Excesso de privilégios de acesso na contramão da segurança. Por Pedro Eurico Rego da Tenable Brasil
6 de maio de 2024Numa era em que as empresas dependem cada vez mais dos serviços na nuvem para impulsionar a inovação e escalar suas operações, a importância de uma segurança robusta não pode ser subestimada.
Por Pedro Eurico Rego, Engenheiro de Segurança da Tenable Brasil
Um dos desafios na segurança na nuvem é o de acompanhar as identidades (privilégios associados a recursos) e as permissões em vários ambientes a fim de garantir que não existam excessos – e por sua vez, descuidos quanto à segurança.
O excesso de privilégios concede a indivíduos níveis elevados de controle sobre a nuvem e seus recursos. Isso inclui a possibilidade de modificar configurações de infraestrutura, acessar dados confidenciais ou mesmo implementar novas aplicações.
Embora essas permissões sejam essenciais para tarefas como administração de sistemas, desenvolvimento de software e solução de problemas, elas também representam riscos de segurança significativos se não forem gerenciadas adequadamente.
A gestão de identidade e acesso são componentes críticos de uma estratégia abrangente de segurança cibernética. Ao passo que empresas continuam a digitalizar as suas operações é preciso facilitar o gerenciamento e a visibilidade na nuvem.
Para manter a conformidade com muitos desses regulamentos, as organizações devem ter políticas fortes que abrangem contas privilegiadas, como processos que englobem o provisionamento/revogação, alterar senhas padrão de fornecedores, monitorar localização geográfica, horário de acesso e auditar o uso, entre muitos outros itens de segurança e requisitos de controle.
O controle de usuários na nuvem pode ser automatizado e feito por softwares de gestão, responsáveis por monitorar a rede e gerar logs para que seja possível fazer a identificação de uma falha por meio de identidade, credenciais ou mesmo pelo histórico de edição de arquivos.
Nesse sentido, o privilégio de acesso deve ser controlado e monitorado pelo gestor responsável do sistema. Pois, se houver uso inadequado da credencial, poderão ser abertas brechas de segurança, sendo esta forma uma boa parcela das violações atuais de dados.
A segurança relacionada ao controle de identidade é ainda mais desafiadora no ambiente de nuvem híbrida – onde os controles precisam ser configurados adequadamente devido à descentralização deste ambiente e diversidade de ferramentas.
É preciso garantir os controles de acesso e deve-se manter diferentes formas de autenticação como a multifator, por exemplo. O gerenciamento de identidade e acesso pode não ser tarefa fácil, pois como os dados podem ser acessados por meio de data centers e ambientes na nuvem, eles devem ser criptografados a fim de garantir que apenas os usuários e aplicações válidos possam ter acesso e usá-los. Nesse sentido, é importante implementar o modelo de segurança Zero Trust o qual controla todas as solicitações de acesso a recursos, sejam de dentro ou de fora da rede, as quais devem ser checadas, autenticadas e analisadas à cada solicitação.
Segundo pesquisa da Forrester Consulting, encomendada pela Tenable, sobre segurança na nuvem, no Brasil, 78% dos tomadores de decisão afirmam que suas nuvens, especialmente instâncias públicas e híbridas, são a maior área de risco de exposição. Ainda na mesma pesquisa, o mesmo percentual (78% dos entrevistados) afirmou que “configurações incorretas nas ferramentas que minha organização usa para gerenciar acesso e privilégios dos usuários” figuram entre as maiores áreas de risco de exposição na nuvem.
Para complicar ainda mais a situação, a responsabilidade pela supervisão dos sistemas de gerenciamento de identidade e acesso precisa ser um trabalho em equipe, envolvendo profissionais de operações de TI e segurança, risco, conformidade e governança. De acordo com a mesma pesquisa, 64% dos entrevistados têm três ou mais sistemas de gerenciamento de identidade e acesso, e pode haver cinco tipos diferentes de equipes envolvidas no gerenciamento desses sistemas.
É importante frisar que a gestão de identidade e acesso não é utilizada apenas por funcionários, mas engloba contratados, parceiros de negócios, usuários móveis e remotos e até mesmo clientes. Ainda, as identidades podem incluir dispositivos de Internet das Coisas (IoT), robôs e partes de código, como APIs ou microsserviços.
Com tantos desafios é possível pedir ajuda à IA. Ela é capaz de facilitar o gerenciamento de acesso e identidade por meio de análise de comportamento do usuário e de identidade e ainda por possibilitar que as organizações adotem um modelo granular e customizado de autenticação e gestão de acesso. A análise de comportamento da IA pode identificar como logins maliciosos atuam como exemplo várias tentativas de login num prazo curto; localizações desconhecidas; dispositivos não reconhecidos etc. A IA consegue mostrar esses sinais maliciosos e provocar uma investigação em tempo real.
Sobre Tenable
Tenable® é a empresa de Exposure Management. Aproximadamente 40.000 organizações em todo o mundo confiam na Tenable para compreender e reduzir o risco cibernético. Como criadora do Nessus®, a Tenable ampliou sua experiência em vulnerabilidades para fornecer a primeira plataforma do mundo para ver e proteger qualquer ativo digital em qualquer plataforma de computação. Os clientes da Tenable incluem aproximadamente 60% das empresas Fortune 500, aproximadamente 40% das empresas Global 2000 e grandes agências governamentais. Saiba mais em tenable.com.
Tenable e Siemens Energy ampliam colaboração em segurança cibernética de OT – Tecnologia Operacional
Acompanhe o melhor conteúdo sobre Inteligência Artificial publicado no Brasil.
Acompanhe o Crypto ID para conhecer as melhores soluções sobre e CIAM – Gerenciamento de Acesso à Identidade do Cliente, IAM – Gerenciamento de Identidade e Acesso, IGA – Administração de Governança de Identidade, PAM – Gerenciamento de Acesso de Privilégios, Proteção De Dados e Governança e RPA – Automação Robótica de Processos. Acesse nossa coluna sobre Identidade e Acesso aqui!I
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.