Complexidade do Gerenciamento de identidade

Complexidade do Gerenciamento de identidade.  O gerenciamento de identidade para segurança cibernética é inerentemente um problema gráfico complexo devido à natureza vasta, dinâmica e interconectada dos ambientes de TI modernos.
O gerenciamento de identidade para segurança cibernética evoluiu para um problema de gráfico complexo, ressoando profundamente com engenheiros que entendem as complexidades de sistemas de larga escala. Essa complexidade decorre da natureza vasta e interconectada dos ambientes de TI modernos, onde cada usuário, dispositivo, aplicativo e serviço forma um nó, com arestas denotando relacionamentos como permissões, funções e direitos de acesso.

A escala e a complexidade dos ambientes de TI modernos 

As empresas modernas estão adotando cada vez mais serviços de nuvem, arquiteturas de microsserviços e forças de trabalho móveis, aumentando exponencialmente o número de nós e arestas no gráfico de gerenciamento de identidade. Uma empresa típica pode ter:

• Milhares de usuários: funcionários, contratados, parceiros e clientes, cada um com necessidades de acesso exclusivas
• Centenas de aplicativos: tanto no local quanto na nuvem, cada um com diferentes requisitos de segurança
• Vários dispositivos: desktops, laptops, dispositivos móveis e dispositivos IoT, cada um exigindo acesso seguro

Cada entidade (usuário, aplicativo, dispositivo) é um nó, e cada permissão de acesso ou relacionamento é uma aresta. Por exemplo, em uma empresa com 10.000 funcionários, cada um com acesso a 50 aplicativos, há pelo menos 500.000 arestas. Este cenário simples não considera funções, grupos e permissões aninhadas, o que complica ainda mais o gráfico.

A natureza dinâmica da gestão de Identidade 

Os nós e arestas neste gráfico não são estáticos. Eles evoluem conforme os usuários mudam de função, novos aplicativos são implantados e as políticas de segurança são atualizadas. Essa natureza dinâmica requer monitoramento contínuo e atualizações em tempo real do gráfico.

• Alterações de função: Os usuários frequentemente alteram as funções dentro de uma organização, necessitando de atualizações em suas permissões. Essas alterações devem ser refletidas imediatamente para impedir acesso não autorizado ou conceder o acesso necessário.
• Novos aplicativos: A adição de novos aplicativos ou serviços introduz novos nós e arestas, que devem ser integrados ao gráfico existente, mantendo as políticas de segurança.
• Atualizações de política: as políticas de segurança evoluem em resposta a novas ameaças ou requisitos regulatórios. Essas atualizações devem ser propagadas por todo o gráfico, garantindo a conformidade sem interromper o acesso legítimo.

Desafios Técnicos da Gestão do Gráfico 

Dada a escala e a natureza dinâmica do gráfico, surgem vários desafios técnicos:

1. Armazenamento e processamento de gráficos

Bancos de dados relacionais tradicionais são inadequados para lidar com dados complexos e interconectados de gráficos de gerenciamento de identidade. Em vez disso, bancos de dados de gráficos como Neo4j ou Amazon Neptune são usados. Esses bancos de dados são projetados para armazenar e processar dados de gráficos de forma eficiente, suportando consultas complexas e atualizações em tempo real.  

2. Algoritmos de travessia de grafos

Encontrar vulnerabilidades e configurações incorretas requer percorrer o gráfico para analisar relacionamentos e permissões. Isso envolve:

• • Busca em largura (BFS): Útil para explorar todos os nós na profundidade atual antes de passar para os nós no próximo nível de profundidade. A BFS pode ajudar a identificar todas as contas ou permissões que derivam de um nó específico (por exemplo, uma função específica).  
  • Busca em profundidade (DFS): Útil para explorar o máximo possível ao longo de cada ramificação antes de retroceder. O DFS pode ajudar a identificar permissões ou funções profundas e aninhadas que podem levar a vulnerabilidades de escalonamento de privilégios.
  • Algoritmos de caminho mais curto: Algoritmos como Dijkstra ou A* podem identificar o caminho mais curto entre nós. Isso é útil para entender como um usuário pode atravessar o gráfico para escalar privilégios ou alcançar dados sensíveis.

3. Análise em tempo real

Com as mudanças contínuas nos direitos de acesso e a introdução de novos nós e arestas, a análise em tempo real é crucial. Frameworks de processamento de fluxo, como Apache Kafka com bibliotecas de processamento de gráfico, podem fornecer atualizações em tempo real e detecção de anomalias.

Identificando vulnerabilidades e configurações erradas 

Detectar vulnerabilidades e configurações incorretas neste gráfico requer técnicas avançadas.
Funções que concedem mais permissões do que o necessário são uma vulnerabilidade comum. Isso requer percorrer o gráfico para identificar nós (usuários) conectados a um número excessivo de arestas de alto privilégio (permissões). Algoritmos de aprendizado de máquina podem ajudar identificando padrões que se desviam dos mapeamentos normais de função-permissão.
Contas que não têm mais um usuário associado (por exemplo, contas de ex-funcionários) também representam um risco significativo. Detectar isso envolve encontrar nós sem conexões de usuário ativas. Auditorias regulares usando consultas de travessia de gráfico podem identificar e sinalizar esses nós órfãos para correção.
Usuários com permissões conflitantes podem violar políticas de segurança. Por exemplo, um usuário pode ter permissões que permitem criar e aprovar transações financeiras, o que é uma violação de segregação de funções (SoD). Identificar esses conflitos requer consultar o gráfico para encontrar nós com arestas representando permissões mutuamente exclusivas.

As políticas de segurança definem relacionamentos permitidos entre nós. Os mecanismos de política podem ser integrados ao banco de dados de gráficos para validar continuamente o gráfico em relação a essas políticas. Quaisquer desvios disparam alertas para investigação imediata.

Monitoramento contínuo e detecção de anomalias

Para manter um sistema de gerenciamento de identidade seguro, monitoramento contínuo e detecção de anomalias são essenciais. Isso envolve:

1. Algoritmos de detecção de anomalias

Use algoritmos de machine learning para detectar padrões incomuns no gráfico, como aumentos repentinos em permissões de acesso ou comportamento atípico do usuário. Algoritmos de detecção de anomalias baseados em gráfico, como node2vec, podem aprender a estrutura normal do gráfico e identificar desvios.

2. Alertas em tempo real

Implemente mecanismos de alerta em tempo real que notifiquem os administradores sobre potenciais problemas de segurança. A integração com sistemas de gerenciamento de informações e eventos de segurança (SIEM) pode fornecer uma visão abrangente do cenário de segurança.

3. Remediação automatizada

Automatize respostas a certos tipos de anomalias, como revogar permissões excessivas ou desabilitar contas órfãs. Isso pode ajudar a manter a segurança sem exigir intervenção humana constante.

O gerenciamento de identidade para segurança cibernética é inerentemente um problema de gráfico complexo devido à natureza vasta, dinâmica e interconectada dos ambientes de TI modernos. A solução para esse problema deve alavancar bancos de dados de gráficos avançados, algoritmos de travessia e técnicas de análise em tempo real para gerenciar e proteger esse gráfico complexo. Ao fazer isso, você pode identificar vulnerabilidades, aplicar políticas de segurança e garantir a conformidade, protegendo, em última análise, sua organização de potenciais ameaças à segurança.
Por:  NIMISH GUPTA primeiramente publicado em FastCompany