A eterna batalha entre TI e segurança é a fonte do problema na gestão de identidades.
O comprometimento e o uso indevido de credenciais de identidade fornecem a porta mais fácil para uma rede empresarial e o caminho mais rápido para seus ativos mais valiosos. Ele também se estende além do domínio dos funcionários para parceiros de negócios e até mesmo clientes onde esta informação pode ser usada para fraudes.
Segundo relatório da 2017 Verizon Data Breach Investigations Report (DBIR) aponta que 81% das violações relacionadas a hacking relacionam-se a senhas roubadas e/ou senha fracas. Em outras palavras: as violações provêm de identidades comprometidas.
Antes que uma organização possa lutar contra ataques baseados em identidade, ela deve sobreviver a sua própria batalha interna entre TI e segurança. Existem duas frentes de batalha:
- primeiro: o gerenciamento de acesso de identidade (IAM) normalmente está sob o controle do CIO, onde mais acesso é melhor que menos para permitir processos de negócios na velocidade do cliente, ainda mais para projetos de mobilidade e nuvem. O IAM muitas vezes não é gerenciado pelo CSO, principalmente quando o CSO não se reporta ao CIO, mesmo que os riscos baseados em identidade estejam no cerne das questões de segurança,
- segundo: as equipes de TI e segurança têm funções e interesses muito diferentes. As equipes de TI se concentram em permitir o negócio através de operações de tecnologia da informação, disponibilidade, desempenho e continuidade. O objetivo é não ter interrupções e entregar a informação desejada em um piscar de olhos aos usuários. Como resultado, a TI às vezes confunde-se ao fornecer muito acesso, especialmente através de clonagem de acesso e certificações de conformidade. As equipes de segurança, por outro lado, se concentram na detecção de malware, na busca de ameaças e na remediação.
Para ter sucesso em combater os riscos baseados em identidade, essas equipes devem primeiro concordar que o comprometimento e o uso indevido de identidades são questões que precisam abordar de forma colaborativa, a fim de proporcionar o menor número de acesso sem impactar os fluxos de processos comerciais.
A identidade consiste em usuários, suas contas, direitos de acesso e atividades relacionadas, tanto no local quanto na nuvem. Problemas comuns incluem acesso excessivo, acesso não retirados, contas órfãs e latentes, além de riscos de acesso privilegiado desconhecido. Portanto, as equipes de segurança devem considerar a identidade como um plano de ameaça – e uma fonte de ataque que precisa ser defendida.
Ao mesmo tempo, as equipes de TI precisam entender que o agrupamento e a proliferação de papéis são uma parte importante do problema. Infelizmente, o IAM é muitas vezes limitado por processos manuais inflexíveis e ineficientes para o cumprimento das regras legais que definem funções.
Produtividade versus Segurança
Haverá sempre uma tensão natural entre o CIO e o CSO. Esta dinâmica é determinada pela realidade de que o CIO é conduzido para fornecer mais e melhores serviços a custos mais baixos, enquanto o trabalho de um CSO é proteger tudo e manter a garantia de confidencialidade, integridade, disponibilidade e segurança. Cada um desses atributos é potencialmente contrário ao que o CIO quer fazer. Devido à desconexão entre equipes, os riscos baseados em identidade continuam a ser um grande desconhecido para as equipes de segurança. Grandes volumes de riscos excessivos, atípicos e de acesso desconhecido são pontos cegos para muitas organizações, especialmente aqueles com recursos digitais espalhados pelo centro de dados e aplicações em nuvem.
Considerar que a retirada de acessos impacta a produtividade é um erro comum e deve ser evitado. Na realidade a falta de critérios e definições precisas das atividades dos profissionais é que causa este sentimento. No entanto esta má definição de cargos e funções refletem-se na gestão de identidade e as empresas devem combatê-las, não somente por questões trabalhistas mas também pela ameaça digital que elas representam.
Acessos indevidos ou excesso de acesso são um “prato cheio” para que os hacker se aproveitem e consigam mais do que poderiam se os acessos estivessem limitados. O risco de fraudes ou mesmo impactos involuntários por erros do usuários poderiam ser minimizados com uma melhor gestão de identidade e acessos.
Melhores práticas
Apesar ou mesmo por causa de suas diferenças, o CIO e o CSO precisam encontrar interesses de segurança comuns para que possam colaborar para atender às metas e necessidades de sua organização. Cada vez mais, as equipes de TI e de segurança estão colaborando em torno da computação em nuvem, dados importantes e análises de segurança voltadas para o comportamento, a identidade e os privilégios.
Uma grande parte do trabalho realizado hoje em segurança gira em torno de big data para determinar riscos e atividades anômalas. As equipes de TI agora também usam a nuvem para fazer trabalhos analíticos.
Novas soluções de segurança baseadas em nuvem dependem fortemente de grandes modelos de dados e máquinas de análise que aproveitam as capacidades de baixo custo e de melhoria da produtividade em nuvem. Essas soluções oferecem aos CIOs e CSO o melhor de ambos os mundos.
Aceite que a identidade é uma ameaça. O antigo perímetro de segurança – onde os dados e aplicativos residiam com segurança no data center com usuários em uma LAN atrás de um firewall – está morto. Ele foi morto pelo mundo em constante mudança e sempre crescente da computação e mobilidade da nuvem, onde os dados e as aplicações provavelmente residirão em inúmeros centros de dados baseados na nuvem – bem como no data center tradicional com usuários em qualquer dispositivo em qualquer local a qualquer hora do dia.
Todos os dias, os CIOs e os CSO enfrentam o desafio assustador de tentar garantir ambientes baseados em aplicativos múltiplos em nuvem e múltiplos dispositivos móveis. Novas ameaças emergem diariamente, e a maioria é baseada no uso indevido e no comprometimento da identidade ao lado de surtos de ransomware. As defesas de perímetro tradicionais simplesmente não podem lidar com o volume e a inteligência dessas ameaças.
Aproveite a análise e os controles de acesso para reduzir os riscos. Mais organizações estão aproveitando a análise de aprendizado de máquinas para obter visibilidade em tempo real 24/7 de dados importantes. Os principais benefícios são: uma visão mais profunda de quem tem acesso ao que, quem acessa os dados e quem visualizou quais dados – e correlacionar essas atividades com os direitos das pessoas para acessar dados, aplicativos, redes específicas e assim por diante. Estamos passando de controles de grãos grosseiros de contas para controles de grãos finos de direitos e perfis de risco orientados por análises de aprendizado de máquina.
Em conjunto, as organizações inteligentes podem implementar controles de acesso refinados que definem com precisão os privilégios de acesso das pessoas. A chave para esses controles é ter uma política de acesso base zero para funcionários que se transferem para uma nova posição – seu acesso é trazido para uma linha de base zero e recolocado de acordo com suas necessidades.
Uma implementação de perfis de acesso permite que o sistema de IDM retire todos os acessos e conceda novos quando um profissional é movido para novas atividades, mas para que isto aconteça deve-se realizar um mapeamento consistente de funções e necessidades de acesso. O conceito de “leat privelege” deve ser considerado e preservado.
Ter um processo de certificação periódica baseado em risco também é uma boa ideia, pois ajuda uma organização a conquistar acesso excessivo com altas pontuações.
Quanto mais CSOs e CIOs se reconheçam, concordem e tratem as identidades como uma potencial ameaça à segurança, mais eficaz uma organização se tornará a detectar e prevenir o comprometimento da identidade e ataques baseados no mau uso destas mesmas identidades.
Veja também:
A identidade tornou-se uma grande preocupação para os CSOs
Executivo de Segurança teve Falência Declarada após ter sua Identidade Roubada por Hacker
Métricas de Gestão de Identidade que o Board Executivo se interessará
Especialista fala sobre como implantar um projeto de Gestão de Identidade e Perfil de Acesso
Referência: Dark Reading by Saryu Nayyar
por Kleber Melo
1 Trackback / Pingback