CIS Controls – PAM x 20 Controles Focados no PAM

Para auxiliar a definição de estratégias para a proteção contra ataques cibernéticos, organizações do mercado criaram uma série de políticas e procedimentos, que está documentada para conhecimento teórico e procedimentos de implementação práticos. Alguns desses frameworks podem ser, em alguns casos, desenhados para uma indústria específica, e foram desenvolvidas para reduzir vulnerabilidades desconhecidas e erros de configuração existentes no ambiente organizacional. De maneira simplificada, esses padrões introduzem modelos para permitir que as organizações entendam a sua abordagem de segurança e saibam como melhorá-la. E como eles foram testados em diferentes situações e indústrias, é possível atestar a sua confiança e eficácia.
Os principais frameworks, normas e padrões de gestão de risco em cibersegurança do mercado são os padrões ISO 27000, o Framework de Cibersegurança do NIST, a norma PCI DSS e os Controles Críticos de Segurança para Efetiva Ciberdefesa do Center for Internet Security (CIS).
O CIS é uma organização sem fins lucrativos que tem como objetivo aproveitar o poder de uma comunidade de TI global para assegurar organizações públicas e privadas contra ameaças virtuais. Assim, o CIS definiu um conjunto de controles de segurança críticos, baseado em melhores práticas de mercado, que as organizações devem implementar em seu ambiente para garantir uma efetiva estratégia em cibersegurança. Esses controles críticos estão divididos em três conjuntos distintos: básicos, fundamentais e organizacionais, totalizando 20 controles que tratam basicamente de todos os aspectos de segurança cibernética. São eles:
Mesmo os controles do CIS tratando de inúmeros aspectos de Segurança da Informação, alguns deles estão diretamente relacionados à Gestão de Acesso Privilegiado (Privileged Access Management – PAM). Dos 20 controles propostos pelo CIS, um deles trata especificamente de PAM, enquanto os outros 19 são influenciados ou efetivamente exigem os conceitos associados à PAM.
Gestão de Acesso Privilegiado se refere a um conjunto de tecnologias e práticas que monitora e gerencia o acesso privilegiado (também chamado de acesso administrativo) a sistemas críticos. Com uma credencial privilegiada, um usuário pode, por exemplo, modificar configurações de sistemas, contas de usuários e acessar dados críticos.
Desta maneira, dado o seu nível de acesso e controle sobre os sistemas que gerenciam informações ou processos, um usuário privilegiado expõe a organização a potenciais riscos de negócio. Tanto por meio de um ataque, abuso de privilégio ou erro humano, um usuário privilegiado pode ser um vetor que ataque de um eventual incidente de segurança.
O controle número 4 (uso controlado de privilégios administrativos) aborda diretamente os aspectos de PAM. Para que seja possível entender como uma solução de PAM pode atender esse controle em sua totalidade, vamos apresentar os subcontroles previstos pelo CIS, associados ao uso controlado de privilégios administrativos. São eles:
-
4.1. Manter um inventário de contas administrativas.
-
4.2. Alterar senhas padrão.
-
4.3. Assegurar a utilização de contas administrativas dedicadas.
-
4.4. Utilizar senhas únicas.
-
4.5. Utilizar autenticação em multifator para todos os acessos administrativos.
-
4.6. Utilizar estações de trabalho dedicadas para todas as tarefas privilegiadas.
-
4.7. Limitar o acesso a ferramentas de script.
-
4.8. Registrar e alertar mudanças de membros de grupos administrativos.
-
4.9. Registrar e alertar logins de contas administrativas sem sucesso.
Assim, uma solução de PAM é essencial para implementar esse controle e todos os seus subcontroles, permitindo ao time de Segurança da Informação conceder e revogar acessos privilegiados em uma série de sistemas e dispositivos. Uma solução de PAM também permite o monitoramento destes acessos, além de alertar os administradores dos sistemas sobre eventuais não conformidades em sessões remotas. Um exemplo de não conformidade seria um usuário tentando realizar um acesso em um horário não autorizado ou acessar a interface de administração de um dispositivo que não seja de sua alçada.
O subcontrole 4.1 – Manter um inventário de contas administrativas, por exemplo, exige que a organização tenha total visibilidade sobre todas as credenciais administrativas e respectivos privilégios com a utilização de ferramentas automatizadas para inventariar todas as credenciais privilegiadas. O senhasegura, como solução de PAM, oferece a funcionalidade Scan e Discovery, por meio da qual permite a varredura e descoberta de credenciais privilegiadas (como contas privilegiadas locais e de domínio) em uma série de ativos, como dispositivos de rede, sistemas e aplicações, inclusive DevOps.
Outro exemplo de subcontrole que o senhasegura pode auxiliar a implementar é o 4.2 – Alterar senhas padrão. A recomendação do CIS é, antes de implementar qualquer novo ativo no ambiente, deve-se alterar todas as suas senhas padrão para que estejam consistentes com contas administrativas. O senhasegura permite o rotacionamento automático de todas as senhas de dispositivos, além de restringir o acesso por meio de fluxos de aprovação multiníveis, configuráveis de forma fácil e rápida.
Lógico que as funcionalidades de uma solução de PAM não se restringem apenas a esses dois subcontroles. Além disso, esse tipo de solução pode também atender às recomendações contidas em outros controles e respectivos subcontroles. O senhasegura oferece uma solução de PAM que permite a implementação de inúmeros controles previstos nos Controles Críticos de Segurança para Efetiva Ciberdefesa do CIS. Além de permitir a implementação completa do controle associado à Gestão de Acesso Privilegiado, o senhasegura também é aderente a aspectos associados a inventários de sistemas, configuração, monitoramento, resposta a incidentes e su/sudo injection. Desta maneira, a implementação do senhasegura permite mitigar possíveis ataques contra sistemas por meio de credenciais privilegiadas e garantir a confiança de funcionários, parceiros e clientes, além de garantir a continuidade dos negócios.