Nos últimos oito anos, tive o desafio único de construir e amadurecer um programa de Gerenciamento de Identidade e Acesso (IAM) do zero para um grande varejista multinacional com um ambiente híbrido extremamente complexo. No primeiro dia, era só eu, um laptop e uma miríade de desafios. A escala era impressionante — milhares de aplicativos de negócios, dezenas de milhares de servidores, quase meio milhão de funcionários em todo o mundo e uma vasta superfície de ataque para proteger com recursos limitados. Apesar dos nossos melhores esforços, descobrimos constantemente novos riscos de segurança, ressaltando a natureza dinâmica da nossa segurança de identidade.
Construindo uma base sólida de IAM
A liberdade de regulamentação pesada permitiu que eu e minha equipe projetássemos um IAM programa adaptado às nossas necessidades de segurança exclusivas. Começamos a construir as bases de um programa IAM bem-sucedido — gerenciamento de acesso forte e altamente automatizado para milhões de contas e seus privilégios de acesso que estavam enraizados em um inventário abrangente de identidades. Implementamos o logon único (SSO) protegido com Autenticação multifatorial (MFA) para centenas de aplicações e desenvolveu tecnologia para redefinição segura de senhas profundamente vinculada aos processos de RH.
Apesar desses esforços, nunca nos sentimos totalmente confortáveis. Parecia que por trás de cada porta que abríamos, encontrávamos novos riscos. A segurança de identidade parecia um ciclo interminável de preenchimento de lacunas enquanto novas apareciam. Dada a complexidade dos ambientes de TI modernos, até mesmo a conta aparentemente mais inocente poderia se tornar um ponto de entrada para invasores.
Por meio dessa experiência, desenvolvi um princípio orientador: segurança é um jogo de espaço e tempo. O objetivo não é implementar a segurança gradualmente, mas fazer investimentos estratégicos em soluções que mitiguem vários riscos de uma só vez, permitindo que as equipes de segurança fiquem à frente das ameaças sem se afundarem na complexidade.
Criando espaço e tempo
Melhorias tradicionais de segurança geralmente envolvem pequenos passos que levam uma quantidade significativa de tempo e recursos, enquanto abordam apenas uma pequena parte do problema; por exemplo, o uso de SSO ou a implementação de Identity Governance and Administration (IGA) para aplicativos de negócios. Nenhuma iniciativa pode reduzir o risco de identidade a um nível aceitável. Em cada caso, elas são aplicadas incrementalmente sem atingir nenhum benefício mais amplo, e todas elas exigem muito tempo e recursos para serem implementadas.
Meu desafio era encontrar os investimentos certos para evitar que minha equipe tivesse que trabalhar em trabalhos complexos, profundamente técnicos e incrementais à vista de todos, enquanto corria com níveis inaceitáveis de risco de identidade. Precisávamos mudar o foco de casos de uso individuais e correções incrementais para investimentos que resolvessem problemas específicos, ao mesmo tempo em que forneciam um amplo escopo de proteção e escalabilidade — em outras palavras, investimentos que criassem espaço e tempo para nossas equipes.
A questão é: como podemos proteger a identidade rapidamente sem nos perdermos na complexidade?
Para responder a isso, acredito que você precisa fazer uma abordagem em três partes para obter proteção completa de segurança de identidade em toda a sua organização.
Um jogo de tetos e pisos: Elevando a linha de base da segurança
Como um ávido fã de esportes, costumo traçar paralelos entre segurança de identidade e esportes de equipe. Nos esportes, o sucesso de um time raramente é determinado por seus melhores jogadores; em vez disso, depende do desempenho de seu elo mais fraco. O "teto" de um jogador representa seu desempenho potencial máximo, enquanto o "piso" é seu pior nível de desempenho.
A segurança de identidade segue o mesmo princípio: as organizações devem primeiro elevar seu piso de segurança antes de mirar em seu teto. Então, em vez de focar somente em proteções de ponta para sistemas selecionados, a prioridade deve ser construir uma segurança ampla e fundamental que aborde vetores de ataque comuns e riscos de segurança.
Na prática, isso significa implementar controles de segurança fortes e garantir que as melhores práticas de IAM atualizadas sejam seguidas por todos contas de usuário e recursos dentro da organização. Ao estabelecer essa linha de base, as organizações criam uma fundação resiliente que atenua as ameaças mais significativas e reduz o risco geral.
Somente depois que essa linha de base de proteção for estabelecida é que os líderes de segurança podem se concentrar em elevar o teto com proteções mais avançadas. Como resultado, investimentos em segurança de alta alavancagem que abordam vários riscos simultaneamente podem fornecer um efeito multiplicador no ROI.
Ao priorizar uma segurança ampla e fundamental e alavancar investimentos que oferecem múltiplos benefícios, as organizações podem criar uma estratégia de segurança abrangente e escalável. Essa abordagem garante que nenhuma conta, não importa quão "insignificante" seja, fique vulnerável a comprometimento e que toda a organização esteja melhor protegida contra ameaças em evolução.
Usando a alavancagem a seu favor
Nem todos os investimentos em segurança entregam o mesmo valor. Alguns controles resolvem problemas isolados, enquanto outros criam alavancagem ao mitigar riscos adjacentes. Investimentos de alta alavancagem fornecem um retorno multiplicado, reduzindo a urgência de resolver riscos relacionados.
Na minha experiência, proteger toda a autenticação do servidor com MFA ou restrições de uso (por exemplo, limitar contas de serviço de acordo com a origem e o destino) atenua uma série de riscos relacionados a senhas e gerenciamento de acesso. Senhas de baixa qualidade, incerteza sobre onde suas senhas são armazenadas ou escritas, falta de rotação para identidades não humanas, e preocupações sobre contas com privilégios excessivos — todos esses serão problemas menos urgentes para resolver se você tiver proteção de autenticação adequada.
Por outro lado, evitar que senhas sejam armazenadas de forma insegura é um problema incremental e difícil que não pode ser resolvido com alavancagem. Uma senha pode ser encontrada em um arquivo em um computador, em uma conta de armazenamento em nuvem, em um compartilhamento de arquivo, etc. Resolver esse problema sozinho requer um esforço considerável e não atenua outros riscos igualmente urgentes. Mesmo que uma senha seja armazenada com segurança, ela ainda estará em risco se for de baixa qualidade.
Encontrar investimentos com alavancagem reduz a urgência dos riscos técnicos que eles mitigam; eles compram espaço e tempo para sua equipe construir seu teto de segurança.
Questões de proteção amplas
Há uma história bem conhecida de um exercício da equipe vermelha que ilustra um ponto crucial: para violar um data center de alta segurança, um hacker ético encontrou uma porta robusta e com acesso controlado. Em vez de tentar contorná-la, eles correram pela parede de gesso adjacente a ela.
Essa história me fez pensar em como os invasores são como água; eles sempre encontrarão o nível mais baixo. O adversário simplesmente mudará para frutas mais fáceis de alcançar se uma organização restringir seus esforços de segurança a um número limitado de sistemas ou contas. A maioria dos ataques cibernéticos é motivada financeiramente e oportunista; eles não são pessoais.
Considerando o quão complexos e conectados nossos sistemas são hoje, não podemos assumir que qualquer conta, não importa quão inocente pareça, seja segura ou de prioridade muito baixa para proteção. A chave para a escalabilidade é avaliar os investimentos quanto à sua facilidade de escalabilidade.
Plataformas que permitem um plano de controle facilmente gerenciável são mais escaláveis do que controles incrementais e descentralizados. Controles de segurança fortes que não podem ser implementados em escala criam uma base fraca. Para atingir a escalabilidade, uma abordagem abrangente é necessária para fechar essas lacunas de forma eficiente.
Uma abordagem equilibrada à segurança da identidade
Líderes de segurança de identidade têm papéis complexos e exigentes. Construir um amplo piso de segurança enquanto prioriza investimentos que compram espaço e tempo para sua equipe pode ajudar. Equilibrar essa maneira de pensar com os requisitos de conformidade, que por sua própria natureza incentivam a construção seletiva de altos tetos de segurança, irá ainda mais longe para proteger seu ambiente. Na verdade, acredito que esse ato de equilíbrio é o só método eficaz de redução de riscos nos ambientes atuais.
É importante priorizar investimentos que forneçam alavancagem, ampla cobertura e controle centralizado para reduzir o risco em escala. Manter esses princípios em mente permitirá que as organizações protejam a identidade de forma eficiente e fiquem à frente das ameaças em evolução sem se afogar na complexidade.
Para os líderes de segurança, o desafio é claro: construir uma base sólida, investir em soluções de segurança escaláveis e garantir que seus esforços de segurança ganhem o tempo e o espaço necessários para se manter à frente do cenário de ameaças à identidade.