Como melhorar a segurança das identidades de máquinas

Atualizado em 26/08/2021
Por Naty Santos
IAM, PAM - Gerenciamento de Acesso Privilegiado

Com grande parte das empresas migrando para nuvem, para continuarem seus negócios durante a pandemia, a abordagem de segurança tradicional baseada em perímetro deu lugar à segurança centralizada na identidade.

Neste tipo de perspectiva, o objetivo é garantir a segurança da credencial, o acesso e proteção dos dados, onde quer que usuário esteja.

Por que gerenciar identidades

Está comprovado que a autenticação fraca e o excesso de privilégios estão entre as principais vulnerabilidades exploradas nos ciberataques.

Estabelecer controles para gerenciar as identidades garante que, quem está tentando acessar as informações corporativas seja, de fato, o usuário que possui permissão.

Como controlar o acesso de acordo com os privilégios

Quando o controle de privilégios de acesso é incorporado às práticas de segurança na empresa, é possível controlar o risco.

Então, antes do funcionário ou terceiro fazer o login, o administrador de TI pode pré-determinar à quais aplicativos e bancos de dados ele terá acesso e o que poderá fazer quando ingressar na rede: por exemplo, se poderá apenas ler as informações ou alterá-las e baixá-las, de acordo com critérios pré-estabelecidos pelo Board.

Um software de gerenciamento de privilégios de acesso possibilita que todas as sessões sejam monitoradas em tempo real, principalmente as envolvendo sites e bancos de dados de alto risco; instaurando controles preventivos e investigativos que suspender o acesso caso identifique um comportamento suspeito, evitando roubo ou violação.

Tendência: identidades de máquina

Um número cada vez maior de entidades não humanas está aumentando a presença nas Companhias, tornando o gerenciamento de identidades de máquina uma parte vital da estratégia de segurança.

O tema é, inclusive, citado no relatório ‘’Principais Tendências de Segurança e Gerenciamento de Riscos 2021’’, do Gartner, como uma tendência.

Identidades de máquina x Identidades humanas

Podemos citar como identidades humanas: administradores de TI, colaboradores e terceiros que precisam de uma credencial para acessar os ambientes e aplicações da empresa.
Uma máquina pode ser aplicativos, robôs de software, endpoints (servidores, desktops, IoT), sites, contêineres, contas de serviço e outras.
As identidades de máquina seriam aplicações de serviço, ferramentas operacionais e cargas de trabalho que necessitam de uma identidade para acessar a rede e solicitar serviços, como ler dados, por exemplo.

Abordagens para autenticar Identidades de máquina

As mais comuns utilizadas, são:

Segredos – algo que a máquina possui e pode ser apresentado como parte de uma autenticação;
Certificados digitais – documento eletrônico para comprovar a propriedade de uma chave pública;
Nome de usuário e senha – funciona exatamente como na autenticação de pessoas;
Endereço IP – que são conferidos pelos administradores dos sistemas e dificilmente são alterados.

Desafios do gerenciamento e proteção de identidades de máquina

O roubo da identidade de uma máquina pode ser realizado de forma totalmente furtiva, a não ser que alguns controles de segurança cibernética tenham sido implementados previamente.

Por exemplo, máquinas não possuem naturalmente a habilidade de se lembrar de algo e acessar este recurso, caso não consiga ser autenticado com sua senha.

Para conseguir acessar a RAM e os discos onde os dados poderiam estar armazenados, seria necessário remover as identidades de máquina da própria máquina e armazená-las em outro local, como em um Módulo de Segurança de Hardware (HSM). Todas as credenciais do VaultOne são armazenadas em um HSM.

Essa estratégia é interessante em ambientes virtualizados, nos quais o roubo de uma máquina pode ser feito através de clonagem, com a máquina permanecendo no local e uma cópia removida para análise. Entretanto, não funcionaria caso já existisse um usuário mal-intencionado na rede.

Como melhorar a segurança das identidades das máquinas?

Colocando em prática algumas regras de segurança, que valem tanto para usuários humanos quanto para não humanos. Veja:

Adotar o princípio do privilégio mínimo para limitar o acesso apenas aos recursos essenciais para o dia a dia do usuário. A maioria dos ataques bem-sucedidos explora vulnerabilidades para obter acesso a contas privilegiadas.
Adicionar autenticação multifator para restringir o uso indevido de privilégios.
Aplicar boas práticas de Gerenciamento de Senhas, eliminando problemas como a reutilização de senhas e os ataques de força bruta, uma vez que a senha é alterada com frequência.
Prover acesso remoto seguro utilizando uma solução de PAM. Isto removeria a conectividade de rede direta no ambiente e traria mais proteção ao acesso.
Armazenar as credenciais, chaves e segredos longe das máquinas, sejam elas físicas ou virtuais; isso reduzirá o risco de roubo destas.
Praticar a segurança em camadas. A não dependência de um único ponto de controle, melhora a capacidade de impedir o acesso não autorizado.

Tenha total controle sobre quem ou o que acessa seus ativos

Previna ataques cibernéticos e vazamentos de dados. Com a VaultOne, você pode proteger os recursos da sua empresa e garantir conformidade com a legislação de proteção de dados.
Saiba como, fale com nossos especialistas hoje.

ACOMPANHE
nossas redes

Leia Artigos Relacionados

Gerenciando PAM (Gerenciamento de Acesso Privilegiado): Um Guia para um Sistema Seguro e Eficiente e melhores práticas

Segurança de confiança zero: um guia abrangente para implementação do modelo de segurança de confiança zero (Zero Trust) e melhores práticas de segurança de rede