Papai Noel, PAM e o Controle de Acesso

Há alguns anos, os dados eram impressos e guardados em pastas e gavetas, salas com informações confidenciais eram trancadas a chave, que ficava de posse de apenas um colaborador. 

Hoje, tudo isso é bem diferente, a maior parte dos dados é armazenada e trafega em meios tecnológicos.

De certa forma, isso tornou todas as atividades que envolvem o uso de informações e dados muito mais fácil, porém, aumentou significativamente o número de credenciais de acesso (de usuários e de máquinas) a estes ativos e à complexidade dos sistemas.   

Talvez, o maior problema hoje seja garantir que apenas os usuários e os softwares certos possam acessar e utilizar os dados.

Para isso, vamos analisar três técnicas praticadas por anos por uma organização comandada por um bom velhinho, e saber como elas podem ajudar a minimizar muitos riscos de segurança. 

Vulnerabilidade dos acessos

Como mencionado, as organizações possuem um número grande de credenciais que são utilizadas para acessar os dados e informações organizacionais. Porém, isso não quer dizer que o acesso é legítimo, já que o número de credenciais expostas ou vazadas disponíveis na dark web é de no mínimo 1.4 bilhões.   

Criminosos podem facilmente utilizar credenciais de usuários legítimos para realizar ações maliciosas, como acessar informações, instalar softwares e outras coisas sem serem detectados, mas isso pode ser evitado utilizando as duas metodologias de trabalho de uma das figuras mais famosas da cultura ocidental: Papai Noel. 

“Papai Noel”, aquela figura que entrega presentes para crianças bem-comportadas na véspera de Natal utiliza três métodos para “realizar” o seu trabalho: a “Análise de comportamento”, a “Lista dos malcriados x lista de bonzinhos” e a “Lista de presentes”.

Análise de Comportamento

Segundo a lenda, Papai Noel costuma ter uma lista com nomes de crianças que se comportaram mal durante o ano e que não merecem receber presentes.

Provavelmente, Noel possui alguma ferramenta que monitora o comportamento das crianças durante o ano e as separa em boas ou malcriadas.

No ambiente organizacional isso não deve ser diferente, é preciso monitorar o comportamento das credenciais e avaliar se estas estão fazendo um bom uso ou não dos dados. 

É uma tarefa exclusiva da organização determinar o que é um comportamento anormal ou não. Credenciais que acessam um determinado tipo de informação, muitas vezes fora do horário comercial, por exemplo, podem ser consideradas um “comportamento malcriado”. 

Assim que o comportamento anormal da credencial é notado, o mais recomendável é bloquear o seu acesso àquele dado ou informação imediatamente, ou tomar outro tipo de ação que possa evitar que o comportamento indesejado continue, já que isso pode indicar uma invasão ou roubo de credenciais. 

Blacklists x Whitelists – Lista dos malcriados x lista de bonzinhos

Seguindo a lógica, Papai Noel sabe quais são as crianças malcriadas que não receberam os presentes, que em nosso contexto poderia ser traduzido para o dado ou a informação, ou seja, existe uma lista de itens que não podem ter acesso aos dados por estarem associados a um comportamento malicioso. 

No universo de cybersecurity, essa técnica é chamada de “Blacklist“.

Blacklist é uma lista de itens que estão associados com algum tipo de atividade maliciosa e não podem ter acesso ao sistema. Da mesma forma, também existem as “Whitelists“, que são semelhantes às “Blacklists”, porém compostas dos itens que são autorizados a terem acesso ao sistema e às informações. Podemos demonstrar isso com alguns exemplos:

Estas listas podem ir além de e-mails, aplicativos e IPs. Você pode incluir em seus bloqueios ou permissões sites, comandos, usuários e senhas também. 

Este último, por exemplo, é muito interessante de se criar, já que muitas empresas não consideram criar uma “blacklist” que bloqueie o uso de senhas comuns, inseguras ou registradas em vazamento de dados como “123456” ou “iloveyou”.

Além dessas duas listas existe também a “Graylist”, que é composta dos itens que ainda não foram determinados como maliciosos, mas também não se tem certeza se são seguros. Normalmente, os itens dessa lista precisam ser avaliados antes de serem autorizados ou bloqueados. 

Há, porém, uma grande dúvida sobre qual das listas utilizar. Na verdade, isso vai depender do nível de restrição e segurança que a sua empresa deseja. 

Whitelist é o tipo de lista mais recomendável para sistemas abertos e públicos que necessitam de um alto nível de segurança, já que tudo que não está na lista é considerado inseguro e bloqueado. 

Enquanto a Blacklist é o tipo mais permissivo, já que tudo que não está na lista é considerado seguro, por conta disso, é o tipo de lista mais recomendada para sistemas, aplicações e infraestruturas que serão utilizados internamente. Todavia, deve-se sempre atualizar essa lista, já que um novo vírus pode ser considerado seguro só pelo fato de não ser mencionado na lista.

Não existe uma razão para não usar as duas listas. Os benefícios de utilizá-las são muitos, entre os quais podemos citar dois: diminuir o risco de o sistema ser contaminado por malwares e vírus; e ajudar a reforçar ferramentas de segurança como firewalls e IDS/IPS.

Quem pode ter acesso à informação: Lista de presentes

A lenda também descreve como Noel sabe exatamente o que cada criança quer ganhar e entrega o presente na casa correta. Para uma figura mágica talvez isso não seja um problema, mas para um administrador de um sistema com milhares de usuários é praticamente impossível. 

Como dito, cada usuário necessita de uma informação específica e esta deve ser entregue somente a ele, caso seja compartilhada com outro, a confidencialidade já será comprometida. 

Deve-se levar em conta que mesmo com o uso de Blacklists e Whitelists, cada presente, ou melhor, cada dado e informação deve ser entregue a quem de fato necessita ter acesso. 

Neste caso, manter uma lista com usuários e cada informação que estes podem acessar é, no mínimo, impraticável para um sistema organizacional que precisa que as decisões de acesso sejam tomadas de forma rápida e dinâmica. 

Um usuário que possui acesso a informações que ele não necessita pode resultar em atividades ou execuções que este não deveria fazer e causar algum problema no sistema, até mesmo para a imagem da organização. 

Uma solução PAM, por exemplo, é quase um Papai Noel, pois pode auxiliar na administração das solicitações de acesso, entregando a informação que cada usuário precisa e pode ter acesso. 

Também podem ajudar na adoção de um controle de aplicações, credenciais e comandos em que somente estes e outros itens inseridos em uma whitelist podem ser executados, instalados e acessados por um usuário; como também blacklist para itens que jamais devem ser executados, acessados ou instalados, mesmo que o usuário tenha privilégios.

Além disso, uma solução PAM também pode auxiliar na análise de comportamento realizando:

• Identificação de acessos ou consultas suspeitas.
• Análise de sessão de usuário baseada em histórico de comportamento.
• Identificação de comportamentos diferenciados com alertas de anormalidade.
• Utilização de trilhas de auditoria para detecção de não conformidades.
• Segregação de funções no ambiente.

A decisão de implementar uma análise de comportamento das credenciais, criar black e whitelists, além de entregar o acesso aos usuários que de fato necessitam, em sua organização, é sua. Quem sabe nem todas essas dicas estejam de acordo com a visão e os objetivos que você deseja para o seu sistema.

Porém, se você entende que estes itens vão aumentar o nível de segurança do seu ambiente, mas você precisa de ajuda, então peça uma solução PAM para o Papai Noel este ano, ou melhor, entre em contato e descubra como o senhasegura pode ajudar você.