Resolvendo os Desafios Mais Difíceis do Gerenciamento de Acesso Privilegiado

A maneira padrão de resolver problemas de segurança decorrentes das contas de usuários privilegiados de uma organização é com uma solução de gerenciamento de acesso privilegiado (PAM), que pode ser uma ferramenta muito eficaz contra ameaças que visam credenciais de administrador. No entanto, quando se trata de implementar totalmente o PAM, muitas vezes há desafios significativos em relação à integração, operação e manutenção da solução que podem impedir que o produto atinja todo o seu potencial.

Nesta postagem do blog, discutiremos os cinco principais problemas enfrentados pelas equipes de identidade ao realizar um projeto de implementação de PAM e sugeriremos maneiras de resolver cada um desses problemas com uma solução unificada. Proteção de identidade plataforma.

Desafio nº 1: contas de serviço e administradores sombra não detectados

Pode parecer óbvio, mas antes que a proteção PAM possa ser colocada em uma conta de administrador, o administrador do PAM deve primeiro saber da existência dessa conta. Na realidade, porém, é muito mais fácil falar do que fazer. A razão é por causa de dois tipos de contas que apresentam um sério desafio em termos de serem facilmente descobertas:

1. Contas de serviço – Essas contas máquina a máquina geralmente têm acesso privilegiado para que possam realizar tarefas críticas em uma rede sem a necessidade de interação humana. O problema é que essas contas são frequentemente criadas sem documentação adequada, tornando-os desconhecidos para as equipes de identidade que trabalham em um projeto PAM. Além disso, não há utilitário que possa filtrar todas as atividades da conta de serviço dentro de um Active Directory (AD) — essencialmente tornando essas contas invisíveis e, portanto, não integradas à solução PAM.
2. Administradores de sombra – Às vezes, usuários padrão podem receber inadvertidamente altos privilégios de acesso sem que a equipe de identidade esteja ciente disso. Um exemplo comum é um conta de usuário que não é membro de um grupo AD de administrador privilegiado, mas tem o privilégio de redefinir a senha de um administrador. Mas como a conta do usuário não foi identificada como privilegiada, ela também não será incluída no PAM.

Desafio nº 2: contas de serviço com dependências não mapeadas

A pedra angular de um Solução PAM é o seu cofre, onde as credenciais de todas as contas privilegiadas são armazenadas, e uma proteção chave que o PAM fornece é a capacidade de alterne regularmente as senhas de todas as contas armazenado dentro do cofre. Isso dificulta a capacidade de um invasor usar quaisquer credenciais comprometidas que possa ter adquirido, limitando o tempo durante o qual essas credenciais são válidas.

O problema com a rotação de senhas, entretanto, é que ela não pode ser efetivamente aplicada a contas de serviço que têm altos privilégios. A razão é porque essas contas geralmente acessam suas máquinas de destino executando um script onde suas credenciais de login são armazenadas. No entanto, tnão há como atualizar automaticamente a senha neste script usando PAM (nem isso pode ser feito manualmente, pois a localização exata do script geralmente é desconhecida).

O resultado é que a rotação das senhas dessas contas de serviço usando o PAM invalidaria a senha no script, o que impediria a conta de executar a tarefa pretendida. Isto, por sua vez, poderia levar a uma cascata de problemas em toda a rede, uma vez que quaisquer processos críticos dependentes da conclusão da tarefa da conta de serviço também falhariam. Devido a esse risco, as equipes de identidade muitas vezes evitam integrar contas de serviço altamente privilegiadas ao PAM, deixando-as expostas ao comprometimento.

Desafio nº 3: Administradores que ignoram o PAM

Como diz o ditado, uma corrente é tão forte quanto o seu elo mais fraco e isto também se aplica a uma solução PAM. Como os produtos PAM são ferramentas robustas e sofisticadas – desenvolvidas para proteger contas de administrador contra comprometimento com medidas como rotação de senha, uso de cofres e gravação de sessão – a experiência de login resultante para administradores pode, em última análise, ser mais complicada.

O problema é que por causa disso, os administradores às vezes optam por ignorar completamente o PAM no interesse da eficiência — usando a solução PAM apenas para extrair a nova senha e depois fazer login diretamente nos diversos servidores e estações de trabalho que precisam acessar. Esta prática, é claro, anula completamente a própria proteção que o PAM pretendia fornecer, expondo uma lacuna crítica de segurança.

Desafio nº 4: Protegendo o acesso ao próprio PAM

Por mais poderosa que seja a solução, o PAM tem um calcanhar de Aquiles: não consegue se proteger. Isto significa, claro, que se um adversário conseguisse comprometer as credenciais do PAM eles teriam então acesso às credenciais de todas as contas privilegiadas armazenadas em seu cofre e, portanto, a qualquer recurso no ambiente – um cenário potencialmente catastrófico para qualquer organização.

A superfície de ataque O acesso malicioso torna-se particularmente evidente quando se considera que existem múltiplas maneiras de acessar uma solução PAM:

• através do portal web: usado para recuperação de credenciais, bem como tarefas administrativas
• via acesso proxy: usado por administradores de rede para conectar-se a vários sistemas usando credenciais seguras
• via API: usado para tarefas automatizadas e por contas de serviço

Com tantas maneiras diferentes de acessar o PAM, isso significa que qualquer ponto único de exposição – por exemplo, uma conta de serviço cujas credenciais tenham sido comprometidas – poderia, por sua vez, levar ao comprometimento de todo o sistema PAM.

Desafio nº 5: contas que não podem ser guardadas imediatamente (ou nunca)

A implementação completa de uma solução PAM abrangente pode ser uma tarefa gigantesca, um projeto que muitas vezes leva meses ou às vezes até anos para ser concluído. E durante esse processo, quaisquer contas privilegiadas que ainda não foram integradas ao produto PAM permanecem expostas ao comprometimento.

Além disso, como as contas de serviço geralmente têm dependências extremamente difíceis de mapear, essas contas privilegiadas podem permanecer fora da proteção PAM indefinidamente, devido ao problema mencionado anteriormente em torno da preocupação de quebrar quaisquer processos críticos dessas contas com rotação de senha. Isso significa que essas contas privilegiadas também permaneceriam expostas.

Como a Proteção de Identidade Unificada pode complementar o PAM

Proteção de identidade unificada é uma nova categoria de produtos de segurança, desenvolvida para fornecer proteção em tempo real da superfície de ataque de identidade por meio de monitoramento contínuo, análise de risco e aplicação de políticas de acesso. Ao integrar-se diretamente com todos os provedores de identidade, a plataforma é capaz de obter visibilidade total de cada entrada autenticação e solicitação de acesso dentro do ambiente, seja no local ou na nuvem.

Isso significa que uma plataforma de Proteção Unificada de Identidade pode resolver os desafios do PAM por meio de três recursos principais:

1. Descoberta de conta –Ao ter visibilidade completa de todas as autenticações, a plataforma pode analisar cada conta, incluindo seus privilégios e comportamento específico - descobrindo facilmente todas as contas de serviço (uma vez que apresentam um comportamento altamente previsível), bem como descobrir quaisquer administradores sombra (através do exame das listas de controle de acesso fornecidas pelo AD).
2. Autenticação multifator (MFA) Aplicação de políticas –A plataforma também pode aplicar políticas de MFA a contas privilegiadas para garantir todo o acesso em tempo real. Isso significa que as contas de administrador só poderão acessar recursos quando a origem do destino for o próprio PAM (e, além disso, também poderão exigir MFA nesta mesma conexão).
3. Proteção de Contas de Serviço (Service Accounts) – Ao analisar continuamente a atividade de cada conta de serviço no ambiente, as políticas de acesso seriam acionadas sempre que uma conta de serviço (não protegida ou não) se desviasse de seu comportamento padrão, estendendo assim a proteção total a todos conta privilegiada no ambiente.

Acelere sua jornada PAM com Silverfort

SilverfortA plataforma Unified Identity Protection protege as empresas contra qualquer ataque baseado em identidade que usa credenciais comprometidas, permitindo que as equipes de identidade aproveitem melhor seu investimento em PAM resolvendo seus desafios de segurança inerentes.

Especificamente, Silverfort pode ajudar na integração do PAM, descobrindo automaticamente todas as contas de serviço e administradores sombra, bem como mapeando todas as dependências das contas de serviço. Também, Silverfort pode proteger melhor o acesso ao próprio PAM, impondo acesso somente ao PAM aos administradores, bem como exigindo MFA. Silverfort também pode complementar a proteção PAM, proteger contas de serviço através da configuração de políticas de acesso e protegendo quaisquer contas de administrador que residam fora do PAM.

Pronto para aprender mais sobre como Silverfort pode capacitar sua solução PAM? Leia mais sobre isto aqui.