Privileged Access Management
No conteúdo anterior, fizemos uma breve introdução ao mundo IAM, bem como vimos sua importância dentro da estratégia de S.I.
Agora, vamos começar de fato a nos aprofundar mais nos tópicos, pertencentes à disciplina de IAM.
O assunto da vez é o PAM= Privileged Access Management. O PAM, é a solução de segurança que tem como objetivo, garantir a proteção e o gerenciamento de acessos das contas que possuem algum tipo de privilégio dentro de um Sistema.
Antes de seguirmos adiante, precisamos entender que uma identidade dentro de um sistema pode ou não ser humana. Isso porque, quando falamos de aplicativos, contas de serviço, dispositivos IoTs e APIs Key por exemplo, também estamos falando de identidades digitais, mesmo que não envolvam necessariamente um ser humano por trás, através de utilização direta.
No entanto, sendo ou não uma identidade humana, a proteção e gerenciamento é importante para ambos os casos. Afinal, um ataque não visa somente obter acesso. Claro, obter acesso é o ponto de partida, mas do que adianta obter um acesso com poucas ou nenhuma permissão?!
A partir da obtenção de acesso, o invasor pode tentar uma movimentação lateral ou escalonamento de privilégios. O escalonamento de privilégios consiste em ganhar acesso privilegiado a partir de um usuário sem os devidos privilégios.
Quais são os tipos de contas privilegiadas?
Alguns exemplos de contas privilegiadas que podemos citar são:
-Administradores do domínio -Contas de serviço
-Administradores locais -Administradores de aplicativos
– Contas de emergências (disaster recovery)
Qual a importância do PAM?
Desde usuários privilegiados que fazem uso abusivo de seu nível de acesso à ataques externos visando a obtenção de privilégios, através do roubo de credenciais e/ou impersonation, os fator humano será sempre o elo mais fraco na cadeia de segurança cibernética. O gerenciamento de acesso privilegiado (PAM) auxilia as organizações a implementarem e manterem o princípio do menor privilégio: Onde os usuários tenham apenas os níveis de acesso necessários para realizar seus trabalhos. O PAM, também permite que as equipes de segurança identifiquem atividades maliciosas ligadas ao abuso de privilégios e tomem medidas rápidas para remediar o risco, através do monitoramento das identidades.
Além da proteção, o PAM também é um aliado fundamental, nos processos de conformidade regulatória. A capacidade de monitoramento e detecção de atividades suspeitas dentro de um ambiente é muito importante e ajuda na orientação dos pontos focais, onde temos uma representação de risco mais elevada, apoiando diretamente na estratégia de Gerenciamento de Riscos e Compliance, ajudando a definir os requisitos mínimos de auditoria e conformidade. Com uma boa estratégia e implementação do PAM, podemos obter a mitigação dos riscos, redução da superfície de ataque e diminuição de custos operacionais além de garantir uma visão e rastreamento mais amplos, acerca das atividades no ambiente. Devemos sempre nos orientar com os 5Ws e 1H:
-Quem acessa? (who)
-Quando acessa? (when)
– O quê acessa? (what)
– Onde acessa? (where)
-Por quê acessa? (why)
-Como acessa? (how)
Algumas boas práticas na implementação do PAM
- Multifator de autenticação: Utilize hard token ou aplicativo authenticator. Sabemos que o uso de token via SMS ou e-mail não é o mais indicado nesse caso. O ideal é utilizar uma opção que colete dados biométricos.
- Segregar a conta de usuário comum da conta privilegiada: Um usuário não deve utilizar uma única conta para suas tarefas rotineiras e suas atividades que exigem privilégio. Faça a segregação das contas, utilizando uma conta de serviço para que o usuário acesse os recursos que exigem privilégio e deixando a conta de usuário comum para tarefas que não exigem. Um usuário não precisa de uma conta privilegiada para trocar e-mails né?
- Acesso Just In Time, evitando o acesso privilegiado perpétuo. Sabemos que com o tempo é comum que um administrador hora administrava um recurso, passe a administrar outros recursos e não necessitar mais do acesso que fora lhe concedido inicialmente. Por isso a ideia do acesso Just In Time pode ser uma grande aliada, fornecendo o acesso necessário, no momento necessário e com os privilégios necessários e pelo tempo necessário.
- RBAC ou ABAC, controle de acessos baseado em função, ou atributos. Não só no PAM, mas em toda estratégia dentro do escopo de IAM o RBAC é uma ótima estratégia para implementação do privilégio mínimo, reduzindo o risco de acesso indevido ou acessos não necessários para o desempenho das atividades de determinado usuário. Adotando esse modelo, o usuário terá acesso somente ao necessário de acordo com o desenvolvimento das suas atividade no ambiente. Sendo assim um administrador de redes por exemplo, não terá os mesmos privilégios que um administrador de acessos, e vice-versa, cada um terá o privilégio compatível com a atividade que realiza.
Devemos pensar no PAM não como uma ferramenta de segurança, mas como uma estratégia que envolver Pessoas, Processos e Tecnologias. E claro, para termos uma boa implementação e estratégia de PAM, devemos tê-las também no IAM.
Vamos finalizar por aqui! Me siga no insta @manadeinfosec e veja outros conteúdos. Espero que tenha conseguido entender melhor sobre o que é PAM e qual sua importância na estratégia de S.I. (Segurança da Informação).
Até o próximo conteúdo!