PAM ou Gerenciadores de Senhas? Qual a diferença?

PAM ou Gerenciadores de Senhas? Qual a diferença? Muitos profissionais de TI não compreendem a diferença.

Se você precisa de ajuda para lembrar todas as suas senhas ou para controlar o uso de senhas privilegiadas na sua empresa, este artigo é para você.

Existem no mercado dois tipos de soluções que podem ser utilizadas a nível pessoal e empresarial: Gerenciador de Senhas e PAM (Privileged Access Management). As duas soluções possuem aplicações e usos bastante distintos. Enquanto as soluções de Gerenciadores de Senhas possam encontradas em versões gratuitas ou pagas, são mais indicados para uso pessoal/familiar, embora muitas empresas as usem, as soluções de PAM são destinadas ao uso empresarial e as versões gratuitas disponíveis são limitadas apenas destinadas a uma espécie de “degustação”, testes ou validações de funcionalidade, assim se sua empresa necessita deste tipo de solução você deverá considerar um investimento na aquisição e implantação da solução.

Abaixo vamos ver algumas considerações e diferenças entre estas soluções. Fizemos aqui um resumo de forma a orientar nosso leitor para que ele possa saber por onde começar e analisar estas soluções.

O que é um gerenciador de senhas?

Um gerenciador de senhas é um aplicativo em seu telefone, tablet ou computador que armazena suas senhas com segurança, para que você não precise se lembrar de todas. Alguns gerenciadores de senhas podem sincronizar suas senhas em diferentes dispositivos, tornando mais fácil o logon, onde quer que você esteja. Alguns também podem criar senhas aleatórias e exclusivas para você, quando você precisar criar uma nova senha (ou alterar uma existente).

O que é um PAM ?

O Gerenciamento de Acesso Privilegiado (PAM — Privileged Access Management) é formado por um conjunto de estratégias e tecnologias de segurança cibernética para exercer controle sobre o acesso privilegiado e permissões para usuários, contas, processos e sistemas em um ambiente tecnológico.
O PAM é uma solução ideal para prevenção e mitigação de danos decorrentes de ataques externos, bem como de descuido de colaboradores internos e outras ameaças internas contra credenciais privilegiadas, especificamente.
Embora o PAM englobe muitas estratégias, o objetivo central da solução é a aplicação do conceito de menor privilégio, que diz respeito à restrição de direitos de acesso e permissões para usuários, contas, aplicativos, sistemas, dispositivos e processos de computação ao mínimo absoluto acesso para executar atividades de suas rotinas.
Embora as soluções de PAM sejam mais utilizadas para gerenciamento de senhas de sistemas operacionais, equipamentos servidores, de rede ou de endpoints em geral, é importante notar que as soluções de PAM podem ser utilizadas para gerenciar senhas de banco de dados, aplicativos internos, online ou redes sociais e até mesmo para gerenciar senhas internas de aplicações, eliminando a necessidade de colocá-las diretamente dentro dos códigos – “hard coded“. Em última instância, algumas soluções permitem inclusive controlar comandos que são dados a partir de uma conta privilegiada, por exemplo controlar o uso de um usuário root evitando que seja dado um comando “shutdown“.

Por que eu iria querer um gerenciador de senhas ou um PAM?

Reutilizar a mesma senha em contas diferentes pode ser perigoso. Um cibercriminoso pode roubar uma de suas senhas e usá-la para tentar acessar outras contas. Isso significa que eles podem invadir rapidamente várias de suas contas, apesar de saberem apenas uma senha.
Sabemos que devemos criar uma senha exclusiva e difícil de adivinhar para todas as nossas contas online, para evitar que tal cenário aconteça. No entanto, o NCSC reconhece que é praticamente impossível fazer sem ajuda . Os gerenciadores de senha fornecem essa ajuda. Eles foram projetados para tornar o uso e a geração de senhas mais fácil e seguro. Muitos também podem inserir automaticamente a senha apropriada em sites e aplicativos em seu nome, de forma que você nem mesmo precise digitá-la sempre que fizer login.
No caso de senhas com privilégios e administrativas que devem ser utilizadas por mais de uma pessoa, é muito importante a guarda adequada, o controle de aprovação de uso e a identificação da pessoa que a utilizou e o que fez. Para isto, é necessário uma solução de PAM, pois os gerenciadores de senhas não fornecem estas funcionalidades.

Que tipos de gerenciador de senhas e PAM estão disponíveis?

Você pode já estar usando um gerenciador de senhas sem saber. Muitos são integrados ao navegador da Internet (como Google Chrome, Microsoft Edge ou Firefox) ou fazem parte do sistema operacional do smartphone ou tablet. Você deve ter notado que, ao entrar em uma conta, uma caixa aparece perguntando se você deseja que o navegador (ou dispositivo) lembre sua senha. Se você não estiver compartilhando o dispositivo com mais ninguém, você poderia usar esta funcionalidade para armazenar suas senhas, mas em ambiente corporativos esta é uma decisão importante se considerar que os sistemas operacionais e browser também possuem vulnerabilidade que permitem atacantes explorar esta funcionalidade para obter senhas de usuários.
Aplicativos independentes de gerenciamento de senhas também estão disponíveis para download, muitos dos quais podem ser instalados em diferentes tipos de dispositivo e com recursos extras, como a capacidade de criar boas senhas para você. Vale a pena encontrar análises online dos gerenciadores de senhas que você está considerando e decidir sobre os recursos de que precisa (e o suporte que o fornecedor oferece) antes de escolher o certo para você .
Existem vários fabricantes de soluções de PAM, cada um com a sua peculiaridade, facilidade de uso e complexidade de instalação e gerenciamento, no entanto enquanto as soluções de gerenciamento de senhas possam ser encontradas na web de forma gratuita, não há solução de PAM gratuito.

Como faço para proteger meu gerenciador de senhas ou PAM?

Se você estiver usando um gerenciador de senhas autônomo, integrado ou um PAM, é importante manter a conta de acesso muito bem protegida porque, se um criminoso acessá-la, eles terão potencialmente acesso a todas as suas senhas e contas associadas, privilegiadas ou não. Você também precisa tomar medidas para garantir que solução esteja sempre disponível, para não perder o acesso a todas as suas senhas quando mais precisar.

O NCSC recomenda fortemente que você:

Configure a autenticação de dois fatores na conta do gerenciador de senhas . Se você tiver a opção, configure mais de um tipo de segundo fator para ter um plano de backup para entrar em sua conta de gerenciador de senhas.
Instale atualizações para o seu aplicativo gerenciador de senhas assim que for solicitado a atualizá-lo. Se estiver usando seu navegador, certifique-se sempre de que está usando a versão mais recente e a mantenha atualizada.
Escolha uma senha forte para a conta do gerenciador de senhas (por exemplo, usando três palavras aleatórias ). Você não pode armazenar isso no próprio gerenciador de senhas, então você pode querer anotá-lo e armazená-lo em um lugar seguro – longe do seu dispositivo – para não esquecer.

Observe que se você estiver usando um gerenciador de senhas integrado por meio de seu navegador ou dispositivo, eles podem estar protegidos por uma de suas contas existentes. Por exemplo, as senhas salvas no Keychain da Apple são protegidas por seu AppleID, e as senhas salvas no navegador Chrome do Google serão protegidas por sua conta do Google (ou Gmail), se você estiver conectado. Novamente, certifique-se de usar uma senha forte dessas contas.

No caso das soluções PAM, elas podem ser integradas ao seu gerenciador de identidade e autenticação, como por exemplo o AD ou Samba, o que não descarta a recomendação de dois fatores de autenticação e que as contas sejam segregadas, auditadas e monitoradas constantemente.

PAM e Contas Privilegiadas

Contas privilegiadas são contas com permissão de acesso elevado que permitem que os proprietários da conta acessem as áreas mais restritas do sistema e executem tarefas altamente privilegiadas. Assim como contas de usuário típicas, contas privilegiadas também exigem uma senha para acessar sistemas e executar tarefas.

Uma conta privilegiada pode ser usada por uma pessoa ou sistema. Contas privilegiadas, como contas administrativas, costumam ser usadas por administradores de sistemas para gerenciar software, hardware e bancos de dados.

O problema com essas contas é que muitas vezes são compartilhadas, usadas em muitos sistemas e podem usar senhas fracas ou padrão, facilitando o trabalho dos agentes internos, por isto, essas contas quando não gerenciadas corretamente, dão aos agentes internos a capacidade de acessar e baixar os dados mais confidenciais de uma organização, distribuir malware, ignorar os controles de segurança existentes e apagar trilhas de auditoria para ocultar suas atividades.

Para gerenciar estas contas um gerenciador comum de senhas pode não ser suficientes, então uma das formas mais seguras para gerenciar contas privilegiadas é através de soluções PAM (Gerenciamento de Acesso Privilegiado). Essa solução consiste em estratégias e tecnologias de segurança cibernética para exercer controle sobre o acesso privilegiado e permissões para usuários, contas, processos e sistemas em um ambiente corporativo.

Para facilitar o entendimento da diferença entre PAM e Gerenciador de Senhas, criamos a tabela a seguir as principais funcionalidades (claro que existem muitas outras, mas aqui segue um resumo)

Riscos cibernéticos associados às ameaças internas

Nem sempre as ameaças internas são exclusivamente pessoas que trabalham diretamente para sua organização. Podemos incluir, consultores, contratados terceirizados, fornecedores e qualquer pessoa que tenha acesso legítimo a alguns de seus recursos.

Para entender mais a respeito do assunto, selecionamos cinco possíveis cenários onde as ameaças internas podem surgir.

Um funcionário ou terceiro que executa ações inadequadas que não são intencionalmente maliciosas, são apenas descuidadas. Frequentemente essas pessoas buscam maneiras de realizar seus trabalhos, porém fazem uso indevido dos ativos, não seguem as políticas de uso aceitáveis e instalam aplicativos não autorizados ou de origem duvidosa.
Um parceiro ou terceiro que compromete a segurança por negligência, uso indevido ou acesso malicioso ou uso de um ativo. Por exemplo, um administrador de sistemas pode configurar incorretamente um servidor ou banco de dados, tornando-o aberto ao público em vez de privado e com acesso controlado, expondo inadvertidamente informações confidenciais.
Um agente subornado ou solicitado por terceiros para extrair informações e dados. Pessoas sob estresse financeiro costumam ser os principais alvos.
Um funcionário rejeitado ou insatisfeito é motivado a derrubar uma organização por dentro, interrompendo os negócios e destruindo ou alterando dados.
Uma pessoa com acesso privilegiado legítimo aos ativos corporativos, que procura explorá-los para ganho pessoal, geralmente roubando e redirecionando as informações.

Quer o dano seja causado intencionalmente ou acidentalmente, as consequências dos ataques internos são muito reais.

Algumas das formas de mitigar os riscos dos cenários acima é implementando ferramentas de monitoramento para rastrear quem acessou quais arquivos e para alertar os administradores sobre atividades incomuns.

Além dessas ações, o gerenciamento das contas privilegiadas também ajudam a reduzir danos causados por ameaças internas e contribuem para uma postura de segurança cibernética proativa.

PAM e Ameaças Internas

Conforme mencionado, as contas privilegiadas representam alvos de alto valor para os agentes internos.

É importante que as organizações adotem uma solução de Gerenciamento de Acesso Privilegiado (PAM) e forneçam dados sobre o acesso a contas privilegiadas dessa solução em seu sistema de monitoramento.

Em seguida, selecionamos 7 recursos presentes nas soluções PAM que são estratégicas para aquelas empresas que buscam reduzir as possibilidades de ameaças internas.

Uso de políticas consistentes para todos os funcionários, sejam eles remotos, prestadores de serviços ou de terceiros.
Protege as credenciais de seus ativos mais confidenciais (aplicativos confidenciais, bancos de dados, contas privilegiadas e outros sistemas críticos) em um cofre central e seguro.
Limita o acesso privilegiado a informações confidenciais, como dados de clientes, informações de identificação pessoal, segredos comerciais, propriedade intelectual e dados financeiros confidenciais.
Emprega procedimentos e recursos de privilégios mínimos para fornecer aos funcionários apenas o acesso de que precisam.
Remove os direitos de administrador local de todas as estações de trabalho dos funcionários e implementa políticas de permissão, restrição e negação para bloquear aplicativos maliciosos.
Implementa aprovações de fluxo de trabalho para criação e governança de contas privilegiadas.
Monitora e registre o acesso privilegiado a informações, dados e sistemas confidenciais.

Benefícios de uma solução PAM

Um contraponto entre o PAM e outros tipos de tecnologias de segurança é que o PAM abrange vários pontos da cadeia de ataques cibernéticos, fornecendo proteção contra ataques externos e ameaças internas.

O PAM confere vários benefícios principais, incluindo:

Redução na Infecção e propagação de malwares: muitas variedades de malware precisam de privilégios elevados para sua instalação ou execução. A remoção de privilégios excessivos, como a aplicação de privilégios mínimos em toda a empresa, pode impedir que o malware se estabeleça ou reduza sua disseminação, se isso acontecer.
Desempenho operacional: restringir privilégios ao intervalo mínimo de processos para executar uma atividade autorizada reduz a chance de problemas de incompatibilidade entre aplicativos ou sistemas, além de ajudar a reduzir o risco de tempo de inatividade.
Conformidade: ao restringir as atividades privilegiadas que podem ser realizadas, o PAM ajuda a criar um ambiente menos complexo e, portanto, mais amigável para as auditorias.

Além disso, muitos regulamentos de conformidade (incluindo HIPAA, PCI DSS, FDDC, Government Connect, FISMA e SOX) e legislações de proteção de dados (como GDPR, LGPD e CCPA) exigem que as organizações apliquem políticas de acesso com privilégios mínimos para garantir a administração de dados e segurança de sistemas adequadas.

Quando utilizada para gerenciar acessos privilegiados em sistemas organizacionais e plataformas que armazenam ou protegem a integridade de dados sensíveis, o senhasegura oferece um ponto de acesso centralizado aos sistemas críticos. Suas funcionalidades permitem reforçar o controle de acesso, limitando o acesso do usuário apenas ao que foi previamente autorizado, respeitando o critério do privilégio mínimo.

SENHASEGURA

O senhasegura é uma solução 100% nacional que faz o armazenamento, controle de acesso e troca periódica dessas credenciais em ativos de redes, servidores, balanceadores, banco de dados, entre outros.

Com essa solução, a liberação dos acessos pode ser feita através de workflow de aprovação, dupla custódia, ou através de sessão iniciada diretamente no console da solução, sem a necessidade de exibição da senha. Além disso, o sistema realiza trocas das senhas após o uso, ou por expiração, de acordo com as políticas de segurança das instituições.

Através do armazenamento de segredos e senhas impessoais de alto privilégio o senhasegura é capaz de gerenciar todo o workflow de autorização, geração automática de senhas fortes, auditoria e geração de alertas de irregularidades. Com o senhasegura é possível estabelecer perfis de acessos funcionais segregados para auditoria, usuário e administradores da ferramenta, gerar relatórios gerenciais detalhados e integrar o PAM ao gerenciadores de logs e eventos (SIEM).

O fluxo de autorização pode ser integrado com envio de SMS e emails, facilitando as aprovações rotineiras, além de permitir o uso de liberações emergenciais (break the glass) com registros especiais e alertas, sem impactar as operações de carácter especial, onde o tempo é fator determinante para a liberação e uso das senhas privilegiadas.

O PAM senhasegura em um único appliance (físico ou virtyual) integra todas as funcionalidades requeridas por um PAM, sem a necessidade de instalação de softwares ou base de dados adicionais. Sistemas operacionais, bases de dados, aplicativos web, equipamentos servidores, roteadores, balanceadores, switches, firewall e outros são conectados de forma simples e funcional, sem a necessidade de instalação de agentes locais e a autenticação do usuário pode ser integrada com o AD ou outro LDAP de autenticação que exista na organização.

O senhasegura entrega a sessão logada sem expor a senha. Durante toda a sessão a operação é gravada e fica guardada para auditoria e se desejado, o senhasegura pode entregar a senha e depois de término do uso fazer a troca automaticamente. Todo os acessos realizados ficam gravados para efeitos de auditoria e análise forense. Durante a sessão é possível controlar comandos, acompanhar e derrubar remotamente a sessão em caso de irregularidades ou operações não autorizadas .

Além de todas estas funcionalidades as senhas hardcoded podem ser migradas para gestão do senhasegura através do uso de APIs, eliminando o risco inerente ao conhecimento e uso permanente de senhas embutidas nos códigos de programas.

Os acessos das equipes de TI através via Putty ou RDP podem ser realizados através de jump server em sessões monitoradas, sem que a senha seja exposta ao usuário solicitante, de forma simples e sem overhead de tempo e agilidade para as equipes de TI.

O senhasegura também oferece outra funcionalidades como discovery de credenciais, controle de logins de redes sociais e quaisquer outros aplicativos na web, troca automática de senhas, múltipla custódia, controle de visualização de senhas para uso offline, guarda de informações sensíveis e certificados digitais e muito mais…

Conclusão

Os primeiros passos para melhor proteger a si mesmo e aos seus clientes contra ameaças internas e externas é aplicar pelo menos algumas práticas recomendadas de gerenciamento senhas e de acesso privilegiado.

Comece por conhecer melhor como funciona um Gerenciador de Senhas e um PAM, saiba identificar suas diferenças e siga o princípio do menor privilégio, em seguida é importante estabelecer e aplicar as melhores práticas de gerenciamento de senha e por fim, investir em uma solução adequada à sua necessidade, buscando uma solução abrangente que possua todos esses recursos à sua disposição.

O senhasegura é uma solução PAM, que possui controles de acesso granulares, gerenciamento de credenciais, registros detalhados de logs e gravação de sessão, e a capacidade de analisar o comportamento de usuários.

Fale com a MindSec Solicite uma demonstração agora e descubra, na prática, os benefícios do senhasegura para limitar os danos causados por ameaças internas/externas e elevar o nível de proteção da sua organização.

Veja também: