Recentemente, durante a Cyber Monday, varejistas on-line e bancos de diversos países se prepararam para a probabilidade de aumento de violações de dados e ameaças de segurança, enquanto os compradores on-line tomavam precauções extras para proteger as suas informações pessoais. Todos os dias, os norte-americanos confiam que os sistemas de TI das empresas e governos que lidam com as suas informações críticas de identidade, como números de cartão de crédito, números de previdência social e declarações de impostos estão equipados com medidas de segurança adequadas para manter seus dados pessoais seguros.
O aumento da conscientização sobre potenciais riscos de segurança é um passo essencial para evitar ataques maliciosos. Às vezes, no entanto, entidades públicas e privadas também devem reconhecer que a exposição é ainda mais arriscada quando o privilégio administrativo é explorado, independentemente por ameaças externas e internas até. A Quest Software (agora parte da Dell) tem uma compreensão profunda dos problemas que as organizações enfrentam quando não controlam e auditam adequadamente o acesso administrativo e contas de "superusuário".
De acordo com uma pesquisa realizada no início deste ano, na The Experts Conference, um encontro anual global de profissionais de TI copatrocinado pela Quest e pela Microsoft, metade das organizações entrevistadas relatou que a sua primeira questão de conformidade é assegurar os direitos de acesso de usuário corretos (incluindo o acesso de usuário privilegiado).
No caso da gestão de contas privilegiadas, este desafio se intensifica quando os administradores recebem as "chaves do reino", com direitos de acesso anônimo compartilhados de grande abrangência para sistemas vitais de TI.
No setor privado, a falha na gestão do acesso às informações e na conformidade com obrigações de segurança pode significar perda de receita, auditorias fracassadas e danos à marca.
No governo, a gestão dos direitos de acesso do usuário representa um jogo de apostas altas no qual adiantar-se às ameaças emergentes é uma questão de segurança nacional.
Neste ponto, a Gestão de Conta Privilegiada é destacada em muitas normas de segurança, incluindo a ISO 27001 e a NIST 800-53. Um novo relatório desenvolvido pela Enterprise Management Associates, em nome da Quest, identifica controles de acesso administrativos inadequados como "uma das mais flagrantes brechas de risco de TI em muitas organizações."
O relatório, “Why You Need to Consider Privileged Access Management (And What You May Not Know About It That You Should)" (Por que você precisa levar a Gestão de Acesso Privilegiado em consideração [e o que você talvez não saiba, mas deveria]), analisa algumas das desculpas mais comuns que as empresas dão para justificar esta omissão e oferece recomendações úteis sobre como as práticas modernas de Gestão de Contas Privilegiada (PAM, na sigla em inglês) e as soluções de tecnologia correspondentes podem fechar a brecha de risco com controle de política flexível, fluxos de trabalho automatizados e relatórios abrangentes para aumentar a segurança, atingir a conformidade e melhorar a eficiência.
Para ajudar ainda mais a alta gerência a evitar todos estes riscos comuns de segurança, a Quest oferece três dicas pragmáticas:
1. Atribuir responsabilidade individual à atividade do superusuário
Acesso administrativo compartilhado e não gerenciado é mais do que apenas uma ideia ruim, é uma das maneiras mais rápidas e fáceis de expor a organização a riscos desnecessários, especialmente porque essas contas de superusuário normalmente têm amplo poder sobre sistemas operacionais de TI, aplicações, bancos de dados, etc. Com contas compartilhadas, qualquer violação de segurança ou de conformidade pode ser rastreada somente até a conta, e não até um administrador individual que use essa conta.
Uma abordagem muito melhor para contenção de riscos envolve a concessão de direitos de acesso de administrador somente para quem precisa deles, na medida em que precisam. As credenciais devem ser emitidas apenas de acordo com a necessidade, acompanhadas por um rastreamento completo de auditoria de quem as usou, quem aprovou o uso, o que foi feito com elas, e também como e por que as receberam – e a senha deve ser imediatamente alterada assim que a utilização seja concluída. A capacidade de automatizar e garantir todo este processo é uma maneira eficaz de gerenciar o acesso administrativo em toda a organização. Da mesma forma, o PAM é essencial para permitir os órgãos federais, estaduais e locais trabalhem em conjunto, e pode permitir ou interromper o compartilhamento de informações e colaboração em nível governamental.
2. Implantar e aplicar uma postura de segurança de "privilégio mínimo" para o acesso administrativo
Muitas contas administrativas, incluindo as de administrador de raiz Unix, Windows ou Active Directory, DBA, fornecem permissões ilimitadas no seu âmbito de controle, e, quando partilhadas, abrem a porta para atividades maliciosas. Por exemplo, a brecha de segurança amplamente divulgada na Fannie Mae envolveu um empregado que usou esse tipo de acesso de superusuário para maliciosamente plantar uma bomba lógica que, se não tivesse sido descoberta, teria incapacitado toda a organização e comprometido as informações pessoais e financeiras de aproximadamente 1.100 pessoas.
Uma abordagem mais prudente é estabelecer uma política que defina claramente o que cada administrador (ou função de administrador) pode e não pode fazer com o seu acesso. Como este processo pode ser complicado e, muitas vezes, de difícil aplicação em diversos sistemas, a Quest recomenda a adição de ferramentas de delegação granular, que são otimizadas para as plataformas designadas, e integradas com outras tecnologias PAM, como “privilege safe”, autenticação multiestágios ou ponte do Active Directory.
3. Reduzir a complexidade da gestão de conta privilegiada
Um dos desafios globais do PAM provém da navegação de diversos sistemas de TI, cada um com suas próprias capacidades e requisitos específicos para a gestão de conta privilegiada. Isto muitas vezes resulta na utilização de ferramentas especializadas, junto com políticas e práticas ad-hoc para controlar o acesso à conta privilegiada. Infelizmente, essa abordagem frequentemente complica o processo de auditoria, dificultando a comprovação de que todo o acesso está controlado e de que os princípios de separação de deveres estão estabelecidos e cumpridos.
Por esse motivo, a consolidação de sistemas distintos em uma estrutura comum de identidade cria um ambiente em que uma abordagem PAM única pode ser facilmente executada com uma maior confiabilidade por meio de uma porção maior de uma organização, eliminando os erros decorrentes da complexidade do sistema múltiplo, reduzindo o risco e diminuindo a despesa de gestão desses sistemas múltiplos. Além disso, qualquer consolidação de capacidades PAM sob uma gestão e interface de relatório comuns proporciona maior eficiência.
O relatório EMA referido acima indica que as organizações focadas em alcançar um alto nível de disciplina na configuração e modificação de gestão tendem a ter melhores resultados, não só em menor incidência de eventos de quebra de segurança, mas em melhor confiabilidade de TI, menos trabalho não planejado de TI, mais modificações bem-sucedidas de TI, maiores Índices de número de servidores por administrador e mais projetos de TI concluídos no prazo e dentro do orçamento.
Quest® One Identity Solutions centraliza e simplifica a gestão de conta privilegiada
A Quest Software oferece uma abordagem modular, embora integrada, para a gestão identidade e acesso, especificamente, a gestão de conta privilegiada que controla as ameaças internas e melhora a eficiência de TI, pois permite que as organizações eliminem os perigos do acesso não verificado de superusuário, as conclusões adversas de auditoria, as punições diretas e a exposição negativa da imprensa.
Para Jackson Shaw, diretor sênior de gestão de produtos da Quest Software, "A gestão de conta privilegiada será uma das áreas de mais rápido crescimento de IAM ao longo dos próximos anos, por boas razões. A maioria das recentes violações de alto perfil de segurança, incluindo o ataque UBS Paine Webber e a violação da cidade de San Francisco, ocorreram devido à falta de controle sobre as contas privilegiadas. Além do mais, essas violações não discriminam; eles podem causar danos igualmente apavorantes para qualquer organização, não importa o quanto seja grande ou pequena. É hora de as empresas perceberem o risco de grave segurança que as práticas PAM inadequadas implicam e procurarem uma solução abrangente condizente com a tarefa. A Quest One oferece um conjunto completo de recursos de PAM, provendo controles abrangentes em uma arquitetura flexível e modular."
"Controles fracos sobre o acesso administrativo produzem dano real. As capacidades PAM podem ajudar a reduzir esses riscos e a melhorar os controles, por meio de técnicas como as tecnologias de ‘privilege safe’ (cofre de privilégios) que oferecem uma abordagem mais disciplinada para o controle que respalde a governança de TI responsável. A Quest ajuda a TI a melhorar o seu desempenho e a reduzir os custos de suporte, fechando uma das brechas mais prontamente gerenciáveis de todas: a fraqueza exposta quando os indivíduos têm acesso administrativo amplo, anônimo e sem monitoramento para as capacidades mais críticas em TI., diz Scott Crawford, Enterprise Management Associates (EMA), usuário do sistema.