferentes3, para não falar dos vários dispositivos IoT, serviços de infraestrutura em nuvem e usuários remotos com dispositivos BYOD que agora preenchem as redes corporativas. Muitos desses ativos e usuários precisam de contas privilegiadas para interagir com os recursos de TI.
E à medida que mais organizações incorporam a IA generativa em suas operações, esses novos aplicativos e integrações de IA trazem mais um conjunto de identidades privilegiadas para o cenário.
Muitas dessas identidades privilegiadas pertencem a usuários não humanos, como aplicativos de IA e dispositivos IoT. Atualmente, os não humanos superam os usuários humanos em muitas redes e são notoriamente ruins em manter suas credenciais em segredo. Por exemplo, alguns aplicativos despejam suas credenciais em texto sem formatação para logs do sistema e relatórios de erros.
O PAM pode ajudar as organizações a gerenciar a expansão de identidades ao armazenar credenciais privilegiadas para usuários humanos e não humanos e controlar centralmente o acesso a elas. A rotação automática de credenciais pode limitar o dano de qualquer credencial que vaze e as ferramentas de monitoramento de sessão ajudam a rastrear o que todos esses usuários diferentes fazem com seus privilégios.
Os regulamentos de privacidade e segurança de dados, como a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), o Padrão de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS) e o Regulamento Geral de Proteção de Dados (GDPR) exigem que as organizações controlem o acesso a informações de saúde, números de cartão de crédito e outros dados confidenciais.
O PAM pode ajudar as organizações a atender aos requisitos de conformidade de algumas maneiras. As ferramentas PAM podem aplicar privilégios de acesso granular para que apenas os usuários necessários possam acessar dados confidenciais e somente por motivos autorizados.
Os cofres de credenciais e a elevação de privilégios eliminam a necessidade de contas de administrador compartilhadas, o que pode resultar no acesso de usuários não autorizados a dados confidenciais.
O monitoramento de sessões privilegiadas ajuda as organizações a atribuir atividades e produzir trilhas de auditoria para comprovar a conformidade no caso de uma violação ou investigação.
Gerenciar credenciais privilegiadas, muitas vezes chamadas de "segredos" em ambientes DevOps, pode ser particularmente difícil para equipes de DevOps.
A metodologia DevOps utiliza intensamente serviços de nuvem e processos automatizados, o que significa que há muitos usuários humanos e não humanos privilegiados espalhados por muitas partes diferentes da rede.
Não é incomum que chaves SSH, senhas, chaves de API e outros segredos sejam codificados em aplicativos ou armazenados como texto simples em sistemas de controle de versão e em outros lugares. Isso facilita a obtenção de credenciais pelos usuários quando precisam delas, para que os fluxos de trabalho não sejam interrompidos, mas também facilita o roubo dessas credenciais por agentes mal-intencionados.
As ferramentas do PAM podem ajudar armazenando segredos de DevOps em um cofre centralizado. Somente usuários e cargas de trabalho legítimos podem acessar os segredos e apenas por motivos legítimos. Os cofres podem alternar segredos automaticamente para que as credenciais roubadas se tornem rapidamente inúteis.
Proteja e gerencie as identidades dos clientes, da força de trabalho e privilegiadas em toda a nuvem híbrida, com integração com a IA.
Proteja seus usuários e aplicativos, dentro e fora da empresa, com uma abordagem de software como serviço (SaaS) nativa da nuvem, de baixo atrito e que utiliza a nuvem.
Saiba mais sobre um gerenciamento de identidade e acesso abrangente, seguro e compatível para a empresa moderna.
Prepare-se para violações conhecendo suas causas e os fatores que aumentam ou diminuem seus custos.
Conheça as táticas comuns dos invasores para proteger melhor seu pessoal, dados e infraestrutura.
Leia sobre orquestração de identidade e coordenação de sistemas díspares de gerenciamento de acesso e identidade (IAM) em fluxos de trabalho sem atrito.
Notas de rodapé
Todos os links ficam fora do site ibm.com.
1 CIS Critical Security Controls, Center for Internet Security, junho de 2024.
2 Generative AI Trends in Identity, Authentication and Access (IAA), Omdia, 15 de março de 2024.
3 2023 State of SaaS Trends, Productiv, 21 de junho de 2023.