O declínio inevitável do PAM tradicional 

Silverfort Imagem
Silverfort_PAS_Blog_4
Conteúdo

Compartilhe este post:

As soluções PAM tradicionais dominam o mercado há anos, mas a verdade é que você provavelmente não precisa de uma para cobrir os casos de uso de acesso privilegiado mais comuns em seu ambiente.  

PAM Soluções tendem a ser complexas, demoradas para implementar e difíceis de implementar. As mudanças no fluxo de trabalho para usuários como administradores de TI e desenvolvedores costumam gerar frustração — e a necessidade de maneiras criativas de contorná-las. Isso deixa seus usuários críticos vulneráveis ​​a comprometimentos até que seu projeto de PAM esteja totalmente implantado.  

Até mesmo os fornecedores tradicionais de PAM estão acordando para essa realidade e estão pensando em mudar de suas soluções centradas em cofres para uma abordagem mais dinâmica e moderna para proteger usuários privilegiados. Por quê? A antiga abordagem de proteger cada usuário simplesmente não é mais necessária. É hora de ser mais proativo em segurança e adotar abordagens e soluções projetadas para as ameaças atuais. 

Neste blog, explicaremos por que as organizações estão abandonando as ofertas tradicionais de PAM em favor de uma abordagem mais moderna para segurança de identidade.  

Por que o PAM tradicional está caindo em desuso  

Durante anos, as soluções de PAM se destacaram por correlacionar vários usuários em uma única conta genérica ou compartilhada, além de impor a gravação de sessões por meio de um proxy de sessão. Essa abordagem fazia sentido em uma época em que a conta de administrador integrada era o padrão para gerenciar ativos. Mas as coisas mudaram. Com os ambientes híbridos atuais e o cenário de ameaças em constante evolução, as práticas recomendadas tradicionais de PAM não estão à altura das demandas de segurança modernas. 

Isso é devido ao: 

  • Problemas de compatibilidade com níveis de AD: Acessar uma camada privilegiada via PAM a partir de um endpoint menos privilegiado quebra o modelo de camadas do AD, enquanto o acesso proxy PAM, que busca credenciais de um cofre sem acessar o endpoint, oferece uma solução segura e compatível com as camadas. No entanto, isso prejudica a eficácia das soluções PAM tradicionais. Uma implantação de PAM dedicada para cada camada no modelo de camadas, acessada a partir de uma Estação de Trabalho com Acesso Privilegiado (PAW) para essa camada, é o único método compatível, mas tem muito pouco valor agregado, pois é realmente necessária apenas para gravação de sessões ou rastreamento de acesso a contas compartilhadas. Isso a torna uma proposta pouco atraente, considerando a infraestrutura extra e a sobrecarga de gerenciamento. 
  • Ineficácia da gravação da sessãoEmbora a gravação de sessão possa parecer uma solução eficaz para auditoria, ela é, em geral, um exagero para administradores de PAM que utilizam esse recurso. Com o registro adequado configurado no recurso gerenciado, a gravação de sessão torna-se desnecessária. Além disso, a maioria das organizações não dispõe de tempo e recursos dedicados para revisar essas gravações, reduzindo seu valor à análise ocasional pós-violação durante investigações de incidentes. 
  • Cobertura limitada:As soluções PAM concentram-se em proteger conhecido usuários privilegiados, mas não conseguem lidar com contas não monitoradas, deixando as organizações expostas a pontos cegos. Os recursos de descoberta geralmente dependem de convenções de nomenclatura e associações a grupos, mas não conseguem detectar contas de bypass, deliberadamente projetadas para permanecer ocultas e usadas por administradores de TI para driblar os controles de PAM. Além disso, usuários de desktop (nível 2), que frequentemente fazem login diretamente com senhas, enfrentam o maior risco de comprometimento e não podem ser protegidos adequadamente por uma abordagem de proteção de senhas.  
  • Acesso não gerenciado ao NHIMuitas contas de máquinas privilegiadas operam sem interação direta por meio de proxies de sessão, impossibilitando o PAM de impor controles de visibilidade e segurança em tempo real nessas contas. Em vez disso, ele depende da rotação de senhas por meio de APIs e da análise limitada do log de atividades. Essa falta de descoberta adequada significa que as organizações não conseguem entender completamente onde o NHI está sendo usado, enquanto a rotação de credenciais corre o risco de interromper os sistemas. Como resultado, muitas organizações evitam gerenciar NHIs por meio do PAM, expondo ainda mais essas contas como um ponto cego de segurança. 
  • Supervisão da conta de administrador pessoal: Auditores e normas regulatórias recomendam o uso de contas de administrador pessoais para uma responsabilização clara, correlacionando as ações registradas com usuários individuais. Embora as soluções de PAM possam rastrear o uso de contas de administrador compartilhadas e vinculá-las a usuários específicos, as contas pessoais oferecem maior segurança, pois o acesso permanece limitado a um número menor de pessoas. Além disso, contas compartilhadas podem ser problemáticas quando funcionários se desligam, muitas vezes levando a lacunas de acesso revogado. O PAM tem dificuldades para gerenciar contas pessoais no modelo de cofre.  

As práticas tradicionais de PAM estão ultrapassadas e são incompatíveis com a complexidade dos ambientes de segurança modernos. Diante dos diferentes desafios e pontos cegos de segurança discutidos acima, as organizações estão migrando ativamente das abordagens tradicionais de PAM para uma abordagem mais eficaz, adaptada para atender às demandas de segurança atuais com muito mais eficiência. 

A abordagem moderna para proteger usuários privilegiados 

O PAM tradicional foi projetado com uma abordagem simples: proteger credenciais privilegiadas em um cofre, registrar seu uso e partir da premissa de que os invasores seriam dissuadidos. Essa estratégia foi eficaz em uma era de ambientes estáticos e infraestrutura local centralizada, quando usuários privilegiados eram limitados a um pequeno grupo de administradores de TI. Mas o cenário de identidade atual é dinâmico, distribuído e nativo da nuvem. O privilégio está em toda parte — em milhares de identidades, máquinas e serviços — e não cabe mais em um cofre. 

Em vez disso, precisamos de uma abordagem moderna para o PAM que vá além dos cofres e se concentre mais em identidade, acesso e contexto em tempo real. Ela deve ser projetada para fornecer visibilidade contínua sobre quem (ou o quê) tem acesso privilegiado a qualquer momento, detectar quando esse privilégio está sendo usado e aplicar controles de segurança dinamicamente — independentemente de onde o acesso ocorre, quais credenciais são usadas (se houver) ou em qual plataforma está. 

Visibilidade: Mapeando a verdadeira superfície de ataque 

A visibilidade está no cerne de garantindo acesso privilegiadoAlcançar um gerenciamento eficaz de acesso privilegiado requer uma visão abrangente e continuamente atualizada de todas as identidades — humanas e não humanas — que possuem ou podem alcançar privilégios elevados. Isso inclui não apenas contas de administrador tradicionais, mas também acesso delegado por meio de associações a grupos, funções herdadas do IAM, permissões nativas da nuvem e contas de serviço incorporados em pipelines ou scripts de automação. 

A realidade do cenário de ameaças atual é gritante: os invasores não precisam mais violar o cofre se puderem explorar uma identidade de carga de trabalho na nuvem com privilégios de API de nível administrativo. Como resultado, o mapeamento e o gerenciamento de todos os privilégios superfície de ataque é essencial para segurança proativa e redução de riscos. 

Aplicação em tempo real em todos os caminhos de acesso 

Ao contrário do PAM tradicional, que responde somente após o fato, esta nova abordagem para acesso privilegiado deve ser construída com controles de segurança em tempo real. Integrando-se diretamente com protocolos de autenticação, como Kerberos, NTLM, LDAP, SAML e muito mais — ele deve detectar a escalada de privilégios instantaneamente e aplicar controles proativamente, antes do início de qualquer sessão. 

Esta abordagem proativa pode desencadear MFA, bloquear solicitações de acesso arriscadas com base em sinais contextuais ou impor limites de sessão dinamicamente para restringir o uso indevido. Em vez de depender de logs de sessão para análises pós-incidente, isso interromperia as ameaças no ponto de acesso, garantindo que o uso indevido seja prevenido em vez de simplesmente documentado. 

Aplicando o modelo de privilégio mínimo 

Aplicação contínua de Ultimo privilégio é um componente essencial dessa nova abordagem. Em vez de depender de atribuições de funções estáticas na esperança de que não sejam comprometidas, uma solução PAM moderna deve analisar continuamente o comportamento, as tendências de uso e os direitos para identificar e eliminar privilégios excessivos. 

Aproveitando controles de acesso baseados em funções e atributos, as permissões são precisamente ajustadas e minimizadas — mesmo para contas de serviço e outras contas de máquina. Quando surgem anomalias, elas são rapidamente detectadas e tratadas em tempo real, com controles de segurança aplicados e medidas de mitigação de riscos implementadas prontamente. 

Acesso Just-in-Time: Elimine o privilégio de ficar em pé 

Para minimizar verdadeiramente os riscos, essa abordagem deve impor o acesso Just-in-Time (JIT). Em vez de conceder privilégios permanentes, os usuários elevam o acesso apenas quando necessário, por meio de aprovações com prazo determinado ou fluxos de trabalho automatizados. 

Após a conclusão da tarefa, o privilégio é revogado automaticamente. Isso minimiza a janela de oportunidade para invasores e limita o raio de ação caso uma conta seja comprometida. O acesso JIT garante privilégios temporários e rastreáveis, reduzindo movimento lateral ataques. 

Indo além do cofre 

Esta nova e moderna abordagem para proteger o acesso privilegiado não se resume a onde as credenciais são armazenadas, mas sim a como os privilégios são descobertos, monitorados e controlados em todo o seu ecossistema. É uma mudança fundamental em relação à prática ultrapassada de proteger todos os usuários, que introduz uma implementação complexa e demorada de controles de segurança e não aborda os desafios de segurança modernos. 

Em vez disso, o foco está no gerenciamento dinâmico e em tempo real do acesso privilegiado, permitindo controles de acesso personalizados sem a necessidade de usuários complexos em vaults. É um grande passo na direção certa, de uma abordagem preventiva para uma aplicação de segurança mais proativa em tempo real, desenvolvida para navegar pela complexidade das infraestruturas de identidade atuais e combater o cenário de ataques. Até mesmo as soluções tradicionais de PAM estão evoluindo para adotar essas práticas avançadas, alinhando-se melhor às necessidades organizacionais em um cenário de segurança em rápida mudança. 

Para aprender como SilverfortO Privileged Access Security (PAS) da pode ajudá-lo a mudar a maneira como você protege o acesso privilegiado, baixe nosso eBook sobre como proteger acesso privilegiado or entre em contato com um de nossos especialistas hoje mesmo. 

Ousamos levar a segurança da identidade ainda mais longe.
Descubra o que é possível.

Configure uma demonstração para ver o Silverfort Plataforma de segurança de identidade em ação.

Agende uma demonstração