.
Recurso patrocinado O ritmo inexorável da inovação tecnológica em resposta ao crescimento implacável dos ataques cibernéticos levou à fragmentação da oferta de segurança cibernética. As coisas geralmente seguem um padrão comum, começando com a identificação de um novo requisito de segurança, seja uma resposta a uma nova ameaça ou um desafio de conformidade ou regulamentação. Isso leva os compradores a ferramentas especializadas, geralmente de fornecedores menores que fazem uma coisa bem. Mas, inevitavelmente, com o tempo, os compradores acabam usando uma mistura de sistemas e ferramentas, cada um com seu próprio trabalho e processos de gerenciamento.
Trazer a melhor ferramenta para o trabalho inicialmente parece uma boa decisão. Exceto que você acabou de adicionar essa ferramenta a um conjunto de outras ferramentas, cada uma projetada para resolver um problema específico de segurança cibernética. As organizações acabam atoladas no tipo de complexidade e expansão de software que pode ser difícil de se livrar.
Com esses sistemas subitamente sob enorme pressão por causa da mudança dos padrões de negócios, muitas organizações se veem posteriormente lidando com sua própria versão dos mesmos problemas recorrentes. Há uma década, o IAM era uma ferramenta de habilitação que gerenciava o acesso dos funcionários a um recurso. Hoje, está na linha de frente da segurança cibernética de uma organização, o que significa que se tornou estratégica.
“Sem culpa de ninguém, grandes organizações construíram portfólios de segurança que cresceram organicamente ao longo do tempo”, observa Darren Thomson, vice-presidente de marketing de produtos da One Identity.
“Os criminosos encontram novas maneiras de atingir as organizações e, com certeza, a indústria apresenta um produto para resolver isso. O resultado final é que falei com CISOs que estão executando 50 ferramentas que geram tantos arquivos de log e alertas que dificilmente é surpreendente que os ataques sejam perdidos.”
Parte disso pode ser inevitável em um setor que se fragmentou em nichos cada vez menores pela rápida evolução dos ataques cibernéticos. Mas é uma ironia que as organizações digam cada vez mais que estão sendo sobrecarregadas pelo volume de dados que precisam monitorar para se manterem seguras, uma tática que antes adotaram com entusiasmo como forma de reduzir seus riscos.
Consolidação nos cartões
Uma resposta para essa fragmentação da segurança cibernética é a consolidação, que começa com a própria indústria. Isso inclui One Identity, que em 2021 adquirido IAM e fornecedor de logon único (SSO), OneLogin. Enquanto isso, a Quest Software, controladora da One Identity, foi adquirida pelo Clearlake Capital Group no início de 2022, um movimento que destaca a crescente importância do IAM para os investidores.
O surgimento de provedores de serviços gerenciados que transformam o IAM em um serviço integrado aconteceu em paralelo. À primeira vista, isso evita a necessidade de as empresas investirem constantemente em novos sistemas ou nas habilidades necessárias para gerenciá-los.
Gartner certamente concordaprevendo que até 2023, “40% da convergência de aplicativos IAM será impulsionada principalmente por MSSPs que se concentram na entrega das melhores soluções em uma abordagem integrada, mudando a influência de fornecedores de produtos para parceiros de serviços”.
Da mesma forma, a consolidação oferecida pelos provedores de serviços só é possível se os sistemas subjacentes atenderem a essa demanda com plataformas multifuncionais que podem ser gerenciadas como entidades únicas.
“Os clientes perguntam constantemente por que, em vez de ter soluções de identidade discretas, eles não podem simplesmente ter uma única plataforma que executa todas as tarefas de identidade de que precisam”, concorda Thomson. “Embora a maior parte da indústria ainda não esteja lá, a One Identity investiu muito tempo criando essa plataforma única.”
Aflac reduz a complexidade
Uma empresa que já atingiu o limite é a seguradora complementar Fortune 500 Aflac. Recentemente, decidiu consolidar seu IAM e IGA multidirecionados em uma única plataforma, Uma Identidade Um Identity Manager, oferecendo uma visão única de sua população de usuários em expansão.
Ao longo dos anos, a Aflac se viu lutando com o tipo de desafio de gerenciamento de identidade que apresentaria até mesmo o CISO mais experiente com um pesadelo de planejamento monumental.
A empresa estava interagindo com os clientes por meio de uma rede de canais cada vez mais complexa, incluindo vários sites e cerca de 500 aplicativos diferentes. Isso colocou imensa pressão em seu fluxo de trabalho, começando com um aumento estimado de 1.000% nos requisitos de gerenciamento de identidade e acesso (IAM) em apenas cinco anos.
Além de uma dependência excessiva de processos manuais para gerenciar isso, a Aflac passou a contar com seis sistemas diferentes de governança e administração de identidade (IGA) para provisionar e desprovisionar acesso em um setor onde a conformidade não é negociável. Além de dar à Aflac uma visão única de sua base de usuários, a migração para o One Identity Manger também facilitou a integração do IAM com o ERP de recursos humanos da empresa.
Facilidade de uso, recursos e custo
Aflac é uma história de sucesso genuína. Mas, considerando que a maioria da base de clientes continua lutando sem um sistema consolidado, que outros fatores estão impulsionando a evolução do IAM?
De perto, o IAM pode ser assustador, abrangendo várias tecnologias, processos e camadas. Seus fundamentos são o gerenciamento de contas privilegiadas (PAM), gerenciamento de terminais, gerenciamento e controle de acesso e gerenciamento de logs, por exemplo, além do tipo de IGA que estende a governança para a nuvem e SaaS.
A maioria das organizações adiciona ferramentas e funções adicionais, como SSO, bem como camadas de provisionamento e desprovisionamento para facilitar a usabilidade. Por fim, o IAM está se tornando menos centralizado, por exemplo, fornecendo atestado (a capacidade dos gerentes de negócios de aprovar ou negar acesso sem precisar solicitar à TI) e acesso de autoatendimento que permite que os usuários solicitem acesso conforme necessário.
Tradicionalmente, eles contam com consoles de administração separados, que multiplicam rapidamente a carga de trabalho, diz Thomson. “Gerenciar contas privilegiadas e decidir sobre as políticas de governança é complexo, o que tradicionalmente significa que as ferramentas para fazer esse trabalho acabam sendo complexas também.”
No centro do controle de acesso de cada organização está seu serviço de diretório, o que normalmente significa um Active Directory (AD) local, muitas vezes considerado a única fonte de verdade. Os direitos do usuário definidos no AD governam todos os outros aspectos da organização, desde os trabalhadores de campo até o CEO. No entanto, a proteção desse banco de dados crítico geralmente é negligenciada, enquanto o gerenciamento (e a segurança) do Active Directory está frequentemente fora do escopo dos projetos de segurança de identidade – um fato não ignorado por grupos de ransomware.
Além disso, o IAM moderno geralmente resulta em armazenamentos de identidades rivais que podem replicar algumas de suas funções. Para identidades gerenciadas como parte do PAM, essa abordagem fragmentada gera riscos especiais.
“As organizações podem ter quatro de cinco soluções diferentes para fazer trabalhos diferentes. Mas isso pode levar a lacunas que criam oportunidades para o criminoso”, argumenta Thomson. Da mesma forma, a falta de integração aumenta a despesa subjacente de executar vários armazenamentos de identidade com trabalhos ligeiramente diferentes, mas sobrepostos
“Se uma organização está gerenciando quatro ou cinco sistemas diferentes, inevitavelmente isso aumenta os custos em termos de tempo de gerenciamento e treinamento de segurança.” ele adiciona.
Não é um trabalho para os fracos de coração
Apesar dos benefícios óbvios, a Thomson sente que muitos dos clientes da One Identity ainda não estão prontos para dar o salto final para uma plataforma totalmente consolidada hoje. As razões para esta reticência são variadas.
As organizações construíram seus processos de IAM e IGA em torno de ferramentas separadas que, ainda que imperfeitamente, fazem seu trabalho. As equipes de segurança que os gerenciam também conhecem essa arquitetura de dentro para fora. Isso traz à mente o velho ditado sobre trocar as rodas em um veículo que ainda está em movimento – remover a primeira roda não é um trabalho para os fracos de coração.
Em vez disso, a Thomson vê a evolução em direção às plataformas de identidade mais integradas acontecendo mais lentamente, uma reforma por vez.
“O que precisamos entender é qual é o problema de negócios que precisa ser resolvido primeiro. Trata-se de perguntar aos clientes o que eles não podem fazer usando sistemas separados e resolver isso.” Sua crença é que as organizações devem ver sua jornada em direção a uma plataforma consolidada como de crescente maturidade, e não de adoção tecnológica.
A Thomson usa o exemplo da ferramenta de gerenciamento OneLogin, que registra quais aplicativos os funcionários estão usando. Esses dados podem ser inseridos no sistema de governança de identidade para tomar decisões automatizadas sobre quais aplicativos as pessoas precisam acessar e quais não.
“Se você não usou 17 dos 20 aplicativos da Microsoft em 90 dias, há uma oportunidade de reimplantar as licenças para esse acesso de uma forma que impulsione a eficiência.” ele explica.
A mesma integração também pode beneficiar a segurança, por exemplo, registrando o fato de que uma conta teve uma série de falhas de autenticação multifator de uma forma que indica um comprometimento de credencial. A conexão de dois sistemas de identidade permite que isso seja desligado de maneira automatizada sem esperar que um engenheiro reaja a um alerta.
Nuvem paira no alto
Pairando sobre tudo isso está o papel da nuvem no gerenciamento de identidades. A Thomson tem a visão pragmática de que os requisitos de gerenciamento de identidade de muitas organizações levarão inicialmente a um mundo híbrido no qual alguns serviços, como controle de acesso, se encaixarão mais naturalmente na nuvem, enquanto outros, como serviços de diretório e governança de identidade, permanecerão internos.
“Se tudo se tornar híbrido, precisaremos oferecer opções aos clientes. Isso significa fornecer APIs, integrações e fluxos de trabalho comuns para que eles usem uma arquitetura comum”, diz ele.
No entanto, é provável que demore algum tempo até que empresas maiores com preocupações urgentes e críticas de privacidade de dados se sintam capazes de adotar totalmente a nuvem. A abordagem de consolidação do One Identity terá que levar isso em conta, acomodando contextos locais e de nuvem. É uma complicação extra, mas necessária.
“À medida que desenvolvemos uma plataforma unificada integrada, ela precisará trabalhar nos contextos on-premise, cloud e híbridos”, explica Thomson.
“Isso não é fácil de conseguir, mas é a coisa certa a fazer. Em última análise, a consolidação é reduzir o risco. O que importa é continuar a oferecer opções para o cliente.”
Patrocinado por uma identidade.
.
