Como implementar o Gerenciamento de Privilégios
- Atualizado em
- Por Naty Santos
- PAM - Gerenciamento de Acesso Privilegiado
Uma credencial é considerada um acesso privilegiado quando possui amplos direitos para alterar ou remover arquivos, programas e usuários que acessam os sistemas.
Utilizando técnicas de engenharia social, senhas compartilhadas de forma insegura ou credenciais vazadas, os atacantes conseguem encontrar contas que facilitem seu ingresso na rede.
Geralmente, as contas privilegiadas são os principais alvos dos cibercriminosos, pois são as que possuem acesso a informações sensíveis, ambientes internos privilegiados e a infraestrutura de TI da Companhia.
Pesquisas indicam que 80% das violações de segurança envolvem credenciais privilegiadas.
Por que cuidar das contas privilegiadas
A razão para ter um zelo maior pelas contas privilegiadas é bem simples: segundo relatório de 2016 da Forrester, 94% das vulnerabilidades da Microsoft registradas no ano poderiam ter sido evitadas apenas com a remoção dos direitos de administrador de usuários comuns; logo, revisar os acessos e conceder apenas os privilégios mínimos para o profissional realizar suas atividades deve ser considerada uma prática de segurança essencial.
O que você vai ver neste post
Objetivo do gerenciamento de contas privilegiadas
A gestão de acesso privilegiado tem como objetivo proteger e controlar o uso de credenciais, prover seu armazenamento seguro, segmentar os acessos e conferir total rastreabilidade da utilização, diminuindo o risco de ataques e de vazamento de dados.
Por que a gestão de privilégios diminui incidentes cibernéticos
A gestão de privilégios controla o acesso do usuário, definindo quais aplicações tem autorização para acessar.
Para o administrador de TI, facilita o gerenciamento, emitindo um relatório detalhado do acesso de cada conta, que mostra horário de acesso, servidor utilizado, quantidade e tipo de interações do usuário, rastreando a utilização da conta e identificando atividades suspeitas.
Todas essas informações são importantes para tomarem decisões que evitem incidentes futuros.
O planejamento da política de permissões
A implantação do gerenciamento de privilégios requer o levantamento das seguintes informações:
O planejamento da política de permissões
- Lista dos sistemas e aplicações: Nesta lista deve constar todas as aplicações e sistemas de empresa, sistemas de arquivos compartilhados, distinguindo recursos que são acessados internamente e externamente.
- Definição de atributos: Levantados todos os sistemas da Companhia, é preciso relacionar também seus atributos. Os mais utilizados são os seguintes:
- Leitura;
- Listar;
- Modificar;
- Escrita / Gravar;
- Excluir;
- Listar atributos;
- Execução;
- Alterar permissões.
- Lista de usuários: O objetivo deste tópico é compreender os perfis e os tipos de usuários, para decidir a melhor maneira de aplicar a política de controla de acesso. É importante analisar cada usuário e sua função dentro da Companhia.
- Lista de papéis: Com a lista de usuários em mãos, é possível relacionar os usuários a seus papéis. Normalmente, os colaboradores de um departamento da sua empresa possuem uma função determinada, mas atividades diferentes entre seus componentes. É importante crucial esclarecer que um usuário não precisa ter as mesmas permissões que seu superior, apenas porque pertence ao mesmo setor. Para construir a lista papéis, é preciso analisar a lista de usuários e ver a possibilidade de agrupá-los de acordo com as funções que executam e as permissões que necessitaram. Exemplo: Coordenador de Marketing e Analista de Social Mídia poderiam ser agrupados, pois ambos necessitaram da mesma permissão no acesso administrativo das redes sociais.
- Tempo de permissão: Utilizado em casos de emissão de permissões especiais para acessos pontuais e/ou esporádicos do usuário. Especifica a duração da permissão para realizar determinada atividade.
- Atendimento a normas e regulações: Existem algumas regulações governamentais que requerem maior controle e auditoria de acesso, como SOX, HIPAA, GLBA. Caso se apliquem ao seu ambiente, é necessário fazer uma análise criteriosa dos requisitos necessários a cada uma delas e elaborar uma lista de prioridades para elaboração e análise dos dados. É sugerido ainda que, após finalizar este processo, seja realizada uma auditoria baseada nestas exigências para verificação e validação do ambiente.
Melhore o seu gerenciamento de acesso privilegiado com a VaultOne
Tenha total controle e visibilidade sobre quem acessa os seus dados, sistemas, aplicativos, infraestrutura e quaisquer outros ativos, prevenindo ataques cibernéticos e vazamentos de dados.
Com a VaultOne, proteja os recursos da sua empresa e garanta conformidade com normas de proteção e privacidade de dados, como a LGPD e a ISO 27001.
Fale com nossos especialistas e saiba mais.