USUÁRIOS PRIVILEGIADOS E SUPERSENHAS: A AUTONOMIA NECESSÁRIA E AS POLÍTICAS IMPRESCINDÍVEIS
16 de outubro de 2017
Altos executivos, profissionais de TI, parceiros estratégicos e até sistemas automatizados apresentam riscos peculiares, que exigem soluções granulares e contextualizadas de proteção
Uma simples caneta na mão de alguém cuja autoridade seja inversamente proporcional ao escrúpulo já pode arruinar empresas, economias nacionais e projetos de vida de milhões de pessoas. A filosofia do Tio Ben – “grandes poderes, grandes responsabilidades” – ilustra bem as preocupações com governança, ética e transparência de acionistas, reguladores e da própria sociedade. Os bons e maus exemplos, contudo, não vêm só de cima. No dia a dia, atribuir confiança é essencial para contarmos com vários serviços, da limpeza de um quarto à gestão de investimentos. Acreditamos também na custódia de nosso patrimônio e poder de compra garantidos apenas por alguns bits no data center do banco.
Seja como cidadãos, acionistas, contratantes de serviços ou usuários de sistemas automatizados, tão importante quanto delegar poder é estabelecer limites. Por exemplo, é sensato respeitar a autonomia e ser submisso a um médico. Nesse caso, seria razoável se ele tivesse um big data que varresse todo seu histórico alimentar, mas não faz sentido saber com que cartão paga o restaurante. Os abusos mais complicados para se mitigar, no entanto, são os que se camuflam em ações aparentemente plausíveis, que mesmo assim podem ser facilmente diferenciadas. Um secretário de Saúde deve ter acesso a qualquer dado estatístico e relatórios de eventos, mas jamais a um prontuário individual. É normal que um técnico transfira grandes blocos de arquivos dentro de um domínio, não que o faça a dispositivos externos ou que altere o conteúdo de qualquer um deles. E não seria por erro de digitação que alguém autenticado como comprador preencheria o campo “endereço de entrega” com comandos SQL.
A governança dos acessos privilegiados – seja a dados sensíveis, operação da infraestrutura ou ambos – é um item que ainda carece de atenção dentro das estratégias de prevenção a ameaças internas. Em uma pesquisa global da Forcepoint, apenas 43% dos líderes de organizações privadas dizem conseguir monitorar as ações dos usuários privilegiados. Mas 91% avaliam que os riscos de abusos devam se agravar nos próximos anos.
Insiders desconhecidos
Há cerca de três anos, o Morgan Stanley expôs a demissão de um consultor financeiro que roubou dados patrimoniais de 350 mil clientes. Hoje, com as plataformas multicloud, ecossistemas interconectados e processos automatizados, os riscos tanto relacionados à estrutura operacional quanto aos dados de negócio ficam mais complicados para gerenciar.
Em vários incidentes, de vazamento de sigilo militar a fraudes de telefonia, o problema não foi causado por funcionários da organização e sim por terceirizados que precisariam de algum nível de acesso aos sistemas internos.
Monitorar e controlar de forma granular e contextualizada o que acontece quando cada tipo de usuário acessa é fundamental. Políticas como elevar o nível de autenticação e outras medidas de “verificar para confiar” também continuam imprescindíveis. Para animar o dia a dia do gestor de segurança, hoje grande parte das transações ocorrem entre sistemas automatizados, que muitas vezes se autenticam um perante o outro por meio de credenciais embutidas na própria aplicação. O risco de vazamento dessa parte do código, portanto, só pode ser mitigado se o comportamento do software também for monitorado e associado ao contexto.
Do CEO ao técnico de suporte
O gerenciamento de usuários privilegiados, mesmo sendo um item do cenário geral de ameaças internas, abrange uma gama bem ampla de perfis e desafios. A começar pelas questões institucionais, de alinhar os chefes de seu chefe às políticas e controles. Nas equipes de TI, praticamente todos os gestores já tiveram que lidar com o trainee que usa SUDO (o comando de usuário raiz de Linux) até para acessar o Facebook.
No estudo “Insegurança de Usuários Privilegiados”, realizado em parceria com o Instituto Ponemon, se constatou que entre 600 líderes de organizações privadas globais, 66% acreditam que os usuários privilegiados olham dados sensíveis só por curiosidade e 58% consideram que o nível de acesso vai além de sua alçada. Coincidentemente, o mesmo instituto fez outra pesquisa no Brasil, promovida por um fornecedor de soluções de criptografia, em que constatou que as bases de dados mais protegidas são as de Recursos Humanos. A percepção parece ser que a maior ameaça aos amigos por perto são os inimigos mais perto ainda.
Alçadas e “propriedade”
Em um relatório sobre soluções de gerenciamento de acessos privilegiados (PAM, de privileged access management), analistas do Gartner mencionam algumas das práticas que se aplicam à maioria das organizações e atividades.
Junto às medidas técnicas e melhores práticas de gerenciamento de ameaças internas, os especialistas enfatizam que a estratégia deve inclui uma definição clara de “ownnership” dos dados, aplicações ou processos de negócio. A partir de uma visão que considere o sentido de cada privilégio, fica mais fácil implementar políticas como:
- Inventário de contas e atributos
- Restrição de acessos privilegiados ao mínimo de pessoas possível
- Restrição a compartilhamento de contas
- Segregação de funções
- Autenticação forte
- Treinamentos e códigos de conduta
Supervisão conforme os riscos
Alguns dos possíveis abusos de usuários privilegiados são parcialmente endereçados por tecnologias já amplamente implementadas. As ferramentas de DLP, por exemplo, controlam o caminho dos dados e, se bem configuradas, impedem que se transpassem políticas básicas, como bloqueio de transferências para pen drive. No entanto, não evitam o comprometimento da integridade dos dados dentro do domínio da empresa.
A tecnologia desenvolvida para gerenciamento de usuários privilegiados, além de mecanismos específicos de análise e prevenção a ameaças, acaba trazendo uma grande mudança comportamental, a partir das funções de monitoramento. Ao mesmo tempo em que mitiga riscos, por malícia ou negligência involuntária, a confiança nos controles faz com que os usuários bem intencionados usem ao máximo sua autonomia em benefício do negócio. Da mesma forma em que violações ocorrem por trás de procedimentos aparentemente normais, algumas vezes fazemos coisas “estranhas” mas legitimamente justificáveis pelo benefício à empresa ou ao cliente. Nestes casos, nada melhor que um sistema que conte a história e explique nossas atitudes.
Para se aprofundar sobre o cenário e as soluções de gerenciamento de acesso de usuários privilegiados, leia o estudo “Privileged Users: the threat from within”, em: https://www.forcepoint.com/pt-br/resources/whitepapers/privileged-users-superman-or-superthreat-privileged-user-risk-whitepaper