0
0
As identidades das máquinas são uma grande e rápida parte da superfície de ataque da empresa. O número de máquinas — servidores, dispositivos e serviços — está crescendo rapidamente e os esforços para protegê-los muitas vezes ficam aquém.
Cibercriminosos e outros atores de ameaças têm sido rápidos em tirar vantagem. Os ataques cibernéticos que envolveram o uso indevido de identidades de máquinas aumentaram 1.600% nos últimos cinco anos, de acordo com um relatório divulgado na primavera passada pelo fornecedor de segurança cibernética Venafi.
A empresa de pesquisa Gartner nomeou a identidade da máquina como uma das principais tendências de cibersegurança do ano, em um relatório divulgado no outono passado. Em 2020, 50% das falhas de segurança na nuvem resultaram de uma gestão inadequada de identidades, acesso e privilégios, de acordo com outro relatório do Gartner. Em 2023, esse percentual subirá para 75%.
“Gastamos bilhões de dólares todos os anos em gerenciamento de identidade e acesso para humanos — da biometria ao gerenciamento de acesso privilegiado — mas muito pouco tempo de investimento vai para defender nossas identidades de máquinas”, disse Kevin Bocek, vice-presidente de estratégia de segurança e inteligência de ameaças da Venafi. “No entanto, assim como com as identidades humanas, nas mãos da pessoa errada, uma identidade de máquina pode ser colocada em mau uso.”
As empresas muitas vezes confiam demais nas máquinas em suas redes, diz Chris Owen, diretor de gerenciamento de produtos da Saviynt. “Isso significa que eles podem se conectar a outros recursos em rede sem intervenção humana ou formas tradicionais de autenticação”, diz ele. “Então, se uma máquina fica comprometida, os atacantes podem se mover pela rede usando esses caminhos máquina-máquina.”
Felizmente, as empresas estão começando a acordar para o assunto. De acordo com um relatório divulgado pelo Ponemon Institute e keyfactor em março, 61% dos profissionais de TI dizem que o roubo ou uso indevido de identidades de máquinas é uma preocupação séria — contra 34% no ano passado.
A conscientização é o primeiro passo para enfrentar o problema, mas as empresas podem tomar outras medidas mais específicas para começar a controlar o problema de identidade da máquina. Aqui estão sete deles.
1. Conheça seus certificados, chaves e ativos digitais
Segundo Ponemon, a organização média de TI possui mais de 267 mil certificados internos, um aumento de 16% em relação ao ano passado. Os certificados e chaves estão associados à infraestrutura operacional, com IoT, com infraestrutura de TI no local, com infraestrutura em nuvem e com infraestrutura contêinerizada. Alguns desses certificados e chaves são antigos. Alguns são codificados. Alguns estão entrelaçados com outras identidades.
De acordo com uma pesquisa feita por Vanson Bourne, dos tomadores de decisão de segurança de TI em nome do AppViewX, divulgada no último outono, 61% das organizações não têm total consciência de certificados e chaves para seus ativos digitais. Dos que não têm visibilidade, 96% disseram ter experimentado consequências. O problema mais comum? Violações de segurança cibernética, relatadas por 55% dos entrevistados. As paralisações no sistema foram relatadas por 35% dos entrevistados e 33% relataram perdas financeiras.
Ian Reay, vice-presidente de engenharia da Hitachi ID Systems, diz que viu casos em que as empresas tiveram sérios problemas como resultado de não saber o que estava acontecendo com identidades de máquinas. Por exemplo, uma grande organização dos EUA estava fazendo manutenção em suas impressoras de marketing e precisava alterar as senhas.
“Só as impressoras. O que poderia dar errado? Reay perguntou. “Eles seguiram todos os controles de mudança e mudaram suas senhas. Então eles perceberam que seus sistemas de produção estavam offline, e eles não sabiam por quê.”
Algumas horas muito estressantes de paralisações globais depois, eles perceberam o que tinha acontecido. “Há cerca de 20 anos, um dos administradores usou a conta da impressora para outros fins”, diz Reay. “Ele ficou emaranhado. Foi usado tanto para impressoras quanto para o ambiente de produção. Isso é incrivelmente difícil de ver e prever com antecedência.”
Quando tentaram mudar a senha para a antiga, não conseguiram. A senha antiga já não cumpria suas políticas de senha do Active Directory. Executivos seniores tiveram que se envolver para permitir uma exceção à política de senhas.
As empresas tendem a ter várias listas, listas que são fraturadas, mal conservadas e cheias de erros, diz Reay. “O que encontramos com nossos clientes, mesmo os que lideram o pacote, a maioria não está em posição de resolver esse problema. É muito assustador.
2. Change keys and certificates frequently
Quando as chaves e certificados são estáticos, isso os torna alvos maduros para roubo e reutilização, diz Anusha Iyer, co-fundadora e CTO da Corsha, fornecedora de segurança cibernética. “Na verdade, os ataques de enmento de credenciais mudaram em grande parte do nome de usuário humano e senhas para credenciais de API, que são essencialmente proxies para a identidade da máquina hoje em dia”, diz ela.
Como os ecossistemas de API estão vendo um crescimento imenso, esse problema só está se tornando mais desafiador. O gerenciamento inadequado de identidades de máquinas pode levar a vulnerabilidades de segurança, concorda Prasanna Parthasarathy, gerente sênior de soluções do Centro de Excelência em Segurança Cibernética da Capgemini Americas. Na pior das hipóteses, os atacantes podem exterminar áreas inteiras no ambiente de TI de uma só vez, diz ele.
“Os atacantes podem usar chamadas de API conhecidas com um certificado real para obter acesso a controles de processos, transações ou infraestrutura crítica – com resultados devastadores.”
Para se proteger contra isso, as empresas devem ter autorização rigorosa das máquinas de origem, conexões em nuvem, servidores de aplicativos, dispositivos portáteis e interações de API, diz Parthasarathy. O mais importante é que os certificados confiáveis não devem ser estáticos, diz ele. “Eles devem ser alterados ou atualizados com frequência. Eles nunca devem ser codificados em uma chamada de API.”
Parthasarathy admite que pode ser difícil alterar certificados para cada transação, mas com atualizações mais frequentes, as empresas terão um ambiente mais seguro. Além disso, as empresas devem ter processos para revogar certificados e chaves imediatamente quando os dispositivos ou processos forem desativados. O Gartner recomenda que as empresas removam a confiança implícita de toda a infraestrutura de computação e a substituam por confiança adaptativa em tempo real.
3. Adote soluções de gerenciamento de identidade de máquina
O Gartner coloca o gerenciamento de identidade de máquina na categoria de tecnologias de gerenciamento de identidade e acesso (IAM). De acordo com o mais recente ciclo de hype da empresa, a gestão de identidade de máquina está agora se aproximando do pico de expectativas infladas, e ainda está a dois ou cinco anos do “patamar da produtividade”.
De acordo com a pesquisa vanson Bourne, 95% das organizações estão implementando ou estão planejando implementar fluxos de trabalho automatizados de gerenciamento de identidade de máquina, gerenciamento de identidade de máquina como serviço ou a capacidade de gerenciar ciclos de vida de certificado em modelos de implantação híbrida. No entanto, apenas 32% implementaram totalmente o gerenciamento moderno de identidade de máquina. De acordo com a pesquisa, 53% das organizações ainda usam planilhas como núcleo de sua gestão de identidade de máquina, e 93% têm planilhas em algum lugar do processo.
Um problema, diz Chris Hickman, CSO da Keyfactor, é que, na maioria das organizações, a propriedade da identidade da máquina está implícita em vez de ser expressamente atribuída. “Portanto, muitas organizações acabam com uma abordagem siloizada para a gestão da identidade de máquina e, pior ainda, muitas dessas identidades não são gerenciadas por ninguém”, recomenda que as empresas estabeleçam grupos centrais e inter-funções com responsabilidade específica pelo gerenciamento de todas as identidades das máquinas.
4. Abrace a automação
De acordo com a pesquisa vanson Bourne, as empresas que têm fluxos de trabalho automatizados como parte de seu gerenciamento de identidade de máquina veem benefícios significativos. Dos que possuem automação, 50% conseguem acompanhar todos os certificados e chaves, em comparação com apenas 28% daqueles que não têm automação no local. Apenas 33% das organizações implementaram totalmente fluxos de trabalho automatizados, com 48% ainda em processo de fazê-lo. Outros 15% têm planos de colocar a automação em prática e apenas 4% não têm planos de automação nessa área.
Os tomadores de decisão de segurança de TI disseram que esperam que a automação reduza custos, reduza o tempo gasto gerenciando chaves e certificados e simplifique e simplifique os fluxos de trabalho. “A automação é essencial”, diz Bocek, da Venafi. “As iniciativas de transformação digital param sem gestão automatizada.” A automação também reduzirá a possibilidade de erro humano, acrescenta ele, o que pode abrir caminho para falhas de segurança.
5. Inclua a nuvem em planos de gerenciamento de identidade de máquina
À medida que as empresas movem a infraestrutura do local para a nuvem, 92% tiveram que repensar e mudar as soluções de gerenciamento de identidade da máquina, de acordo com a pesquisa vanson Bourne. E 76% dizem que a solução que eles têm em vigor não é totalmente capaz de suportar implantações em nuvem ou híbridas.
Uma abordagem “painel único de vidro” para o gerenciamento de identidade de máquina ainda não é prática em ambientes multi-nuvem, disse o analista do Gartner Laurence Goasduff em um relatório recente. As empresas podem implementar uma única estrutura abrangente que centralizou algumas funções, mas deixa espaço para ferramentas nativas, diz ele.
De acordo com a pesquisa da Vanson Bourne, menos da metade das empresas planeja ter uma única solução de gerenciamento de identidade de máquina que cubra todas as implantações em nuvem. Em vez disso, 37% planejam ter um sistema separado de gerenciamento de identidade de máquina para cada nuvem, com uma política central para cobrir todos eles, e 22% planejam ter sistemas separados sem uma política central.
6. Inclua robôs em planos de gerenciamento de identidade de máquina
Ao longo da pandemia global, as empresas aceleraram suas estratégias de automação. De acordo com a Forrester, o mercado global de software de automação de processos robóticos atingirá US$ 6,5 bilhões em 2025, contra US$ 2,4 bilhões em 2021. Essas identidades de robôs de software também precisam ser gerenciadas, disse Goasduff no relatório do Gartner. “Comece definindo as melhores práticas e orientando princípios de como integrar ferramentas de RPA no tecido de identidade”, disse ele, “e tratar os robôs de software da RPA como outra carga de trabalho que precisa de uma identidade de máquina”.
7. Inclua máquinas em planos de confiança zero
A confiança zero é uma prioridade de segurança para as empresas hoje. De acordo com uma pesquisa divulgada em fevereiro deste ano pelo Information Security Media Group, 100% dizem que a confiança zero é importante para reduzir o risco de segurança. Foi no centro do memorando de segurança cibernética do presidente dos EUA Biden no início deste ano.
A confiança zero não é apenas exigir que os usuários sejam totalmente autenticados o tempo todo. Também se aplica a processos e dispositivos. “Gerenciar identidades de dispositivos é especialmente importante no mais novo modelo de segurança de zero-confiança”, diz Bo Lane, chefe de arquitetura de soluções da Kudelski Security. “Quando um dispositivo corporativo não recebe nenhum status de confiança especial na rede, ele deve ter uma maneira de identificar e autorizar interações com outros dispositivos, serviços ou dados.”
De acordo com uma pesquisa da Fortinet divulgada no início deste ano, 84% das organizações têm uma estratégia de confiança zero em vigor ou em desenvolvimento. No entanto, a capacidade de autenticar dispositivos continuamente é uma luta para 59% das empresas, mostrou a pesquisa.
FONTE: CSO ONLINE