No espaço do Privileged Access Management (PAM), há algumas novas tendências ganhando força no mercado e uma grande mudança ocorrendo em relação à abordagem herdada do PAM.
O que queremos dizer com abordagem PAM herdada? Bem, há 10 anos, o PAM tratava do cofre de senhas com a maioria das empresas e organizações de médio porte que implementavam uma solução de cofre. A realidade é que uma solução de cofre por si só não é suficiente, e certamente não quando a transformação digital mudou o cenário moderno de segurança cibernética de maneira tão significativa na última década.
Na realidade, os cofres devem realmente ser usados apenas para acesso “break-glass” (emergência). Para acesso privilegiado moderno, devem ser usadas soluções com menos privilégios, que permitem que os usuários efetuem logon usando contas de usuário padrão e executem a elevação para executar as tarefas, aplicativos ou comandos que desejam executar.
Uma das mais recentes tendências do mercado atualmente é o PAM Just-in-Time, ou simplesmente o JIT PAM.
O que é o PAM Just-in-Time?
O Gartner divulgou um relatório de pesquisa em 2019 intitulado “Remover privilégios permanentes através de uma abordagem PAM just-in-time”, [link], onde a empresa analisou essa abordagem ao Gerenciamento de acesso privilegiado com dois objetivos em mente: just-in-time PAM e Zero Standing Privileges (ZSP).
“O objetivo fundamental de uma abordagem JIT/ZSP é reduzir a superfície de ataque para abuso de acesso privilegiado. O PAM básico (gerenciamento de cofre e sessão) ajudará a reduzir o risco da existência de contas privilegiadas. O JIT reduz o risco de abuso de acesso privilegiado e o ZSP reduz a superfície de ataque das próprias contas privilegiadas ”, diz o relatório da Gartner.
Ele também continua dizendo que, “Zero privilégios permanentes é a forma mais pura de JIT, que aborda a orientação final do princípio do menor privilégio ‘no momento certo’, eliminando o risco de privilégios permanentes”.
Onde o Just-in-Time (JIT) se encaixa?
Ao pensar sobre o porquê das organizações embarcarem em projetos de PAM, sei que, nesse período, vi dois requisitos muito constantes que não foram alterados:
- Reduza o número de contas privilegiadas em uma organização.
- Reduza o risco associado aos usuários com acesso privilegiado.
No restante desta postagem, vamos nos concentrar no ponto 2 – reduzir o risco associado aos usuários terem acesso privilegiado. Atualmente, esse requisito está se transformando, pois a transformação digital leva a mudanças tecnológicas. Agora, precisamos nos preocupar com o risco associado a sistemas, APIs e contas de serviço com privilégios demais, além de usuários.
Privilégio é realmente um mal necessário, mas isso não significa que é uma coisa ruim. Significa apenas que precisamos aplicar controles em torno de seu uso.
Há duas coisas que realmente podemos controlar aqui:
- Escopo – acesso suficiente
- Quais sistemas de aplicativos o usuário pode acessar?
- Quanto privilégio o usuário ou aplicativo requer para desempenhar sua função?
- Time – Just-in-Time
- Quando eles precisam do privilégio?
- Quanto tempo eles precisam?
À medida que o cenário do fornecedor do Privileged Access Management muda com o afastamento do armazenamento em nuvem puro e os novos fornecedores entram no cenário com soluções explicitamente para o espaço do PAM Just-in-Time, é importante lembrar esses dois pontos acima, porque nem todas as soluções foram criadas da mesma forma. Aqueles que podem controlar o elemento tempo não podem necessariamente controlar o elemento escopo, e vice-versa.
O relatório do Gartner descreve 9 abordagens diferentes do JIT, e as organizações podem muito bem estar implementando uma mistura delas. Como as soluções PAM comercializam seus recursos JIT, há definitivamente algumas coisas que você deve estar ciente de como essas abordagens realmente funcionam.
Junte-se a mim na parte 2, onde veremos algumas das abordagens comuns adotadas pelos fornecedores de JIT. Além disso, não se esqueça de se inscrever no evento CyberCast Live, em 29 de abril, “Aplicando o mínimo de privilégios: basta, é a tempo”.
Publicado por: Chris Owen – DIRECTOR, PRODUCT MANAGEMENT
Link: https://www.centrify.com/blog/Just-in-Time-Enough/
Palavras chaves: centrify, gerenciamento acesso privilegiado, pam, just-in-time, JIT,