.
Recurso patrocinado Muitas organizações estão sofrendo de uma crise de identidade. Não no sentido psicológico, nem em relação à sua marca ou cultura. Mas em como seus sistemas de TI permitem que os funcionários acessem os aplicativos e dados de que precisam para trabalhar.
O gerenciamento desse acesso em uma força de trabalho geralmente é controlado por ferramentas de gerenciamento de identidade e acesso – IAM. Essas são estruturas de políticas e tecnologias de segurança que permitem que usuários específicos tenham o acesso apropriado a recursos tecnológicos designados – e impedem que intrusos mal-intencionados tenham o mesmo.
Muitos ataques cibernéticos começam com uma identidade de usuário indevidamente – de acordo com Relatório de investigações de violação de dados de 2022 da Verizon (DBIR), 82% das violações envolvem um elemento humano, como credenciais roubadas, phishing, uso indevido ou erro. No entanto, a importância integral do IAM para a missão de segurança costuma ser marginalizada. Além do mais, o que pode ser herdado, obsoleto ou não adequado para o escopo, soluções IAM ‘gappy’ que incorporam recursos que raramente, ou nunca, são usados, oferecem oportunidades de violação para hackers usando permissões associadas a IDs de usuário sequestrados para comprometer dados e sistema integridade.
Como uma disciplina de segurança de TI, o IAM abrange uma variedade de atividades administrativas fundamentais. Resumindo, o gerenciamento de identidade se concentra no gerenciamento do ciclo de vida da conta (participantes-saídas-mudanças), correspondência de funções, direitos e acesso em uma organização (o RH obtém acesso aos dados da folha de pagamento, os administradores obtêm acesso à configuração do servidor e os RPAs não recebem cheques de pagamento ). Enquanto o gerenciamento de acesso confirma que um usuário que acessa é quem afirma ser, examinando as informações apresentadas na solicitação de acesso em um banco de dados de gerenciamento de identidade. O gerenciamento de acesso também usa as informações sobre a identidade dos usuários para determinar quais recursos eles têm permissão para acessar e também quais ações podem ser aplicadas a esses recursos.
Chamada para reforço IAM
Indiscutivelmente, a importância do IAM foi um pouco ofuscada por soluções de segurança que funcionam mais além da infraestrutura corporativa. As forças do mercado emergente estão, no entanto, voltando o pêndulo da segurança para a identidade, fazendo com que as abordagens para a implementação do IAM sejam reforçadas.
O IAM inadequado é um problema que está sendo destacado pela necessidade de organizações de todos os tamanhos e setores terem seguro contra riscos cibernéticos. O seguro cibernético é cada vez mais necessário por vários motivos, como um mandato de negócios ou um requisito de governança interna.
As seguradoras cibernéticas e seus corretores realizam avaliações de risco rigorosas da postura cibernética de uma organização segurada antes de considerarem o fornecimento de cobertura; também será um fator na determinação do preço pelo qual os prêmios são fixados. As seguradoras e corretoras agora exigirão rotineiramente que o IAM deficiente seja atualizado antes que um aplicativo de seguro cibernético seja considerado, relata Darren Thomson, vice-presidente de marketing de produto da One Identity.
“Até certo ponto, em muitas organizações, o IAM foi relegado a um nível inferior dos domínios de segurança cibernética corporativa tradicionais (percepção de ponta)”, diz Thomson. “Ele tende a ser ofuscado por componentes de alto perfil em um ecossistema de segurança de TI. O IAM não encabeça sessões de conferências gerais como segurança de ponta ou inteligência de ameaças de IA podem fazer.”
A elevação do IAM como parte integrante da defesa cibernética da linha de frente começou antes da pandemia de COVID, quando as exigências do trabalho remoto levaram os perímetros de segurança da empresa muito além dos limites das instalações.
“O limite de segurança física sempre teve elasticidade devido à necessidade de suportar dispositivos móveis”, diz Thomson, “mas na situação que temos agora, onde uma proporção muito maior de funcionários costuma trabalhar longe de seus antigos locais de trabalho, os tradicionais linha defensiva perdeu relevância. Isso elevou a importância do IAM na agenda de segurança corporativa – a identidade é a nova borda do perímetro.”
Dez etapas que sua organização pode seguir para implementar proteção de segurança cibernética compatível com apólices – e obter essa cobertura vital de seguro cibernético:
1. Faça backup de dados de negócios regularmente usando recurso externo seguro ou serviço de nuvem.
2. Garantir que os funcionários recebam treinamento de conscientização sobre segurança cibernética e sejam informados e testados periodicamente sobre a política de segurança de TI do empregador.
3. Implementar ferramentas de detecção e resposta de endpoint e detecção e resposta gerenciadas capazes de reconhecer e interromper comportamentos incomuns ou de alto risco.
4. Proteja os ‘dispositivos de endpoint’ (as definições variam – experimente computadores de mesa, laptops e smartphones) com antivírus/antimalware atualizado e software de gerenciamento de privilégios de endpoint que também é verificado para garantir que esteja configurado corretamente.
5. Proteja as redes corporativas usando um firewall (hardware ou software).
6. Implemente o gerenciamento centralizado de patches de nível empresarial para garantir que as atualizações críticas sejam instaladas conforme o cronograma.
7. Estabelecer ligação e compartilhar inteligência com a cadeia de suprimentos e parceiros de negócios para ampliar a visibilidade do risco.
8. Proteja contas de usuários privilegiados com autenticação multifator.
9. Gerencie ativamente contas e permissões de usuários usando soluções IAM/PAM holísticas e audite contas e diretórios rotineiramente.
10. Identifique e gerencie vulnerabilidades por meio de ferramentas de varredura de vulnerabilidade e/ou testes de penetração e priorize a correção de acordo com os critérios de criticidade. Essa prática deve se estender a sites voltados para o público.
Além do perímetro de segurança protuberante
Essa redefinição do perímetro de segurança também traz desafios. O principal deles é que ele destacou deficiências na maneira como muitas organizações provisionam suas necessidades de IAM, muitas vezes implantadas aos poucos ao longo do tempo.
“Muitas organizações com as quais falamos têm gerenciamento seguro de identidade e acesso como requisitos separados.” Thomson explica. Como resultado, diferentes soluções de fornecedores são executadas junto com o IAM e cuidam de tarefas concomitantes – mais comumente Privileged Access Management (PAM), Active Directory Management e Identity Governance & Administration.”
As desvantagens dessa abordagem são que, primeiro, vários diretórios são isolados em cada solução e é improvável que interoperem entre si, diz Thomson. “Além disso, cada solução separada tem seu próprio método de gerenciamento, então as equipes de TI ficam atoladas em tarefas administrativas iterativas que dependem de diferentes conjuntos de controles. Além de desperdiçar recursos, isso pode ter um efeito indireto sobre o talento interno de segurança isso prejudica a retenção de habilidades.”
Outra preocupação com a abordagem de vários fornecedores para o IAM é que a execução de soluções separadas deixa lacunas de segurança que ameaças cibernéticas experientes encontrarão e explorarão. “Existem hackers por aí que estão totalmente cientes das vulnerabilidades que podem existir em ambientes IAM/PAM de vários fornecedores”, alerta Thomson. “Eles os encontram e os exploram.”
Para preencher essas lacunas, as organizações podem fazer a transição para uma abordagem totalmente unificada de IAM, aponta Thomson. É um movimento que também os equipará com as ferramentas mais recentes necessárias para gerenciar redes usadas por um número crescente de pessoas e dispositivos.
“Considere que em muitas empresas os números de identidade aumentam diariamente/semanalmente”, diz Thomson. “Um IAM de nível empresarial agora precisa ser capaz de gerenciar todos os tipos de identidades a partir de uma única plataforma holística, caso contrário, ele estará de volta às armadilhas do gerenciamento fragmentado.”
Thomson continua: “A unificação de processos distintos e a correlação de todas as identidades – humanos e máquinas – significa que as equipes de segurança podem obter visibilidade e verificação de 360 graus antes de conceder a qualquer um – ou qualquer – acesso a um sistema crítico. E acelera a modificação ou remoção do processo de permissões , reduzindo a sobrecarga administrativa.”
Outro motivo convincente para a visibilidade unificada é a capacidade de remediar a confusão de problemas legados de IAM deixados em sistemas separados, diz Thomson.
“A tarefa geral de administração de identidade e acesso aumentou”, relata Thomson. “As organizações agora têm mais usuários que precisam ter seus privilégios de acesso atualizados com muito mais frequência do que costumava ser, especialmente porque as empresas adotam uma abordagem mais orientada a projetos para a geração de negócios.
“Além disso, agora temos taxas relativamente altas de ‘rotação de identidade’, tanto em termos de pessoal permanente quanto de contratados. As equipes de segurança nem sempre podem acompanhar – elas podem ter tarefas mais urgentes para atender e, portanto, o gerenciamento de identidade fica para trás – e com ele, gerenciamento de acesso.”
Um resultado arriscado disso são as contas inativas que pertenciam a usuários que não precisam mais usá-las ou que deixaram a organização completamente, mas continuam existindo no sistema – muitas vezes devido à má gestão do processo de saída.
“Contas de usuário inativas podem não parecer um problema, mas na verdade representam um risco substancial para as empresas que as possuem”, explica Thomson. “Com isso, nomeamos contas ou perfis de usuário que podem ter acesso embutido a informações muito privilegiadas. Freqüentemente, esses privilégios são concedidos a uma identidade para um propósito ou projeto único e, quando isso é concluído – ou o nome da conta não é mais empregado – esses privilégios não são removidos. Contas inativas podem ser ouro puro para hackers que conseguem obter acesso a elas.”
As seguradoras que aumentam as apostas de cobertura de risco
A crescente importância da identidade é um dos principais motivos pelos quais o mundo do seguro contra riscos cibernéticos está se interessando de perto pelo IAM. Após a pandemia, o mercado de seguros cibernéticos começou a renovar sua vontade, pois as seguradoras perceberam que exigir que os possíveis segurados melhorassem sua postura de segurança cibernética como condição da apólice era o caminho para reiniciar o potencial do mercado.
Os prêmios são em sua maioria mais altos do que em 2020 – mas as prováveis perdas gerais de um ataque cibernético bem-sucedido ficaram ainda maiores. A esse respeito, a necessidade de seguro agora desempenha um papel transformador na melhoria da segurança além de sua função principal de transferência de risco, como o Swiss Re Institute tem apontou.
Além de criar incentivos financeiros para melhorar a segurança e mitigar vulnerabilidades antes da vigência da apólice, o seguro cibernético agrega valor ao processo de gerenciamento de riscos ao precificar riscos específicos: isso fornece uma referência financeira para o enquadramento das decisões.
Cada vez mais, relata a Thomson, seguradoras e corretoras estão focando no rigor do IAM como um pré-requisito básico para a elegibilidade de prêmios de apólices. “Nos últimos dois anos, o setor de seguros passou por uma curva de aprendizado acentuada em relação ao seu conhecimento de segurança cibernética”, relata Thomson. “Está claramente determinado o que agora considera como ‘apostas de mesa’ viáveis em relação à subscrição cibernética – intimamente ligada ao que aceita como níveis não negociáveis de resiliência de segurança cibernética em qualquer organização que deseja ser coberta.”
Thomson acrescenta: “Temos clientes que vêm até nós e dizem que não podem obter uma apólice de seguro cibernético sem a implementação de nossa solução IAM e PAM. Cada vez mais, o IAM está na frente e no centro das áreas que os avaliadores de seguros examinam. E eles sabem sobre o que eles estão falando quando se trata de tecnologia – e foram inteligentes o suficiente para perceber que, para se manterem devidamente informados, eles deveriam conversar com os líderes do mercado de tecnologia de segurança.”
Como resultado, a One Identity faz a ligação com o setor de seguros cibernéticos e está investigando maneiras de trabalhar mais diretamente com os corretores de seguros cibernéticos que precisam de ferramentas para realizar avaliações de segurança.
“A influência do seguro cibernético já é marcante e convenceu muitas organizações de que o investimento bem informado em IAM e produtos associados é realmente sua melhor estratégia para mitigar sua exposição aos últimos agentes mal-intencionados.” Thomson conclui.
Patrocinado pela One Identity.
.
