Toda empresa carrega consigo uma bagagem. Na identidade, essa bagagem frequentemente está no cerne das operações: Active Directory, contas de serviço, desatualizadas e inseguras autenticação protocolos (alguém está preocupado com o NTLM?), e aplicações on-premise que são essenciais para a continuidade dos negócios. Esses sistemas existem há décadas e estão profundamente integrados aos ecossistemas de TI. Eles não vão desaparecer tão cedo, mesmo com as iniciativas de transformação da nuvem.
Credenciais comprometidas, movimentação lateral e campanhas de ransomware geralmente começam com contas de serviço não gerenciadas ou do AD, pois são o caminho de menor resistência. Na verdade, pesquisas recentes revelam que 94.3% das organizações não têm visibilidade total de suas contas de serviço, muito menos entendem suas atividades. Os invasores sabem que esses sistemas não foram criados para ameaças modernas, assim como IAM e as equipes de segurança sabem que eles também não foram criados para controles modernos.
Já passei por isso, e é fácil se sentir preso sob o peso de todo esse risco residual de identidade quando as únicas opções para lidar com ele são duas escolhas, em última análise, insatisfatórias: gerenciá-lo integrando-o às ferramentas tradicionais de IAM ou migrando-o. Ambas as abordagens são lentas e caras de implementar — e o risco permanece inalterado até que o trabalho seja concluído.
Na minha época como Chefe de IAM para um grande varejista, Descobri que existe uma terceira viaA questão-chave para a maioria das empresas é: “Como posso estar suficientemente seguro apesar do meu legado?” A natureza das ameaças atuais significa que cada conta é um risco e requer proteção, então não podemos deixar nosso legado para trás ou esperar que a transformação aconteça sistema por sistema.
Opção tradicional 1: Gerencie seu risco de identidade
A primeira opção que a maioria das organizações considera é “gerir” o seu risco de identidade, normalmente através da aplicação de controlos compensatórios, como PAM - Gestão de Acesso Privilegiado (PAM). Em teoria, isso permite uma supervisão mais rigorosa de contas de alto risco.
Na prática, e como a maioria das pessoas que já participaram de um projeto de integração de PAM sabe, a abordagem é cheia de obstáculos:
- A integração é lenta e difícil, com progresso conquistado conta por conta.
- O “medo de quebrar coisas” vence: não saber o que as identidades devem fazer traz riscos, o que é especialmente ruim para sistemas que não são mais desenvolvidos ativamente.
- É frágil: migrações de infraestrutura e mudanças no sistema tornam obsoletos os controles duramente conquistados.
- Para ter integridade, significa fazer alterações no controle para evitar que ele seja contornado (por exemplo, verificação de credenciais gerenciadas pelo PAM).
E o mais importante, o risco permanece inalterado até que o projeto seja concluído.
Para muitas empresas, isso significa anos de exposição não gerenciada, enquanto sua equipe se ocupa com trabalhos complexos, técnicos e incrementais que mal afetam seus níveis reais de risco. Isso leva a muito conversas executivas difíceis: “Quando o trabalho será concluído?” “Qual é o nosso risco residual?”
Ao gerir seletivamente o risco com base em contas privilegiadas Com a mentalidade de que isso poderia manter todo o seu cenário de identidade seguro, é uma esperança, e não uma estratégia escalável. Essa abordagem apenas adia o inevitável até que você não possa mais ignorá-lo.
Enquanto o 'nível 0' — suas chaves para o reino dos controladores de domínio, PKI, hipervisores — é necessário Para proteger, você não pode parar por aí. Os sistemas que administram o negócio devem ser igualmente bem protegidos para evitar interrupções nos negócios, tempo de inatividade e danos à reputação dos seus clientes.
Seminário on-line sob demanda
Descobrindo e abordando os pontos cegos no PAM
Cadastra-se Silverfort's Ron Rasin, Diretor de Estratégia, e Kev Smith, Engenheiro Principal, enquanto discutem os pontos cegos nas tecnologias tradicionais Soluções PAM e mergulhar nos fundamentos da Segurança de Acesso Privilegiado (PAS)
Opção tradicional 2: migrar para longe do seu risco
A segunda opção que vejo muitas empresas considerando é “migrar” ou modernizar. Isso geralmente significa substituir credenciais estáticas por dinâmicas, adotar a tecnologia sem senha ou mover cargas de trabalho para ambientes de nuvem com recursos integrados. Proteção de identidade. Em princípio, tudo isso é bom, mas os desafios são familiares:
- São necessárias mudanças no sistema, o que pode causar a quebra de aplicativos legados frágeis.
- A migração é lenta e fragmentada, movendo aplicativo por aplicativo.
- Os custos aumentam rapidamente, tanto em tempo quanto em recursos.
E, mais uma vez, o risco permanece inalterado até que o trabalho seja concluído, o que pode levar anos.
Não me interpretem mal: a modernização é essencial para uma estratégia de TI de longo prazo. Feita corretamente e de forma completa, ela lhe dará a chance de finalmente vencer a batalha do comprometimento de contas/segurança de identidade.
Mas não é uma solução realista para redução imediata do risco, e corre o risco de deixar seus sistemas e aplicativos legados suscetíveis a invasores. Afinal, a grande possibilidade de quebrar um processo vital agora é mais alarmante do que o risco de comprometimento de conta, violação ou movimento lateral em algum momento no futuro.
Da minha perspectiva, a modernização deve ser feita a partir de um ponto de confiança no hoje. Isso significa conter o risco de identidade enquanto se constrói para o futuro. É a única estratégia responsável, dado o foco dos invasores na identidade.
Blog
NOTLogon: Como uma máquina com poucos privilégios pode causar um ataque DoS em seu domínio
Silverfort descobre Active Directory Vulnerabilidade de negação de serviço (DoS), conhecida como NOTLogon (CVE-2025-47978)
A terceira via: Dominando seu risco de identidade
Se gerenciar e migrar não são suficientes, então o que é esquerda? A resposta é dominar o risco de identidade.
Já falei antes sobre a importância de comprar para você e sua equipe tempo e espaço para modernizar seu cenário de identidade mantendo o controle do risco em cada etapa do caminho.
Adotar essa abordagem significa assumir a responsabilidade pela exposição da sua identidade sem depender de controles frágeis ou migrações plurianuais. Significa aplicar tecnologias modernas segurança de identidade para cada parte do seu ambiente — sistemas legados incluídos, sem exceções — para que você possa reduzir os riscos agora, não anos depois. Na minha experiência, a melhor maneira de fazer isso é implementar uma proteção de amplo espectro que eleve sua linha de base de segurança e fortaleça seus elos mais fracos. É isso que quero dizer com masterização seu risco de identidade.
Requisitos principais para dominar o risco de identidade:
- Desenvolva um entendimento amplo, sobre todas as identidades e sistemas, seus comportamentos e os processos que eles tocam ou influenciam.
- Sem integração: a proteção não deve depender do registro manual da conta.
- Sem alterações no sistema: os sistemas legados permanecem intactos e não precisam ser alterados.
- Controles confiáveis, emgarantir a proteção não ocorre às custas do tempo de atividade ou com aquele medo generalizado de quebrar as coisas.
O que isso parece na prática?
Dominar o risco de identidade significa mudar a forma como pensamos sobre autenticação. Em vez de tratá-la como um facilitador de negócios que prioriza o tempo de atividade a todo custo, devemos priorizar a segurança.
Em um modelo que prioriza a segurança, a autenticação se torna o ponto de controle da linha de frente, aplicando políticas baseadas em risco por padrão e contendo ameaças antes que elas se espalhem. Imagine se estas fossem as regras básicas em todo o seu ambiente:
- Exigir MFA para todo o acesso à infraestrutura sensível. Cada administrador que faz login Active Directory. Cada desenvolvedor conectado a um servidor de produção. Cada conta de serviço executando um processo em lote crítico. A aplicação universal de autenticação forte garante que invasores não possam simplesmente entrar com credenciais roubadas ou obtidas por força bruta. MFA é integrado diretamente ao processo de autenticação, mesmo sistemas legados que nunca o suportaram nativamente podem se beneficiar dessa proteção.
- Limite o raio de explosão, independentemente da sua maturidade de governança de acesso. Cada conta não humana é restrita apenas ao que faz regular e repetidamente; qualquer coisa fora do comum é bloqueada. Os administradores têm permissão para acessar recursos em registros de alterações e incidentes atribuídos, e são bloqueados de todos os outros, independentemente de seus privilégios — isso é verdade. Ultimo privilégio. Agora você está no controle das proteções que definem o que pode acontecer e onde, então o raio de ação de qualquer comprometimento de conta é limitado.
- Negue conexões que não sejam originárias de fontes confiáveis.
Uma tentativa de login de um local inesperado, uma estação de trabalho fora do controle corporativo ou um IP suspeito nunca deve ser tratada da mesma forma que uma solicitação de acesso padrão. A aplicação em linha permite desafiar, restringir ou bloquear completamente tal atividade em tempo real. Isso reduz drasticamente o raio de ação: mesmo que as credenciais sejam roubadas, elas não poderão ser usadas fora dos parâmetros que você definir.
- Bloqueie o uso de protocolos legados ou inseguros. NTLM e outros protocolos desatualizados persistem porque mantêm sistemas legados críticos ativos. Mas os invasores contam com esses mesmos pontos fracos para executar ataques de passagem de hash e retransmissão, geralmente em sistemas que nem sequer os exigem. Com controles modernos no ponto de autenticação, agora você pode restringir seu uso apenas onde for necessário. Não é mais uma escolha binária.
Ao implementar controles como esses diretamente na infraestrutura do IAM, em linha e sem exigir alterações disruptivas nos sistemas, o próprio ambiente agora é projetado para conter riscos de identidade. Isso é segurança de identidade em ação.
Com os riscos de identidade controlados dessa forma, você estará livre para modernizar seus sistemas no seu próprio ritmo — experimentando credenciais efêmeras, caminhando em direção ao privilégio zero ou repensando modelos de acesso — sem deixar seus sistemas expostos e sem a pressão da redução de riscos que impulsiona os prazos.
Quanto mais os desafios do legado persistirem, mais eles minarão suas defesas atuais e seu progresso futuro. Mas, ao Ao incorporar segurança à estrutura de autenticação e assumir o controle do risco de identidade hoje, em vez de esperar anos para que os projetos de transformação sejam concluídos, você está se preparando para o sucesso. Faça isso agora e suas transformações futuras serão mais rápidas, mais fortes e mais seguras. Afinal, o padrão ouro de hoje será o legado de amanhã.
Para saber mais sobre etapas práticas para implementar esta abordagem, baixe o Manual de Segurança de Identidade.
Recurso gratuito
Manual de Segurança de Identidade
Este guia é o seu recurso essencial para proteger todas as identidades no cenário digital em expansão da sua organização. Você encontrará insights práticos e um plano de ação em 5 etapas para alcançar uma estratégia de segurança de identidade sustentável e eficaz.