O mundo tradicional de domínios unidos Active Directory (AD) colidiu com a explosão de serviços na nuvem, Aplicativos SaaS, identidades não humanas (NHIs), e autônomo Agentes AI, criando uma vasta superfície de ataque – embora muitas vezes invisível.
O que antes era um castelo bem remendado de tickets Kerberos agora é uma selva impulsionada por IA, com proliferação de tokens, contas de serviço superdimensionadas e... movimento lateral na velocidade da máquina.
Mas a verdade é que, mesmo com a constante evolução do conceito de “identidade”, muitas organizações ainda enfrentam desafios fundamentais que existem desde o início dos anos 2000. Isso mesmo, estou falando de legado. Active Directory.
Enquanto os CISOs passaram a discutir a adoção segura da IA com o restante da alta administração, o CIO e IAM As equipes continuaram a operar discretamente nos bastidores, concentrando-se em como atender às necessidades de negócios e às capacidades de colaboração que existem independentemente do tipo de infraestrutura que mantém a empresa funcionando.
IAM ≠ Segurança de Identidade
Existe um equívoco evidente de que a forma como o IAM opera atualmente é a melhor (ou a única) abordagem para incorporar segurança quando se trata de identidade, e agora é o momento de alinhar o CIO e o CISO.
Conceder acesso não equivale a controlar o risco que esse acesso acarreta. É aqui que identidade e segurança se chocam, e isso levanta a seguinte questão: “Ei, CISO, você se sente confortável com o seu CIO?” Active Directory Qual é a estratégia na era da IA?
Vou dar um exemplo: a equipe de IAM sincroniza o AD local com... Entra IDJane Doe, do departamento de marketing, alterou sua senha, que agora é: além Os dados, que antes eram armazenados localmente, foram replicados e armazenados na nuvem. O processamento e a segurança dos dados são diferentes em ambientes locais e na nuvem, portanto, a equipe de infraestrutura acabou expandindo a superfície de ataque da organização enquanto realizava as tarefas para as quais deveria estar trabalhando.
No restante deste artigo, exploraremos a evolução do risco de identidade e por que um risco específico é tão relevante. segurança de identidade A estratégia precisa ser um esforço colaborativo entre as equipes de TI e segurança, e é necessário definir como tomar medidas práticas para estabelecer objetivos comuns, mantendo a conformidade.
A identidade é agora a superfície de ataque nº 1
Active Directory nunca foi projetado com IA em mente. Tínhamos confiança centralizada, Kerberos. autenticação, e a Política de Grupo era facilmente definida devido a um perímetro limitado. As identidades eram principalmente humanas, e escalação de privilégios Seguiram caminhos laterais previsíveis (por exemplo, pass-the-hash). A segurança seguiu um modelo claro: reforço de GPO, redes Tier 0 e defesas de "golden ticket".
Mas depois veio transformação em nuvem e híbrida...
O perímetro se dissolveu. O modelo híbrido tornou-se a norma, com as organizações ainda mantendo o Active Directory local para aplicativos de missão crítica e para atender às exigências de conformidade, enquanto estendiam as identidades para outros ambientes. Entra ID or OctaA fácil disponibilidade de aplicativos SaaS fez com que a TI paralela se tornasse mais comum do que nunca, e muitas identidades agora proliferam fora do alcance do SOC.
Avanço rápido para identidades não humanas e IA agente. NHIs como contas de serviço e chaves de API agora superam as identidades humanas em pelo menos 50:1., enquanto agentes de IA recebem acesso a arquivos, sistemas financeiros, calendários e bases de código – deixando para trás novos tokens, credenciais e registros.
O resultado final? Seu Active Directory agora é apenas um raio em um hub de sistemas desconectados e com permissões excessivas. O risco de identidade agora é dinâmico, então você não pode confiar em modelos estáticos baseados em funções. Invasões como a da SolarWinds exploram identidades federadas e falsificação de tokens SAML, expondo a verdade de que as identidades são frequentemente persistentes, possuem permissões excessivas e são mal governadas.
Em vez de abordar a "identidade" como uma mera questão de gestão de acesso, é necessário realizar uma avaliação contínua da segurança.
“Seu Active Directory agora é apenas um raio em um centro de sistemas desconectados e com permissões excessivas.” - Eric Haller, Consultor
O que mudou no cenário de risco?
Com a IA e a transformação digital, a utilização da identidade muda. Ela se torna federada (nuvem) e também personificada (IA), de modo que os problemas de obter visibilidade e estabelecer controle se tornam mais difíceis de resolver. Esse cenário significa A comunicação e a estratégia também precisam mudar.A equipe de IAM responsável pelo provisionamento da infraestrutura precisa estar totalmente alinhada com a equipe de segurança que protege essa infraestrutura, e vice-versa. Não existe mais meio-termo.
Abaixo estão os objetivos principais que devem ser compartilhados devido a essa nova realidade:
- Mantenha um inventário de identidades.
- Configure sistemas a partir de uma perspectiva de identidade.
Orientações sobre como implementar as metas principais e seus respectivos planos de ação.
Vamos detalhar quais são esses objetivos principais e por que eles são importantes.
Passo 1: Conhecer e classificar as identidades existentes.
A Gartner começou a chamar isso de “Plataformas de Inventário, Visibilidade e Inteligência de Identidade (IVIP)Mas isso é apenas uma maneira sofisticada de dizer que tanto a equipe de identidade quanto a de segurança devem ser capazes de identificar quais identidades existem, que tipos de identidades são e como essas identidades interagem com os sistemas ao seu redor. Um exemplo prático seria a equipe de identidade provisionar acesso a uma determinada pasta no SharePoint, e a equipe de segurança ter visibilidade da existência e das permissões dessa identidade. Com base no conhecimento das melhores práticas de segurança, o gerente de segurança pode fornecer recomendações de privilégio mínimo após ter uma visão completa do acesso de uma identidade na organização. O líder de segurança também pode fornecer contexto importante sobre outras lacunas existentes ou que outros acessos a conta pode ter além do provisionamento pretendido. Isso representa uma oportunidade de validação e avaliação de riscos que normalmente é negligenciada, especialmente à medida que o número de identidades em uma organização continua aumentando. Novamente, isso só é possível quando sabemos o que identidades existem com suas relações em todo o ambiente híbrido.
Etapa 2: Priorize todas as identidades privilegiadas (não apenas aquelas que a PAM conhece)
É provável que sua organização utilize um PAM - Gestão de Acesso Privilegiado Solução (PAM). O problema com isso é o PAM. A qualidade de um sistema depende da qualidade das identidades presentes nele. É fundamental identificar e classificar todas as identidades. contas privilegiadas Com base na atividade de autenticação real, você poderá mapear os riscos em todo o ambiente e capacitar a equipe de segurança a implementar controles de acesso Just-in-Time (JIT). A equipe de IAM pode dar suporte nesse processo, fornecendo contexto adicional sobre cada identidade privilegiada e garantindo responsabilidade e documentação adequadas. Outro benefício é a capacidade de embasar uma estratégia de engenharia de alertas SOC mais robusta, com base no nível de detalhamento compartilhado.
Etapa 3: Reforçar a higiene de segurança subjacente
Um ambiente mais seguro também é mais fácil de gerenciar e provisionar. Por exemplo, aquele contratado da equipe de operações que encerrou o trabalho há 6 meses? Ele ainda está no sistema. O monitoramento contínuo ajuda a "limpar" o que existe e porque no inventário geral de identidades, facilitando para a equipe de segurança a redução do superfície de ataque e a equipe de identidade para gerenciar os sistemas e aplicativos em uso. Indo além, os dois departamentos podem trabalhar juntos para aplicar acesso condicional baseado em risco políticas e escopos isolados, otimizando ainda mais a sinergia com os pipelines SIEM/SOAR que sinalizam atividades incomuns. Esta é uma das considerações mais importantes para estabelecer resultados compartilhados entre as equipes de IAM e segurança – com o CIO e o CISO trabalhando juntos, táticas de prevenção automatizadas, como o bloqueio do acesso do contratado, podem ser implementadas antes que ocorra o abuso.
Um plano de ação viável para trabalhar a partir de objetivos comuns.
Após definirem seus objetivos principais, é hora de reunir o CIO, o CISO e suas respectivas equipes de IAM e segurança para uma conversa. Estes são os tópicos a serem abordados em conjunto para: a) confirmar resultados mensuráveis e b) identificar as lacunas de comunicação e de projeto que precisam ser sanadas:
- Mapeie o seu sistemas de joias da coroa e quem (ou o quê) tem acesso a eles.
- Identifique o As 10 identidades mais arriscadas com base em privilégio, uso e expansão.
- Desenvolvedor Manuais SOAR Monitorar eventos importantes do ciclo de vida da identidade, como o término de acesso latente (ou similares).
- Parceiro em engenharia de alertas (e fluxos de enriquecimento/contexto) Para melhorar a visibilidade do SOC em relação ao uso indevido de contas, isso aproveita o conhecimento do IAM sobre os usuários pretendidos (em vez da visão da equipe de segurança sobre os usuários reais) para aprimorar as proteções.
- Estabeleça processos de comunicação Quando incidentes não detectados (segurança) e causados por falhas de controle (TI) abrem caminho para melhorias nos controles (IAM) e na cobertura de segurança.
- Comece a usar MFA baseado em comportamento, Detecção de ameaças com foco na identidade e registro detalhado de informações.
Se você controla a identidade, você controla a cadeia de eliminação.
Num mundo de automação e IA onde Active Directory continua a impulsionar a continuidade dos negócios e a produtividade da mesma forma, A identidade é o novo ponto final, o novo perímetro e a nova chave do reino. Se você não consegue ver, segmentar e proteger algo – uma façanha que exige que tanto a Gestão de Identidades e Acessos (IAM) quanto a segurança trabalhem a partir de comportamentos e objetivos compartilhados – você já perdeu.
Vamos levar a sério a defesa de identidade de próxima geração, porque a próxima violação de segurança não será um ataque de força bruta. Será um agente de IA autônomo com uma chave de API antiga..
Para começar a construir resultados e projetos compartilhados entre as equipes de IAM e segurança, Comece criando seu inventário de identidades. Para esclarecer o que realmente está acontecendo em seu ambiente.