Até alguns anos atrás, as organizações dispunham de poucos recursos tecnológicos para seus funcionários realizarem suas tarefas, contavam com o mínimo para se comunicarem internamente e automatizar alguns processos. Hoje, o cenário mudou, as empresas estão cada vez mais potencializando sua infraestrutura tecnológica, os recursos se equiparam ou até superam o número de funcionários.

Processos de automação robótica, IoT, infraestruturas em nuvem, machine learning e muitas outras tecnologias que se tornaram parte do dia a dia organizacional estimularam a necessidade de não só humanos se comunicaram com as máquinas, mas também de as máquinas se comunicarem entre si.

Seres humanos utilizam “usernames” e senhas para autenticar seus acessos aos recursos, porém, máquinas e dispositivos utilizam chaves e certificados para acessarem os recursos que necessitam dentro ou fora da rede, ou seja, chaves e certificados são a identificação das máquinas para comprovar que seus acessos e privilégios são autênticos.

A comunicação máquina-máquina é tão importante quanto a comunicação humano-máquina. Estima-se que este ano, empresas vão gastar mais que 10 bilhões de dólares para proteger e gerenciar senhas, mas não gastaram praticamente nada para proteger e gerenciar identidades de máquinas.

Identidade de máquinas é um componente importante para a IAM (Identity & Access Management ou Identidade e Gestão de Acesso – que possibilita gerenciar identidades e seus acessos aos recursos da organização), já que, tipicamente, quando se pensa na gestão de identidades, as identidades de máquinas são negligenciadas e acabam aumentando o risco de acessos não autorizados, pois essas máquinas não têm seus acessos e privilégios controlados e se tornam suscetíveis a uma exploração.

Exploração de identidades

Gerenciar e proteger essas identidades de máquinas, em alguns casos, é mais complexo, pois máquinas não conseguem identificar se as requisições de outra máquina são apropriadas ou não. Diferentemente de humanos, que possuem senso crítico para identificar situações suspeitas, máquinas simplesmente aceitam as requisições a elas ordenadas.

Segundo um estudo sobre Identidades de Máquinas, realizado pela Forrester em 2018, 70% das empresas estão rastreando menos da metade de suas potenciais identidades de máquinas, deixando-as vulneráveis a muitos riscos, entre essas identidades estão:

  • plataforma de nuvem;
  • containers;
  • códigos e algoritmos de identidade em aplicações mobile;
  • códigos e algoritmos de identidade em aplicações desktop;
  • identidade de servidores físicos;
  • chaves SSH e outros.

Sem uma gestão e uma proteção adequada de suas identidades, máquinas concedem acesso a qualquer outra que parecer válida, mesmo sendo maliciosa.

O primeiro ponto que deve ser observado é a quantidade de identidade de máquinas que está sendo usada e para quais objetivos. A ausência deste tipo de informação pode causar “blackouts” – falha na comunicação das máquinas, devido a um certificado ou chave expirada, gerando a quebra de um procedimento que resulta na indisponibilidade de um serviço. Esses “blackouts” acontecem porque o controle de datas de expiração de identidades não é controlado, quando a data limite é alcançada, a comunicação entre as máquinas é interrompida e, consequentemente, o serviço também. Calcula-se que um blackout em uma infraestrutura crítica pode causar um prejuízo de 5 mil dólares por minuto ou mais de 300 mil por hora.

A falta de controle também pode permitir que atacantes obtenham essas identidades ou se comuniquem com as máquinas da rede através de identidades falsas. Isso pode acontecer, pois muitos controles de segurança se baseiam em comunicações autenticadas por identidades de máquina.

Outro ponto de risco é o acesso direto a chaves e certificados. Organizações se preocupam em desabilitar credenciais de ex-funcionários, mas se esquecem de desabilitar ou alterar identidades de máquina gerenciadas por essas pessoas, que lhes garante acesso ao sistema mesmo depois de saírem da empresa.

Blackout de identidades

Além de explorações, essas identidades mal gerenciadas podem causar um grande impacto quando não são atualizadas. Devido à grande quantidade de certificados, alguns podem ser esquecidos e suas datas de expiração são atingidas sem o conhecimento do gestor responsável, causando uma quebra de alguma comunicação importante. A Microsoft passou por algo parecido em 2013, quando o Windows Azure Storage parou de funcionar globalmente, impactando o tráfego HTTPS devido a um certificado SSL vencido, o que afetou milhares de usuários no planeta.

Outro exemplo é o da empresa Equifax, que poderia ter evitado o vazamento de dados se seu dispositivo de análise de tráfego se não estivesse com o certificado vencido 10 meses antes da invasão sofrida em seus sistemas. Ninguém da empresa notou por 10 meses que um certificado estava vencido, levando a um custo de $700 milhões de dólares para a empresa.

Como proteger essas identidades?

Em seu estudo, a Forrester determina algumas habilidades necessárias que empresas devem desenvolver para proteger a comunicação de seus dispositivos:

  1. Visibilidade das identidades de todas as máquinas da rede, conseguindo, assim, controlar as datas de vencimento das chaves e certificados e também os acessos não autorizados e abuso de privilégios.
  2. Compreensão de todo ciclo de vida das identidades máquinas: geração de certificados, instalação, implementação, rotação, remoção para proteger, vencimentos e a comunicação entre máquinas.
  3. Desenvolvimento de autocapacitação para diminuir a necessidade de pessoal, altamente capacitado para lidar com operações de segurança diária.

O estudo também revelou que a maior preocupação das empresas é com a integração das identidades de máquina, por toda a infraestrutura, e o controle e priorização dos riscos relacionados.

Isso se dá porque muitas empresas deixam certificados e chaves na responsabilidade daqueles que geram e usam as identidades, porém cada indivíduo possui uma mentalidade diferente em como proteger as identidades, além de não entenderem a importância delas para o funcionamento de muitos processos, o que resulta em certificados e chaves inseguros, sem registro e não monitorados.

A proteção destas identidades pode, e é recomendada, que seja feita através de uma automação e integração com outros recursos tecnológicos disponíveis. A automação permitirá que se acompanhe todas as mudanças que as identidades de máquina sofrem (geração de chaves e certificados, enviar as informações a autoridade certificadora, instalar, configurar etc.).

Em resumo, uma boa abordagem para proteger identidades inclui:

  • Mapear as identidades, relacionando quem é o responsável por elas, individualmente, e para que são usadas.
  • Automatizar o ciclo de vida das identidades.
  • Habilitar alertas e notificações para encontrar certificados e chaves com datas de expiração próximas para evitar blackouts.
  • Validar as identidades, incluindo sua instalação e configuração para garantir o seu funcionamento correto.
  • Incluir controles para essas identidades nas políticas de segurança e no sistema.

Muitas organizações entendem a importância das identidades de máquina, porém não compreendem como podem protegê-las e usá-las de maneira correta, por mais complicado e desafiador que pareça, é necessário.

Com o rápido e inevitável aumento do número de máquinas dentro do sistema das organizações, e o número de vulnerabilidades às quais podem estar expostas, por não gerenciarem e protegerem suas identidades, está mais do que na hora de as organizações dedicarem os seus esforços de proteção na mesma proporção que se esforçam para proteger as credenciais de seus empregados.

REFERÊNCIAS

CERTIFICATE-RELATED OUTAGES impact the reputation of financial services organizations. 18 jul. 2019. Disponível em: https://www.helpnetsecurity.com/2019/07/18/financial-services-certificate-related-outages/. Acesso em: out.2018.

FORRESTER. Security the enterprise with with machine identity protection. 2018. Disponível em: https://consulting.forrester.com/#/assets/8/1449/TLP00005/tlp. Acesso em: out.2018.

https://www.thesslstore.com/blog/the-equifax-data-breach-went-undetected-for-76-days-because-of-an-expired-certificate/. Acesso em: out.2018.

MARTIN, Steve. Windows Azure Service Disruption from Expired Certificate. 24 fev. 2013. Disponível em: https://azure.microsoft.com/en-ca/blog/windows-azure-service-disruption-from-expired-certificate/

THE EQUIFAX DATA BREACH went undetected for 76 days because of an expired certificate. 14 set. 2018. Disponível em: https://www.thesslstore.com/blog/the-equifax-data-breach-went-undetected-for-76-days-because-of-an-expired-certificate/. Acesso em: out.2018.