BR +55 11 3069 3925 | USA +1 469 620 7643

Identidade de Máquina parte 1

por | out 15, 2019 | Blog

Até alguns anos atrás, as organizações dispunham de poucos recursos tecnológicos para seus funcionários realizarem suas tarefas, contavam com o mínimo para se comunicarem internamente e automatizar alguns processos. Hoje, o cenário mudou, as empresas estão cada vez mais potencializando sua infraestrutura tecnológica, os recursos se equiparam ou até superam o número de funcionários.

Processos de automação robótica, IoT, infraestruturas em nuvem, machine learning e muitas outras tecnologias que se tornaram parte do dia a dia organizacional estimularam a necessidade de não só humanos se comunicaram com as máquinas, mas também de as máquinas se comunicarem entre si.

Seres humanos utilizam “usernames” e senhas para autenticar seus acessos aos recursos, porém, máquinas e dispositivos utilizam chaves e certificados para acessarem os recursos que necessitam dentro ou fora da rede, ou seja, chaves e certificados são a identificação das máquinas para comprovar que seus acessos e privilégios são autênticos.

A comunicação máquina-máquina é tão importante quanto a comunicação humano-máquina. Estima-se que este ano, empresas vão gastar mais que 10 bilhões de dólares para proteger e gerenciar senhas, mas não gastaram praticamente nada para proteger e gerenciar identidades de máquinas.

Identidade de máquinas é um componente importante para a IAM (Identity & Access Management ou Identidade e Gestão de Acesso – que possibilita gerenciar identidades e seus acessos aos recursos da organização), já que, tipicamente, quando se pensa na gestão de identidades, as identidades de máquinas são negligenciadas e acabam aumentando o risco de acessos não autorizados, pois essas máquinas não têm seus acessos e privilégios controlados e se tornam suscetíveis a uma exploração.

 

Exploração de identidades

Gerenciar e proteger essas identidades de máquinas, em alguns casos, é mais complexo, pois máquinas não conseguem identificar se as requisições de outra máquina são apropriadas ou não. Diferentemente de humanos, que possuem senso crítico para identificar situações suspeitas, máquinas simplesmente aceitam as requisições a elas ordenadas.

Segundo um estudo sobre Identidades de Máquinas, realizado pela Forrester em 2018, 70% das empresas estão rastreando menos da metade de suas potenciais identidades de máquinas, deixando-as vulneráveis a muitos riscos, entre essas identidades estão:

  • plataforma de nuvem;
  • containers;
  • códigos e algoritmos de identidade em aplicações mobile;
  • códigos e algoritmos de identidade em aplicações desktop;
  • identidade de servidores físicos;
  • chaves SSH e outros.

Sem uma gestão e uma proteção adequada de suas identidades, máquinas concedem acesso a qualquer outra que parecer válida, mesmo sendo maliciosa.

O primeiro ponto que deve ser observado é a quantidade de identidade de máquinas que está sendo usada e para quais objetivos. A ausência deste tipo de informação pode causar “blackouts” – falha na comunicação das máquinas, devido a um certificado ou chave expirada, gerando a quebra de um procedimento que resulta na indisponibilidade de um serviço. Esses “blackouts” acontecem porque o controle de datas de expiração de identidades não é controlado, quando a data limite é alcançada, a comunicação entre as máquinas é interrompida e, consequentemente, o serviço também. Calcula-se que um blackout em uma infraestrutura crítica pode causar um prejuízo de 5 mil dólares por minuto ou mais de 300 mil por hora.

A falta de controle também pode permitir que atacantes obtenham essas identidades ou se comuniquem com as máquinas da rede através de identidades falsas. Isso pode acontecer, pois muitos controles de segurança se baseiam em comunicações autenticadas por identidades de máquina.

Outro ponto de risco é o acesso direto a chaves e certificados. Organizações se preocupam em desabilitar credenciais de ex-funcionários, mas se esquecem de desabilitar ou alterar identidades de máquina gerenciadas por essas pessoas, que lhes garante acesso ao sistema mesmo depois de saírem da empresa.

 

Blackout de identidades

Além de explorações, essas identidades mal gerenciadas podem causar um grande impacto quando não são atualizadas. Devido à grande quantidade de certificados, alguns podem ser esquecidos e suas datas de expiração são atingidas sem o conhecimento do gestor responsável, causando uma quebra de alguma comunicação importante. A Microsoft passou por algo parecido em 2013, quando o Windows Azure Storage parou de funcionar globalmente, impactando o tráfego HTTPS devido a um certificado SSL vencido, o que afetou milhares de usuários no planeta.

Outro exemplo é o da empresa Equifax, que poderia ter evitado o vazamento de dados se seu dispositivo de análise de tráfego se não estivesse com o certificado vencido 10 meses antes da invasão sofrida em seus sistemas. Ninguém da empresa notou por 10 meses que um certificado estava vencido, levando a um custo de $700 milhões de dólares para a empresa.

 

Como proteger essas identidades?

Em seu estudo, a Forrester determina algumas habilidades necessárias que empresas devem desenvolver para proteger a comunicação de seus dispositivos:

  1. Visibilidade das identidades de todas as máquinas da rede, conseguindo, assim, controlar as datas de vencimento das chaves e certificados e também os acessos não autorizados e abuso de privilégios.
  2. Compreensão de todo ciclo de vida das identidades máquinas: geração de certificados, instalação, implementação, rotação, remoção para proteger, vencimentos e a comunicação entre máquinas.
  3. Desenvolvimento de autocapacitação para diminuir a necessidade de pessoal, altamente capacitado para lidar com operações de segurança diária.

O estudo também revelou que a maior preocupação das empresas é com a integração das identidades de máquina, por toda a infraestrutura, e o controle e priorização dos riscos relacionados.

Isso se dá porque muitas empresas deixam certificados e chaves na responsabilidade daqueles que geram e usam as identidades, porém cada indivíduo possui uma mentalidade diferente em como proteger as identidades, além de não entenderem a importância delas para o funcionamento de muitos processos, o que resulta em certificados e chaves inseguros, sem registro e não monitorados.

A proteção destas identidades pode, e é recomendada, que seja feita através de uma automação e integração com outros recursos tecnológicos disponíveis. A automação permitirá que se acompanhe todas as mudanças que as identidades de máquina sofrem (geração de chaves e certificados, enviar as informações a autoridade certificadora, instalar, configurar etc.).

Em resumo, uma boa abordagem para proteger identidades inclui:

  • Mapear as identidades, relacionando quem é o responsável por elas, individualmente, e para que são usadas.
  • Automatizar o ciclo de vida das identidades.
  • Habilitar alertas e notificações para encontrar certificados e chaves com datas de expiração próximas para evitar blackouts.
  • Validar as identidades, incluindo sua instalação e configuração para garantir o seu funcionamento correto.
  • Incluir controles para essas identidades nas políticas de segurança e no sistema.

Muitas organizações entendem a importância das identidades de máquina, porém não compreendem como podem protegê-las e usá-las de maneira correta, por mais complicado e desafiador que pareça, é necessário.

Com o rápido e inevitável aumento do número de máquinas dentro do sistema das organizações, e o número de vulnerabilidades às quais podem estar expostas, por não gerenciarem e protegerem suas identidades, está mais do que na hora de as organizações dedicarem os seus esforços de proteção na mesma proporção que se esforçam para proteger as credenciais de seus empregados.

 

REFERÊNCIAS

CERTIFICATE-RELATED OUTAGES impact the reputation of financial services organizations. 18 jul. 2019. Disponível em: https://www.helpnetsecurity.com/2019/07/18/financial-services-certificate-related-outages/. Acesso em: out.2018.

FORRESTER. Security the enterprise with with machine identity protection. 2018. Disponível em: https://consulting.forrester.com/#/assets/8/1449/TLP00005/tlp. Acesso em: out.2018.

https://www.thesslstore.com/blog/the-equifax-data-breach-went-undetected-for-76-days-because-of-an-expired-certificate/. Acesso em: out.2018.

MARTIN, Steve. Windows Azure Service Disruption from Expired Certificate. 24 fev. 2013. Disponível em: https://azure.microsoft.com/en-ca/blog/windows-azure-service-disruption-from-expired-certificate/

THE EQUIFAX DATA BREACH went undetected for 76 days because of an expired certificate. 14 set. 2018. Disponível em: https://www.thesslstore.com/blog/the-equifax-data-breach-went-undetected-for-76-days-because-of-an-expired-certificate/. Acesso em: out.2018.

Força de senha: como criar senhas fortes para as credenciais?

A força de senha é um dos critérios considerados na criação de políticas de senhas. Afinal, essa é uma das medidas mais eficientes para evitar que as senhas sejam violadas. E se preocupar com isso é de suma importância para as organizações nos dias atuais. Isso porque...

Verizon Data Breach Investigation Report 2021: o que você precisa saber sobre esse relatório

A interação humana com as estruturas de TI representa uma das principais ameaças cibernéticas enfrentadas por organizações dos mais diversos portes e segmentos.  Essa é apenas uma das importantes informações extraídas do Verizon Data Breach Investigation Report 2021,...

Construindo uma indústria digital através do PAM

Com o avanço da tecnologia, os setores industriais encontram-se cada vez mais digitalizados por meio de soluções que otimizam os processos realizados nesses ambientes, reduzindo custos, eliminando falhas humanas e gerando mais produtividade.  Entre as tecnologias que...

O que fazer para diminuir os valores de seguro cibernéticos?

Quando se trata de segurança da informação, os riscos para as organizações estão cada vez maiores por uma série de fatores. Como exemplo, podemos mencionar o aumento no número de ataques cibernéticos, especialmente após a pandemia de covid-19, que acelerou a adoção em...

Alcançando a conformidade com a Lei Sarbanes-Oxley (SOX) usando controles de segurança cibernética

A Lei Sarbanes-Oxley (SOX) está associada principalmente à transparência da empresa e ao uso de controles contábeis e financeiros para proteger os investidores de relatórios financeiros fraudulentos. No entanto, é sempre importante lembrar o papel fundamental cada vez...

Gestão de Acesso Privilegiado (PAM): guia completo

Em 2021, houve um aumento de 50% no número de ataques em redes corporativas em relação ao ano anterior. É o que aponta a Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point. E muitos desses ataques envolvem a exploração desse tipo de...
Copy link
Powered by Social Snap