Embora o IAM seja um componente fundamental, não é sinônimo de segurança de identidade.
As equipes de segurança frequentemente presumem que, por terem implementado uma solução de IAM, a camada de identidade está segura. Mas a segurança de identidade exige muito mais: visibilidade de todas as identidades (incluindo as não humanas) – em todo o ambiente híbrido, aplicação de privilégios mínimos, verificação contínua de acesso e detecção de ameaças para credenciais comprometidas.
Enquanto isso, os invasores se adaptaram. Eles não estão mais "invadindo" — eles estão efetuando login, usando credenciais roubadas ou mal utilizadas, explorando acesso superprovisionado ou abusando de recursos não gerenciados. contas de serviço.
Para responder eficazmente, as equipes de identidade e segurança devem repensar a segurança da identidade como uma camada de defesa unificada e contínua — que abrange acesso humano e não humano, no local e na nuvem, sinais de risco em tempo real e automação.
At SilverfortAcreditamos que esses 10 Mandamentos da Segurança de Identidade fornecem essa base estratégica. Seja você um CISO arquitetando uma Confiança zero Seja um modelo ou um engenheiro de identidade lidando com riscos diários, esses mandamentos (também conhecidos como princípios) ajudarão você a amadurecer seu programa de segurança de identidade e a construir confiança duradoura em toda a sua empresa.
Manual de Segurança de Identidade
Seu plano de ação de 5 etapas para uma estratégia de segurança de identidade sustentável
1. Conheça suas identidades (Thou Shalt Know Thy Identities)
Entenda e faça um inventário de todas as identidades — humanas e não humanas — em seu ambiente.
A empresa moderna é uma rede complexa de usuários, dispositivos, aplicativos, APIs e scripts de automação. Sem visibilidade total dessas identidades e seus direitos, é impossível protegê-los.
Exemplo:
Uma empresa descobre que possui mais de 4,000 contas de serviço — das quais apenas 2,500 estão em uso ativo. As demais, há muito esquecidas, ainda mantêm acesso privilegiado.
Lição:
Comece pela descoberta. Se você não consegue ver, não consegue proteger.
2. Abrace o menor privilégio (Abraçarás o acesso ao menor privilégio)
Conceda o acesso mínimo necessário, nada mais.
Muitas violações ocorrem porque usuários ou sistemas retêm acessos que não precisam mais. O princípio do privilégio mínimo minimiza o risco de movimento lateral limitando o acesso ao essencial. Isso é fundamental para sua estratégia geral de gerenciamento de postura, permitindo que você encontre e corrija configurações incorretas, use inteligência correlacionada para analisar privilégios e aprimore sua higiene geral de identidade.
Exemplo:
Um estagiário herda o acesso ao código-fonte da organização devido à duplicação de funções. Mesmo após deixar a empresa, esse acesso permanece ativo.
Lição:
Projete o acesso para ser específico da função, limitado no tempo e sensível ao contexto, não herdado ou permanente.
3. Autenticar e impor com força (Tu autenticarás com força)
Vá além das senhas para senhas seguras, adaptáveis e autenticação baseada em risco.
A segurança baseada em senhas não é mais suficiente. Implemente proteção contra phishing Autenticação multifatorial (MFA) e aplicar políticas que se adaptam com base no tipo de dispositivo, localização e comportamento do usuário.
Exemplo:
Um usuário financeiro tenta fazer login em um dispositivo desconhecido no exterior. O sistema solicita a autenticação biométrica multifator (MFA) e aciona um fluxo de trabalho de aprovação.
Lição:
Eficaz autenticação é transparente para usuários legítimos e impenetrável para invasores.
4. Assuma o compromisso (Você deve assumir a violação e projetar o compromisso)
Projete seus sistemas de identidade com a expectativa de comprometimento.
O Zero Trust se baseia no princípio de que nenhuma identidade deve ser confiável por padrão. Os sistemas devem verificar continuamente as identidades e detectar comportamentos anômalos para reduzir o tempo de permanência e mitigar danos.
Exemplo:
Uma chave da AWS é publicada acidentalmente no GitHub. A análise automatizada de comportamento detecta atividades anormais e revoga a chave imediatamente.
Lição:
Considere a detecção e a contenção tão importantes quanto a prevenção.
5. Governe o ciclo de vida da identidade (governarás o ciclo de vida da identidade rigorosamente)
Automatize e orquestre o gerenciamento de identidades, desde a integração até o desligamento.
Processos manuais de identidade são lentos, propensos a erros e arriscados. Implemente a automação para provisionar, ajustar e revogar o acesso com base em mudanças na função ou no status de emprego.
Exemplo:
A saída de um funcionário aciona um processo automatizado de desprovisionamento, revogando todo o acesso aos sistemas em minutos.
Lição:
A segurança depende da precisão — e a precisão depende da automação.
6. Proteger identidades não humanas (Tu protegerás identidades não humanas igualmente)
Trate contas de serviço, APIs e bots com o mesmo rigor que usuários humanos.
Identidades não humanas agora superam em número os humanos em muitas empresas. Essas entidades geralmente têm privilégios elevados, mas recebem muito menos supervisão.
Exemplo:
Um script legado usa credenciais codificadas que não foram rotacionadas em mais de dois anos. Essas credenciais têm acesso a bancos de dados confidenciais.
Lição:
Identidades de máquina também são alvos. Eles precisam de governança, rodízio e visibilidade.
Segurança de identidade não humana
Cada NHI — à vista e sob controle
- Descubra automaticamente todos os NHI em seus ambientes.
- Mapeie suas atividades e estabeleça linhas de base.
- Aplique o controle e limite suas atividades.
7. Verifique continuamente o acesso (Tu deverás verificar o acesso continuamente)
O acesso deve ser temporário por padrão e reavaliado regularmente.
O que era apropriado ontem pode ser excessivo hoje. Implemente revisões de acesso, revogação dinâmica e gatilhos de reautenticação para garantir que apenas os usuários certos tenham o acesso certo no momento certo.
Exemplo:
Um desenvolvedor recebe acesso temporário aos registros de produção para um projeto de uma semana. O sistema revoga o acesso automaticamente após 7 dias, a menos que seja renovado.
Lição:
A confiança deve ser conquistada — e reconquistada — continuamente.
8. Aplicar a política com automação (Tu deves aplicar a política com automação)
Use contexto e automação em tempo real para orientar decisões de acesso.
Aprovações manuais de acesso não são escaláveis. Políticas dinâmicas e baseadas em risco devem orientar a aplicação com base no comportamento do usuário, horário do dia, localização e postura de risco do dispositivo.
Exemplo:
Um prestador de serviços, que normalmente faz login em um laptop fornecido pela empresa e sai às 16h (horário da costa leste dos EUA), tenta acessar um repositório de código-fonte confidencial de um dispositivo pessoal às 23h30. Um mecanismo de políticas detecta a atividade incomum com base no histórico de comportamento do usuário, sinaliza a anomalia e aciona a autenticação por etapas. Quando a autenticação multifator (MFA) falha, o sistema bloqueia o acesso e notifica a equipe de segurança em tempo real.
Lição:
A aplicação de políticas em tempo real permite que as organizações identifiquem anomalias antes que elas se tornem incidentes — com a velocidade e a precisão que as revisões manuais não podem oferecer.
9. Proteger a infraestrutura de identidade (Protegerás a infraestrutura de identidade)
Proteja e monitore as plataformas que gerenciam a identidade com uma única plataforma que pode se integrar a todos os tipos de infraestrutura de identidade. Ele deve ser independente de fornecedor, leve e oferecer um único plano de controle para descobrir, gerenciar e proteger toda a sua estrutura de identidade e as identidades contidas nela.
Provedores de identidade (IdPs), serviços de federação, controladores de domínio e ferramentas de acesso privilegiado são ativos de Nível 0. Se forem comprometidos, tudo o que acontece a jusante estará em risco. Ao mesmo tempo, qualquer identidade pode ser um ponto de entrada para invasores. Use soluções leves e fáceis de implantar para que você possa ver e investigar todas as identidades em todos os sistemas.
Exemplo:
O acesso do administrador ao provedor de identidade é restrito com o MFA baseado em FIDO2. Todas as alterações são registradas e monitoradas em tempo real.
Lição:
Sua infraestrutura de identidade é a joia da coroa. Trate-a como tal, reunindo todos os dados de identidade em uma única visualização que seja fácil de correlacionar e analisar.
10. Alinhar com padrões e estruturas (Tu deverás alinhar com estruturas e padrões de segurança)
Use estruturas estabelecidas para comparar, orientar e amadurecer sua estratégia de identidade.
Padrões como NIST 800-63, NIST 800-207 (Zero Trust), ISO/IEC 27001 e CIS Controls fornecem estrutura para melhorar a maturidade da identidade e demonstrar conformidade.
Exemplo:
Uma empresa multinacional mapeia suas políticas de controle de acesso para o NIST 800-207 e usa o CIS Controls v8 para auditoria e relatórios.
Lição:
As estruturas são sua bússola, não uma lista de verificação de conformidade.
Um chamado para viver de acordo com as novas regras de identidade
A identidade não é mais apenas um componente da segurança cibernética —é segurança cibernética.
Para ter sucesso em um mundo Zero Trust, as organizações devem garantir o acesso humano e não humano com igual diligência.
Esses 10 mandamentos servem como um modelo prático para evoluir sua postura de segurança de identidade — da visibilidade e governança à aplicação e automação.
At Silverfort, capacitamos organizações a implementar esses princípios em escala. Nossa plataforma estende a segurança de identidade a ativos e ambientes onde a segurança tradicional Ferramentas IAM ficam aquém — incluindo sistemas legados, interfaces de linha de comando e aplicativos não federados.
Porque se você não consegue proteger a identidade, você não consegue proteger a empresa. Saiba mais sobre o Silverfort caminho por visitando aqui.