O Privileged Access Management (PAM) existe há mais de 20 anos pegando contas críticas e colocando-as em um cofre para garantir que apenas indivíduos selecionados pudessem acessá-las com segurança. Desde então, o PAM evoluiu e agora se concentra em controlar o acesso em si, o que significa impedir o amplo acesso a dados específicos e fornecer insights sobre quem tem acesso e quando uma conta foi acessada.
Contas privilegiadas tradicionalmente são dadas a administradores para acessar dados e aplicativos críticos. No entanto, mudanças nas práticas comerciais, desenvolvimento ágil de software e transformação digital significaram que contas privilegiadas se tornaram mais numerosas e disseminadas. Para reduzir o risco de contas privilegiadas serem sequestradas ou usadas de forma fraudulenta e para manter a conformidade regulatória rigorosa dentro de uma organização, uma solução PAM adequada é essencial.
No geral, o PAM visa fornecer uma abordagem privilegiada centrada na identidade para controlar o acesso como parte do ecossistema de identidade maior. O PAM, que normalmente se concentra no acesso humano, se ramificou para incluir contas privilegiadas e contas não humanas para gerenciar as credenciais, elevação e delegação de acesso junto com trilhas de log, registrando ações, políticas e muito mais, e, como tal, o PAM coloca controles em prática que são essenciais para a Segurança de Identidade.
Os benefícios do PAM são significativos, pois ele impede o acesso a qualquer coisa considerada privilegiada, aumentando assim a segurança dos dados e reduzindo o risco, particularmente no caso de uma conta comprometida, pois limita o raio de explosão a um ambiente controlado. Isso ocorre controlando o acesso administrativo no endpoint, segmentando contas e monitorando o acesso às contas. Embora isso ajude a melhorar a postura de segurança de uma organização, também traz desafios.
Obstáculos à implementação do PAM
Embora o PAM permita que as organizações segmentem contas, fornecendo uma barreira entre o acesso padrão do usuário e o acesso privilegiado necessário e restringindo o acesso a informações que não são necessárias, ele também adiciona uma camada de complexidade interna e organizacional. Isso ocorre devido à impressão de que ele remove o acesso do usuário a arquivos e contas que eles normalmente tinham o direito de usar, e eles nem sempre entendem o porquê. Ele pode trazer mudanças aos seus processos estabelecidos. Eles não veem o benefício de segurança e frequentemente resistem à abordagem, vendo-a como um obstáculo para fazer seus trabalhos e causando frustração entre as equipes. Como tal, o PAM é percebido como difícil de introduzir devido a esse atrito.
Para superar isso, as empresas devem iniciar o processo com um programa de gerenciamento de mudanças organizacionais que prepare suficientemente os usuários para a implementação do PAM, desvendando como ele removerá o acesso privilegiado direto aos dados, ao mesmo tempo em que melhora a eficiência, a consistência e a automação, e os beneficia e a organização a longo prazo. Se as empresas negligenciarem fazer isso, provavelmente enfrentarão resistência.
Para minimizar isso, os fornecedores de PAM estão combinando conveniência e segurança para fornecer uma solução PAM perfeita para as organizações. Eles também estão movendo tudo para a nuvem, pois isso facilita a implantação e fornece cobertura de segurança cibernética mais eficiente e perfeita com melhores resultados de segurança. No entanto, essa é uma preocupação para muitas organizações que se preocupam em colocar suas joias da coroa na nuvem. Embora essa seja uma questão mais ampla do que o PAM, ela levanta grandes preocupações e causa algum atrito e resistência das organizações. Para superar isso, é importante entender o valor abrangente do PAM, os casos de uso, os tipos de sistemas e como os usuários se beneficiarão dele, incluindo planos de contingência adequados.
Ficar preso no processo de integração
A implementação de projetos PAM começa com a descoberta de contas e a integração de contas, o que pode fazer com que as empresas fiquem presas na implementação e não colham os benefícios dos recursos avançados do PAM. Infelizmente, muitas empresas não vão além desse ponto porque começam o processo com a ideia de que o PAM é sobre colocar credenciais em um cofre e rotacionar credenciais e não percebem que há mais funções e recursos que o PAM oferece, que variam de direção de conta, cofre de conta até o ciclo de vida do gerenciamento de contas privilegiadas na nuvem, análise de comportamento do usuário privilegiado e muito mais. No entanto, muitas vezes elas não apreciam os benefícios mais amplos e tendem a não ir além do processo de integração inicial para acessar as oportunidades.
Uma lacuna significativa no processo de implementação do PAM está na falta de conscientização abrangente entre os administradores. Eles geralmente não têm um inventário completo de todas as contas, os níveis de acesso associados, seus propósitos, propriedade ou a extensão dos problemas de segurança que enfrentam. Embora as soluções PAM possuam a capacidade de escanear e descobrir contas privilegiadas, essas soluções são limitadas pelo escopo das instruções que recebem, fornecendo, portanto, apenas visibilidade parcial do acesso e uso do sistema.
Considere um cenário em que uma empresa tem uma conta privilegiada do Windows com acesso a 100 servidores. Se o PAM for instruído a descobrir o escopo dessa conta do Windows, ele pode identificar apenas os servidores que foram acessados anteriormente pela conta, sem revelar a extensão total do seu acesso ou as ações realizadas. Por exemplo, se a conta tiver efetuado login em dez servidores, o PAM detectará o acesso a esses dez servidores, mas poderá ignorar completamente os 90 servidores restantes até que a conta interaja com eles. Isso resulta em uma disparidade entre o acesso conhecido e o potencial, bem como uma falta de percepção sobre as atividades reais conduzidas usando o acesso.
Esse desafio pode ser mitigado por meio de várias estratégias, mas continua sendo um problema dinâmico que complica o processo de integração de soluções PAM. As empresas geralmente caem na armadilha de se esforçar para resolver esse problema completamente antes de avançar para as fases de implementação subsequentes. No entanto, atingir um estado “bom o suficiente” e progredir para recursos futuros de PAM pode permitir que as organizações preencham e abordem essas lacunas mais tarde. O foco deve ser seguir em frente com a implementação, entendendo que refinamentos e melhorias podem ser feitos à medida que o sistema PAM amadurece.
Embarcando com sucesso na jornada PAM
O PAM faz parte da jornada maior do Identity Access and Management (IAM). Conforme você avança no caminho, há uma oportunidade de optar pelo PAM ou outras soluções de IAM, como Cloud Infrastructure Entitlement Management (CIEM) ou Identity Governance and Administration (IGA). No geral, normalmente é melhor selecionar um caminho para começar e começar a amadurecer, depois começar o próximo caminho, todos levando a um programa de IAM maduro. Também é importante adotar uma abordagem estratégica para o PAM, sabendo onde a jornada começa com base em seus casos de uso, requisitos e desafios. Então, uma vez que um plano esteja em vigor, iniciar o processo de descoberta de conta e marchar por ele em vez de ficar preso e deixar a inércia se instalar.
Para conseguir isso, é benéfico fazer parceria com um provedor de serviços experiente que possa orientar e gerenciar o processo com uma compreensão de onde a organização está, onde ela quer estar e pode ajudar a amadurecer o ecossistema do tecido de identidade, o que a ajudará a atingir esse objetivo. Ao fazer isso, as empresas podem ver os benefícios iniciais do PAM no primeiro ano e atingir a maturidade operacional nas fases seguintes. No entanto, é importante observar que o PAM só pode reduzir com sucesso o risco e adicionar eficiência com o mínimo de interrupção para o negócio se houver um plano e uma estratégia sólidos. Também é importante ter uma compreensão completa das várias contas e seus acessos dentro de uma organização, de contas não humanas a contas de serviço, bot, aplicativos e muito mais.
Além disso, um provedor de serviços experiente pode fornecer metodologias, estruturas e processos para ajudar a contornar os desafios percebidos associados ao PAM. Esse provedor deve construir um roteiro e uma estratégia que destrinchem como ele abordará as contas e levará a empresa ao longo da jornada de implementação.
Crédito da imagem: ArtemisDiana/depositphotos.com
David Morimanno é líder de pensamento na Xalient.
