*por Daniel Lacchini
Segundo o estudo Heimdal Security, as organizações presumem que 80% de suas contas de acesso privilegiado estão sendo gerenciadas e monitoradas adequadamente. O mesmo estudo mostra que, após a checagem das identidades, somente 20% dessas contas VIP estavam realmente sob controle.
Segundo o Gartner, em 2022, o mercado de gerenciamento de acesso privilegiado (PAM) foi avaliado em USD 2,65 bilhões. Espera-se que o mercado de PAM ultrapasse USD 8 bilhões até 2027. Além disso, 50% das empresas implementarão o modelo de acesso privilegiado Just-in-time até 2024.
Duas abordagens são estratégicas para os CISOs em 2024: acesso à rede com confiança zero (Zero Trust Network Access, ZTNA) e gerenciamento de acesso privilegiado (Privileged Access Management, PAM). A meta é limitar o acesso a dados somente aos usuários que apresentarem as permissões e credenciais adequadas. Um terceiro componente maximiza a soma do ZTNA com o PAM: tudo acontece no modelo de nuvem híbrida.
O PAM é a resposta para o gerenciamento de contas privilegiadas de usuários. Contas privilegiadas incluem superusuários, administradores de domínios digitais, administradores locais e líderes das áreas de negócios. Incluem também contas não ligadas a pessoas e, sim, a Bots lícitos. O dono do acesso privilegiado tem acesso ou permissão a recursos e sistemas que contêm informações altamente confidenciais.
Esses usuários podem fazer alterações críticas em aplicações, infraestrutura de TI e sistemas. Isso faz do Account Takeover de contas privilegiadas um alvo primordial dos criminosos digitais. Após invadir o sistema, um hacker tem acesso irrestrito a tudo que a conta comprometida permitir. Em geral, esse é o sinal de que ataques laterais (Leste-Oeste) acontecerão.
Fim dos privilégios de acesso
Na era PAM, privilégios deixam de ser um direito de acesso fixo. Nesta nova abordagem, o usuário conseguirá acessar o serviço necessário por um tempo mínimo. Assim que a tarefa for realizada, a pessoa perderá o privilégio de acesso. Isso permite que acessos de alto nível aconteçam somente após análise do perfil do usuário, por um período muito limitado e com o máximo controle.
Vale destacar, ainda, que o PAM é considerado uma estratégia de segurança baseada no perímetro. Isso faz dele uma abordagem mais tradicional ao controle de acesso. Ele é construído sobre a premissa de que todos os usuários confiáveis de um ambiente específico começam com acesso irrestrito a dados e recursos.
Atribuindo níveis de segurança a dados e recursos dentro daquele perímetro, o pessoal de segurança pode, então, restringir o acesso ligando privilégios aos níveis de segurança. As contas recebem privilégios com base na necessidade de cada usuário acessar um conjunto específico de dados ou recursos. Privilégios mais amplos tendem a ser concedidos na proporção da importância do papel de um indivíduo.
Controle granular
Em um ambiente ZTNA, por outro lado, absolutamente ninguém é digno de confiança para sempre. Todos os usuários e dispositivos requerem verificação contínua ao se moverem ao longo de um espaço. Nas empresas mais avançadas, o ZTNA soma-se ao PAM e, a partir disso, mesmo usuários com privilégios elevados têm de certificar suas identidades para obter acesso.
A maior vantagem do ZTNA é o seu controle de acesso granular. Por default, o ZTNA promove o menor privilégio necessário para completar tarefas e acessar dados. Um bônus é a capacidade de monitorar continuamente o comportamento dos usuários como um meio de detectar atividade suspeita.
Segundo o Gartner, até 2025 pelo menos 70% das novas implementações de acesso remoto dependerão de serviços ZTNA. O Acesso à Rede de Confiança Zero é o segmento de mais rápido crescimento em segurança de redes, e sua perspectiva de crescimento é de 31% em 2023. O Gartner observa que, no fim de 2021, sua participação no mercado era inferior a 10%. Segundo estimativas da Markets and Markets, espera-se que, até 2027, as empresas globais invistam até 60 bilhões de dólares por ano em ZTNA.
PAM e ZTNA fortalecem-se mutuamente
O PAM integra-se com perfeição com os princípios do ZTNA. O PAM já é uma estratégia de privilégio mínimo. Acrescentando autenticação multifator e monitoramento de sessão, o PAM torna o ZTNA ainda mais robusto.
Na direção oposta, o ZTNA torna o PAM mais eficaz ao nível granular. A combinação de ZTNA com PAM reduz o risco de credenciais comprometidas e privilégios mal utilizados. Isso acontece porque há uma verificação contínua. Essa estratégia retarda os agentes de ameaça que, de outra maneira, teriam acesso irrestrito por meio de uma conta comprometida.
Os desafios políticos da implementação desses modelos
Há um impacto político na entrada em cena de uma solução PAM. Frequentemente, a implementação do PAM requer mudanças em processos e fluxos de trabalho tradicionais, o que pode encontrar resistência por parte das equipes de TI e de outros stakeholders.
Os usuários acreditam ter direito a privilégios de acesso para realizar seus trabalhos. Eles nunca pedirão que seus privilégios sejam retirados. Mas o excesso de privilégios é um problema. Frequentemente, o malware atua no contexto do usuário – quanto mais privilegiado o usuário, mais longe o malware consegue chegar, em movimentações Leste-Oeste potencialmente destruidoras.
A implementação de uma solução de PAM vai além da tecnologia. É necessário alterar hábitos arraigados de usuários que têm privilégios fixos de acesso. Nessa jornada, é fundamental adotar soluções avançadas e flexíveis, que automatizam o PAM e sua integração a outras plataformas sem causar atrito. E, em paralelo, investir em ações educacionais que facilitem a adesão do usuário VIP a uma nova política de acessos que é boa para ele, para a empresa e para a economia do país.
Da mesma forma, o princípio de Zero Trust incomoda os usuários quando começa a ser implementado. Diante do fato de que as vulnerabilidades geralmente aparecem quando as empresas confiam demais em indivíduos ou dispositivos, o modelo Zero Trust sugere que nenhum usuário, mesmo se permitido na rede, deve ser confiável por default. Essa quebra de paradigma, para ser bem-sucedida, têm de ser antecedida por ações de comunicação com os líderes de negócios e os usuários finais, para que todos compreendam a razão dessa mudança. É recomendável adotar soluções de cybersecurity Zero Trust e PAM com baixíssimo atrito – a checagem é realizada sem atrasos e sem impor desconforto ao usuário.
Na era das ameaças potencializadas pela Inteligência Artificial, as organizações não devem usar PAM ignorando ZTNA, e vice-versa. A combinação dos dois cria uma defesa em camadas contra ataques externos e internos. Quem adotar essa estratégia aumentará a resiliência da nuvem aos cada vez mais avassaladores ataques laterais.
*Daniel Lacchini é Business Manager da Hillstone Brasil