O gerenciamento de acesso e proteção aos recursos e informações críticas na rede corporativa ainda não encontrou nada mais consistente do que as práticas de PAM (Privileged Access Management). E este conjunto de boas práticas está refletido nas conhecidas plataformas da indústria de TI, hoje largamente recomendadas e empregadas de fato.
Mas, com a multiplicação dos dispositivos, com a dispersão dos pontos de conexão e com uma subdivisão exponencial de entidades e modalidades de acesso, as estratégias PAM atuais já se apresentam vulneráveis. Isto porque sua concepção original é anterior a todo este cenário, ou pelo menos a boa parte dele.
Um dos problemas está na equação dos aspectos de performance, agilidade, visibilidade e segurança. A necessidade de criação de privilégios se agiganta e a capacidade de gerenciar as senhas e demais credenciais associadas, ao longo de toda a nuvem, também precisa aumentar na mesma proporção. Não é uma meta fácil de atingir.
Isto sem falar em outro impasse difícil de resolver. De um lado, todos compreendem que é preciso frear esta proliferação de credenciais de privilégio (uma medida prudencial inegavelmente correta), mas, de outro, a concessão rápida de tais credenciais é crucial para a agilidade de processos no ambiente de negócios.
Para aumentar o stress, nesse novo cenário “nebuloso” da TI, a própria noção de servidor (ou de sistema operacional) já vai perdendo sua validade. E aí fica extremamente difícil acompanhar todo o ciclo de vida de uma credencial de privilégio, e talvez mais difícil ainda estabelecer uma política de atribuição de privilégio (assignment) que seja ao mesmo tempo conservadora, no quesito de segurança, e dinâmica e flexível, no que diz respeito à performance.
Mas existem questões de solução e existem questões de atitude que não devem andar separadas. A arquitetura de segurança “zero trust” (nas versões do Google e da Forrester) deixa isto claro, ao determinar que as plataformas de segurança de acesso, por mais rigorosas que sejam, precisam atuar em estrita combinação com mandamentos políticos ortodoxos.
Ou seja, ao invés de trazer para o gestor uma “sensação de segurança”, essas plataformas devem exigir deles a instauração de desconfiança – fim a fim, em todo o processo da informação – como um requisito para o seu funcionamento.
Hoje, ainda é preciso admitir que há sérios pontos vulneráveis, mesmo em empresas que dispõem de plataformas e políticas de PAM relativamente consolidadas (ou pelo menos com “a sensação de”). Tais vulnerabilidades se relacionam, muitas vezes, ao “modus operandi”, e outras vezes a aspectos do TCC – o Custo Total de Mudança.
Não é absurdo dizer que boa parte das invasões, ocorre (e ainda vão ocorrer), não pela falta de gerenciamento ou de ferramentas adequadas, e sim pela situação estrutural em que as aplicações se encontram hoje em dia.
Vários exemplos de violações nesse sentido estão na rede para quem quiser conferir: alguns bastante famosos, como os casos JP Morgan e Target. Há também inúmeros outros menos rumorosos, mas não menos impactantes, no mundo e no Brasil, de clientes de solução PAM que se tornaram vítimas em função de uma obsolescência não corrigida em arquiteturas antigas.
Para este tipo de situação, a única prevenção e o único remédio é a governança. E esta deve vir devidamente acompanhada de automação e monitoração do acesso, algo que a indústria começa a chamar de “operacionalização” do problema.
Foi considerando estes e outros aspectos que o Gartner, recentemente, passou a recomendar o abandono das estratégias de credenciais fixas e a adoção de atribuição de acesso privilegiado “just-in-time”. Isto significa dizer que as empresas necessitarão investir em plataformas de análise contextual. Elas serão indispensáveis para se analisar as diversas dimensões de uma solicitação de acesso e para a mobilização e combinação de diferentes fatores de autenticação envolvidos em cada conexão específica.
Os gestores de segurança e acesso precisarão, por isto, estar aptos a empregar metodologias para a construção de políticas de operacionalização, como a análise online do fluxo de conexões, o emprego de tickets de acesso e a automação robótica de processos (RPA). Tudo isto sendo suportado por uma camada de governança de identidade e acesso (IGA) compreendendo todas as plataformas de gestão de acesso e identidade.
Esta nova proposta de estrutura just-in-time (incluindo o redesenho de aplicações), exige que as empresas usuárias tenham uma dose muito maior de liberdade para o constante ajuste e evolução de suas plataformas. Terão, para tanto, que partir para a adoção de uma nova arquitetura, onde a segurança está embutida na infraestrutura com o modelo DevOps de Aplicacões. Só assim lhes será franqueada a capacidade de desenvolver ferramentas e interfaces acessíveis para as diversas plataformas realmente seguras de PAM, sejam elas em cloud, SaaS ou on-premise.
É com este enfoque de segurança orientada ao acesso que a equipe brasileira da Netbr vem se reunindo num grupo de trabalho envolvendo vários players tradicionais da indústria e articulando recursos de parceiros, know-how e pessoas.
* André Facciolli é CEO da Netbr