0 
0 Um dos principais objetivos dos bandidos é escalar para acesso privilegiado à conta sempre que possível. Quanto mais acesso irrestrito eles podem obter para contas administrativas, superusuários e infraestrutura, a rédea mais livre que eles têm para acessar lojas de dados confidenciais, adulterar sistemas críticos, ganhar silenciosamente carta branca para fazer o que quiserem com a infraestrutura de TI de uma organização vítima e fazer tudo isso sem ser detectado.
Como resultado, as organizações reconhecem que precisam tomar cuidado especial com a forma como gerenciam e concedem acesso às contas privilegiadas mais poderosas em seus ambientes. Isso é feito com ferramentas de gestão de acesso privilegiado (PAM). O PAM é usado para gerenciar credenciais privilegiadas, delegar acesso a elas, rastrear sessões privilegiadas para monitorar abusos e relatar padrões de uso tanto para a equipe de risco quanto para auditores e geralmente controlar a elevação dos comandos.
Enquanto anos atrás, a PAM era uma especialidade de nicho reservada para as maiores empresas, suas características se expandiram muito além da simples proteção e emissão de relatórios de contas administrativas. A PAM agora é encarregada de gerenciar o número cada vez maior de contas com acesso privilegiado a pelo menos alguma parte do ecossistema digital corporativo. O crescimento das contas máquina a máquina para permitir que a automação, contas em nuvem efêmeras suportem recursos de DevOps e provisionamento de infraestrutura sob demanda, contas de integração e muito mais, tornaram tudo mais complicado e mais necessário para as empresas implementarem PAM.
A lista a seguir inclui alguns dos maiores players do mercado. O fio condutor entre a maioria deles tende a ser sua capacidade de três pontas para saltar, proteger e girar credenciais privilegiadas; sua capacidade de impor menos privilégios em contas baseadas em filtros de controle granulares que podem incluir tudo, desde a localização geográfica até o acesso ao dia é solicitada; e a capacidade de gerenciar segredos que incluem não apenas senhas, mas também chaves SSH, certificados, tokens e outras credenciais.
Principais ferramentas PAM
BeyondTrust
Um jogador PAM bem estabelecido, a BeyondTrust oferece múltiplas opções para o gerenciamento de contas privilegiadas e de sessões (PASM) através de seus produtos de Acesso Remoto Seguro e Privilegiados, este último ganhou tração particular entre empresas de médio e pequeno porte, bem como casos de uso de acesso remoto que cresceram tremendamente nos últimos anos. Ele também oferece suporte de gerenciamento de segredos através de seu software DevOps Secrets Safe e impõe políticas de menor privilégio granular e outras funcionalidades de elevação de privilégios e gerenciamento de delegação (PEDM) através de seu Endpoint Privileged Management que corre através do Windows e Mac, bem como Unix e Linux através de sua Tecnologia de Ponte de Diretório Ativo.
A BeyondTrust tem forte ligação com o mundo de compliance e auditoria e um de seus grandes diferenciais está em seus recursos de relatórios e visualização, de acordo com analistas do Gartner. Os clientes podem fazer uma camada de análise avançada através do pacote de análises adicionais BeyondInsight da empresa. Esse pacote também fornece recursos completos de detecção de contas, dizem analistas.
Ele também é agora um player no campo de gerenciamento de direitos de infraestrutura em nuvem (CIEM) — um desdobramento natural do PAM — através de sua mais nova tecnologia Cloud Privilege Broker, que gerencia direitos em ambientes multi-nuvem.[ INSCREVA-SE AGORA para CIO 100: Conferência de Simpósio & Prêmios, 15 a 17 de agosto ]
Um lugar onde os analistas alertam os clientes está na fraqueza da empresa em integrações, tanto externamente quanto mesmo dentro de algumas de suas funcionalidades sobrepostas do produto.
CyberArk
CyberArk é outro pilar da maioria das listas de compradores ao contemplar a compra da PAM. “A CyberArk continua sendo a maior marca PAM, com uma longa história neste setor, um amplo alcance geográfico e a maior parte do mercado de PAM”, segundo analistas da Gartner. “A maioria dos clientes do Gartner que pesquisam produtos PAM incluem o CyberArk em sua lista de fornecedores para avaliar.”
Seu pão-e-manteiga está em seu produto CyberArk Privileged Access Manager, que pode ser implantado no local ou como um serviço através do Privilege Cloud e que lida com a principal funcionalidade PASM para os clientes. Lado a lado com isso está o Cyberark Endpoint Manager (EPM), que fornece o PEDM e o CyberArk Vendor Management, que lida com acesso remoto a contas privilegiadas para terceiros.
Em 2017, a empresa captou o Conjur Secrets Manager para abordar o mercado de DevOps para gerenciar segredos em aplicativos, serviços e dispositivos e controle de acesso baseado em papéis em ambientes de desenvolvimento e implantação. Integrou essas capacidades em seu portfólio, mas também mantém a Conjur como uma marca separada.
Isso marcou o impulso geral da empresa nos últimos anos para expandir sua pegada em todo o espaço de identidade. Sempre foi conhecido por uma forte integração com fornecedores de identidade tangencial, mas também está construindo a expansão da funcionalidade interna e através de aquisições. Foi um dos primeiros fornecedores de PAM a entrar na briga do CIEM e fornece funcionalidades maduras de CIEM, incluindo a pontuação de risco de exposição de permissões, através de seu Cloud Entitlements Manager, adequado para ambientes em larga escala e multi-nuvem. E sua compra 2020 da Idaptive, levou à implantação do SSO (Single Sign-on) e da autenticação multifatorial de ponto final (MFA), recursos de gerenciamento de identidade do cliente, opções sem senha e recursos de autoatendimento para gerenciamento de contas.
Delinea
Delinea is the marriage between two established players in the PAM market, Thycotic and Centrify. The two companies were purchased and merged together last year by private equity firm TPG Capital and rebranded in February under the new name. Separately, each product base has the distinction of being judged in that “up and to the right” leadership category of the PAM market by analysts from the likes of Gartner and KuppingerCole.
Thycotic was best known for the password vaulting and rotation capabilities of its Secret Server product, and its catering to smaller enterprises with more streamlined, out-of-the-box functionality. Centrify was best known for serving large enterprises with the Active Directory (AD) bridging functionality of its Cloud Suite SaaS platform, which brings together access control and management of disparate on-premises and cloud system administrative accounts, including Linux and Unix environments, into the familiar AD environment.
The company is still in that in-between stage of product integration that comes from bringing together companies with overlapping feature sets. Many of the products like Secret Server and DevOps Secrets Vault from the Thycotic end and Cloud Suite platform modules from the Centrify side can still be purchased and supported separately. Delinea seems to be committed to unifying the offerings. Last October the company rolled out an integration between the privileged account and session management capabilities of Secret Server and with the other parts of the Cloud Suite platform and executives promise more progress in the months to come
Hashicorp
Hashicorp is a bit of a niche player in the PAM space, with its offering not broad enough to do end-to-end management of privileged access. However, it’s making a name for itself in the DevOps space for its secure password vault capabilities, which is designed to be integrated into application development and delivery management tooling that DevOps teams live in.
“While several other PAM vendors are now offering similar capabilities to suit DevOps, HashiCorp offers a good start for organizations looking to onboard PAM within application development and deployment processes,” explained KuppingerCole analyst Paul Fisher in a recent KuppingerCole report on the PAM market.
ManageEngine
ManageEngine is another PAM-lite player with specialized functionality for companies seeking to ease into privileged account management. Its PAM360 platform is firmly focused on SSH key and SSL certificate management and analysts note that its ability for adding custom roles in user management as a plus. The product provides some user behavior patterning to look for risky behavior and compliance-friendly reporting.
One of its selling points is in its integrations, both with its own internal suite of products (ManageEngine is part of ZOHO Corp) and externally. For workflow management of common tasks like on-boarding and off-boarding of accounts, it’s tied closely with the robotic process automation for Automation Anywhere and ITSM players like ServiceDesk Plus and ServiceNow.
“On a more fundamental PAM issue, PAM360 offers strong SIEM integration with Splunk, SumoLogic and Log360. DevOps is covered up to a point with integrations for Jenkins, Ansible, Chef and Puppet,” wrote Fisher.
Where Gartner deems it lacking is in its privilege elevation and delegation management. It dropped ManageEngine from its latest PAM Magic Quadrant for not meeting minimum requirements for PEDM, for which Gartner excludes session monitoring as a sole route to accomplish the capability, “because the point of control is less reliable.” PAM360 is big on session management and session monitoring controls, and this put it out of the running based on Gartner’s yardstick.
One Identity
A full-fledged and mature PAM vendor, One Identity brings together its privileged account functionality under its One Identity Safeguard product base, which is made up of three modules. Safeguard for Privileged Passwords handles role-based access and automates workflows for provisioning and authentication administration. Safeguard for Privileged Sessions handles the control, monitoring, and recording of privileged sessions, including real-time alerting for suspicious activity and robust reporting for audit and compliance support. Safeguard for Privileged Analytics, which offers deep analytics into privileged account activities. Gartner says the latter is where the company really shines.
“One Identity Safeguard for Privileged Analytics stands out from other solutions by using machine learning to analyze not just privileged access attempts, but also complete session activity, including commands,” Gartner analysts wrote. “Passive behavioral biometric analysis can detect unauthorized use through keystroke dynamics.”
One Identity is trying to broaden its general IAM appeal through M&A activity. Last year it picked up OneLogin, a lightweight IDaaS vendor for smaller organizations. Forrester analysts says the deal gives One Identity a foot in the door into the broader IDaaS market and a chance to and differentiate itself from vendors in that market space that don’t have native PAM identity governance administration capabilities (IGA) capabilities. It’s still early days following the deal, so it remains to be seen how well the company can integrate OneLogin technology and cross pollinate each side’s feature strengths.
WALLIX
Based in France, WALLIX is a rising player in the PAM market. The WALLIX Bastion product is made up of five modules: Session Manager, Password Manager, Access Manager, Privilege Elevation and Delegation Manager and Application to Application Password Manager. It also works hand-in-hand with the endpoint privilege management capabilities of the company’s other main product WALLIX BestSafe.
Considerado um Challenger no Quadrante Mágico do Gartner, o WALLIX Bastion recebe notas altas pelos analistas da empresa por seus recursos de gerenciamento e gravação de sessões, facilidade de implantação e preços competitivos. Onde o Gartner dings está em recursos de rotação de credenciais e detecção de conta. Enquanto isso, KuppingerCole tinha comentários brilhantes sobre seu crescente conjunto de recursos.
“Ao basear-se em seus recursos existentes para gerenciamento de senhas e gerenciamento de sessão privilegiada (PSM) e adicionando epm aprimorado, AAPM e melhor suporte a DevOps, o WALLIX agora tem um nível altamente competitivo de recursos pam que devem ser seriamente considerados pelos compradores em todas as organizações”, escreveu Fisher.
FONTE: CSO ONLINE
