A ManageEngine foi reconhecida como Challenger no Magic Quadrant™ do Gartner® de 2023 para Gerenciamento de Acesso Privilegiado
O que é uma sessão privilegiada?
Uma sessão privilegiada é uma sessão de Internet iniciada por um usuário com privilégios administrativos ao acessar um sistema, dispositivo ou aplicação na infraestrutura de TI – seja local ou remotamente – e abrange todas as atividades realizadas durante essa sessão.
Uma sessão privilegiada pode ser um administrador de banco de dados ou segurança acessando informações corporativas confidenciais no datacenter utilizando uma sessão RDP ou SSH; um fornecedor terceirizado acessando aplicações empresariais específicas remotamente utilizando uma ferramenta de acesso remoto; ou um engenheiro de manutenção acessando servidores críticos localizados em diversas fábricas e sistemas de automação, como CLPs e SCADA, para solução de problemas ou patching de software.
Os riscos de segurança associados a sessões privilegiadas
Se você é um administrador de TI, sabe que iniciar uma sessão privilegiada atualmente é uma tarefa arriscada, mas inevitável. Embora uma combinação de ferramentas e tecnologias modernas e tradicionais possa ajudar as empresas a facilitar o acesso remoto e aumentar a eficiência operacional, o acesso privilegiado não controlado também introduz diversos desafios em termos de segurança e conformidade.
1. As organizações muitas vezes negligenciam as contas privilegiadas
As contas privilegiadas e credenciais que as protegem são utilizadas nos sistemas mais importantes de uma organização, uma vez que possuem os mais altos níveis de permissão. Portanto, não é surpresa que as contas privilegiadas continuem sendo um alvo propício para os criminosos cibernéticos. Se um invasor obtivesse acesso a apenas uma conta privilegiada mal gerenciada, ele poderia facilmente aumentar seu acesso aos sistemas mais confidenciais da rede. Essas sessões privilegiadas maliciosas desfrutam do benefício da dúvida, pois são iniciadas por invasores que se fazem passar por usuários privilegiados utilizando contas privilegiadas legítimas.
2. Os resultados da Internet das Ameaças
Dados comerciais confidenciais, como contas privilegiadas, certificados, tokens, chaves e senhas, são os principais alvos dos criminosos cibernéticos, pois oferecem acesso privilegiado irrestrito a todos os cantos da infraestrutura de TI. Para minimizar riscos e equilibrar a segurança de TI com a produtividade, as organizações devem fornecer acesso apropriado e controlado aos usuários privilegiados para proteger sistemas críticos. Se as sessões privilegiadas não forem gerenciadas com controles rígidos, elas poderão ser comprometidas por agentes maliciosos, tanto externos quanto internos, causando danos irreversíveis aos dados corporativos.
3. Riscos de colaborações de terceiros
Um dos maiores desafios que as organizações enfrentam atualmente é a incapacidade de entender suas relações com terceiros e os riscos associados. De acordo com um relatório do Ponemon Institute de 2020 (via Security Boulevard), 53% das organizações sofreram pelo menos uma violação de dados provocada por terceiros nos últimos dois anos. Os invasores também aproveitam access points remotos de terceiros para entrar na porta e lançar ataques no devido tempo. Com a dependência crescente de fornecedores remotos e o cenário de ameaças em constante mudança, é difícil identificar ameaças e vulnerabilidades de terceiros sem ferramentas de monitoramento adequadas em vigor.
4. Falha ao limitar o acesso a sistemas confidenciais
Na maioria das organizações, os funcionários muitas vezes têm um excesso de privilégios de alto nível e permissões de acesso que são realmente desnecessários para suas funções, abrindo caminho para o abuso de privilégios. Esses privilégios geralmente passam despercebidos e não são gerenciados, gerando diversos riscos de segurança e ameaçando as empresas. As equipes de TI frequentemente não conseguem enfrentar as consequências dos acessos excessivos, especialmente quando se trata de ex-funcionários. A falha em anular a identidade e permissões de acesso de um ex-funcionário permite que funcionários insatisfeitos tenham acesso a dados confidenciais, mesmo que não estejam mais na organização.
5. Provisionamento e gerenciamento de acesso remoto descentralizado
Muitas organizações atualmente ainda dependem de diversas ferramentas e estratégias manuais e fragmentadas para fornecer acesso remoto aos funcionários em função de restrições orçamentárias ou da pura ignorância dos riscos de métodos de acesso inseguros. Esse sistema descentralizado pode causar enormes disparidades nas políticas de acesso remoto e fluxos de trabalho em toda a organização, deixando diversas lacunas de segurança para trás e dificultando o gerenciamento de todas as sessões privilegiadas de uma organização pelas equipes de TI.
Como proteger o acesso privilegiado a sistemas confidenciais
Como você, como administrador de TI, pode superar esse cenário moderno de ameaças e estabelecer uma estratégia com segurança para fornecer acesso privilegiado a funcionários, fornecedores externos, aplicações e dispositivos? Como você gerencia e monitora todas as atividades privilegiadas que ocorrem na sua infraestrutura local, híbrida e em nuvem e garante que nenhuma atividade maliciosa passe despercebida? Além disso, como você bloqueia todos os backdoors fabricados por malfeitores para permanecer seguro sem diminuir a produtividade?
A provação de enfrentar essas questões pode parecer um desafio assustador para muitas equipes de TI atualmente. É aqui que o gerenciamento de sessões privilegiadas entra.
Gerenciamento de sessões privilegiadas: Um processo de segurança de TI para controlar e supervisionar o acesso privilegiado
O gerenciamento de sessões privilegiadas (PSM) é um componente fundamental da segurança de TI de um programa de gerenciamento de identidade e acesso que regula o acesso privilegiado a sistemas importantes, ao mesmo tempo que controla estritamente as sessões utilizando a gravação e auditoria de sessões.
Uma ferramenta de PSM ajuda a aumentar a supervisão e responsabilidade, além de mitigar o risco de uso indevido de acesso privilegiado, gerenciando, monitorando e auditando as atividades realizadas por usuários privilegiados continuamente, incluindo pessoas de dentro da organização confiáveis, prestadores de serviços terceirizados, aplicações e sistemas. Ela também é uma parte inseparável do modelo emergente de Zero Trust que incentiva as organizações a não confiarem automaticamente que os usuários estão sempre utilizando o seu acesso elevado para as coisas certas e a garantir que as melhores práticas de segurança estão sendo seguidas religiosamente.
Benefícios de usar uma ferramenta de PSM eficaz
Uma ferramenta de PSM monitora e registra as atividades de cada usuário privilegiado desde o momento em que eles iniciam uma sessão privilegiada até o término da sessão, permitindo que os administradores de segurança identifiquem e encerrem proativamente atividades suspeitas ou não autorizadas em tempo real. Ela fornece uma trilha de auditoria incontestável de todas as atividades privilegiadas que permite a conformidade e facilita as investigações forenses. A implementação de uma solução de PSM como parte do seu programa de segurança cibernética ajuda as empresas a mitigar riscos de segurança, reduzir a complexidade operacional, melhorar a visibilidade do acesso privilegiado e cumprir os padrões de conformidade.
Fornece acesso centralizado a ativos sequestrados geograficamente
Um gerenciador de sessões privilegiadas permite que os chefes de TI e segurança tenham um ponto central de controle para gerenciar o acesso a recursos críticos de qualquer lugar do mundo, tenham controles granulares sobre os caminhos de acesso e definam como outros usuários remotos privilegiados se conectam a sistemas importantes.
Permite acesso granular às partes interessadas e terceiros
Uma ferramenta de PSM robusta oferece um fluxo de trabalho fácil de utilizar que permite provisionamento e desprovisionamento fáceis de acesso privilegiado, enquanto cria responsabilidade completa para os usuários privilegiados. Ele permite acesso temporário baseado em função para terceiros – como prestadores de serviços, fornecedores e funcionários terceirizados – para acessar sistemas ou aplicações empresariais específicos sem a necessidade de credenciais de conta privilegiadas.
Aumenta a produtividade e simplifica a administração
A implementação de uma solução PSM facilita a administração centralizada de ativos de TI remotos distribuídos através de um único ponto de controle. Os usuários privilegiados podem atualizar, solucionar problemas e gerenciar sistemas de datacenter centralmente, facilitando uma administração rápida e eficiente. Garante também uma melhor qualidade do trabalho e uma melhor responsabilização através de políticas padronizadas e de uma supervisão eficiente.
Aperta a governança geral do acesso
Além de fornecer acesso granular, as soluções PSM também fornecem aos administradores os controles certos para monitorar e gerenciar ativos distribuídos geograficamente. O monitoramento em tempo real de sessões remotas privilegiadas promove a transparência organizacional e fornece aos administradores de TI a capacidade de mitigar proativamente ataques internos por meio de gravação e acompanhamento de sessões.
Ajuda a cumprir vários padrões de conformidade de acesso remoto
Uma ferramenta PSM ajuda as organizações a atender aos padrões de conformidade do setor, como SOX, HIPAA, ICS CERT, GLBA, PCI DSS, FDCC e FISMA, e permite que protejam todos os seus dados. A implementação do PSM como parte de uma estratégia completa de segurança cibernética permite que as organizações registrem todas as atividades relacionadas à infraestrutura crítica de TI e ao acesso privilegiado, ajudando-as a aderir sem esforço aos requisitos de auditoria e conformidade.
Melhora a segurança e reduz riscos
Um gerenciador de sessões privilegiadas ajuda a proteger sistemas críticos, eliminando o acesso direto a eles. Ele serve como um servidor de gateway proxy para encapsular conexões privilegiadas do dispositivo do usuário para o sistema de destino. Isto evita o acesso inesperado de sistemas não autorizados, limita todos os caminhos de acesso aos sistemas corporativos a esta ferramenta e permite comunicações mais seguras sem a necessidade de fornecer senhas confidenciais.
Access Manager Plus: Solução de gerenciamento de sessões privilegiadas da ManageEngine
O Access Manager Plus é uma ferramenta de gerenciamento seguro de acesso remoto e sessões privilegiadas da ManageEngine que ajuda a regular e monitorar todos os acessos remotos privilegiados na sua organização. Ele serve como um servidor proxy entre os dispositivos do usuário final e sistemas de destino, evitando simultaneamente a exposição de credenciais e o acesso direto a sistemas críticos utilizando caminhos inseguros e não autorizados. O Access Manager Plus ajuda a melhorar a supervisão e responsabilidade das atividades de usuários privilegiados por meio de shadowing, gravação e auditoria da sessão.
Fluxos de trabalho de controle de acesso privilegiado
Uma equipe de TI normalmente gerencia muitas solicitações de acesso permanente e temporário feitas por usuários e fornecedores terceirizados diariamente para acessar vários sistemas corporativos. Para assegurar o gerenciamento eficaz dessas solicitações de acesso privilegiado e o funcionamento ininterrupto das rotinas de negócios, as equipes de TI devem manter um fluxo de trabalho otimizado como parte da sua estratégia de PSM.
Configure controles de acesso no Access Manager Plus ao definir os requisitos de aprovação para sessões privilegiadas, obrigando os usuários a fornecer um motivo e/ou o ID do ticket correspondente que pode ser integrado a um sistema de tickets existente. Você também pode associar alguns recursos ou aplicações a um usuário aos quais ele tem direito de solicitar acesso e garantir que apenas o acesso mínimo necessário seja concedido pelo período mínimo necessário.
SProvisionamento seguro de acesso remoto
O Access Manager Plus serve como um proxy por meio do qual uma sessão privilegiada é iniciada e retransmitida para os sistemas de destino. Como não há conectividade direta entre o dispositivo do usuário e os sistemas de destino, a rede corporativa fica protegida contra acesso não autorizado e qualquer vírus ou malware que possa existir no sistema do usuário.
Forneça acesso RDP, SSH, SQL ou VNC seguro e controlado a funcionários e partes interessadas externas para sistemas confidenciais na sua infraestrutura local, na nuvem e híbrida, sem expor credenciais privilegiadas. Permita que os usuários iniciem várias sessões remotas simultaneamente para melhorar a produtividade.
Colaboração, shadowing e encerramento da sessão
O Access Manager Plus permite colaborar com os usuários em uma sessão remota ativa para compartilhar conhecimentos, monitorar a atividade do usuário para o cumprimento das políticas de segurança estabelecidas ou ajudar na solução de problemas.
Sessões privilegiadas de shadowing que envolvem sistemas críticos e fornecedores terceirizados para revelar atividades fraudulentas proativamente e garantir que apenas usuários autorizados acessem sistemas confidenciais de acordo com o escopo das atividades que eles estão autorizados a realizar. Se você detectar uma atividade suspeita ou não autorizada durante uma sessão privilegiada, poderá encerrá-la imediatamente e alertar as equipes de segurança envolvidas.
Gravação e reprodução da sessão
Gravações de sessões privilegiadas oferecem provas invioláveis do acesso privilegiado de um usuário. Caso um invasor rompa suas defesas e acesse seus sistemas, você poderá filtrar e revisar gravações de sessões anteriores facilmente para descobrir a origem e ajustar as políticas para evitar outro ataque.
Por padrão, o Access Manager Plus registra todas as sessões RDP, VNC, SSH e SQL iniciadas a partir da aplicação. As sessões gravadas podem ser rastreadas usando quaisquer detalhes, como nome da conexão, usuário que iniciou a sessão ou hora em que a sessão foi iniciada.
Auditoria completa
As trilhas de auditoria ajudam a identificar comportamentos suspeitos. Registros de auditoria automatizados permitem que os administradores identifiquem problemas de implementação do sistema, problemas operacionais, atividades incomuns ou suspeitas e outros erros do sistema. Vários padrões de conformidade, como a HIPAA, SOX e PCI DSS, esperam que as organizações monitorem e capturem todas as ações realizadas por contas privilegiadas, enquanto o gerenciamento de sessões fornece um log de auditoria imutável que pode ser compartilhado com auditores para demonstrar conformidade.
Os logs de auditoria imutáveis do Access Manager Plus contêm o registro de todos os eventos relacionados a atividades de contas privilegiadas, tarefas agendadas e concluídas, e acessos remotos. Esses dados ajudam a atender a auditorias internas regulares e investigações forenses e a demonstrar quem acessou quais recursos ou arquivos, onde, quando e por quê.
Você também pode integrar o Access Manager Plus com sua ferramenta de gerenciamento de eventos e informações de segurança existente para exportar dados de acesso privilegiado utilizando mensagens syslog ou com sua ferramenta de gerenciamento de rede para receber logs relacionados ao acesso por meio de traps SNMP. Isso permite notificar as equipes envolvidas sobre possíveis violações e priorizar e realizar ações corretivas adequadas.
