Cofre de Senhas PAM | Privileged Access Management

Recomendações para uma implementação bem consumada

O cofre de senhas já está no mercado há algum tempo e esse recurso tecnológico vem proporcionando para as organizações um aumento em sua segurança, redução de ataques cibernéticos, otimização dos processos, auditoria, monitoramento da sessão privilegiada e proteção aos seus dados. A solução fornece o gerenciamento de permissões de acessos a níveis hierárquicos, ou seja, só tem acesso às informações os usuários que têm permissão para tal. É uma solução eficaz em documentar e armazenar cada atividade de acesso concedido.

 

É possível afirmar que o cofre de senhas é, sim, um sistema de gestão da segurança da informação (SIG), uma vez que tem compatibilidade com os padrões internacionais da ISO 27000, em requisitos de auditoria, pois: possui confidencialidade – somente usuário com devida permissão acessa a ferramenta; Integridade – é resistente a falhas; possui seu próprio backup integrado; tem disponibilidade: a solução pode ser configurada de forma redundante

 

Durante processos de implementação de cofre de senhas, foi identificado o surgimento de inúmeras particularidades especificas, tanto de aplicabilidade, quanto de métodos. Por meio do exposto, surgiu a decisão de partilhar algumas indagações, orientações e propostas sobre este aprendizado, com o pretexto de que cada organização terá suas especificidades, podendo auxiliar a estruturar pontos significativos na implementação, sem que ocasione eventualidades e ou incidentes.

A seguir estão detalhados alguns pontos que podem ser questionamentos em uma implementação de cofre de senhas. O intuito não é trazer informações das ferramentas disponíveis no mercado, mas sim auxiliar as organizações durante o planejamento e desenvolvimento de um projeto de implementação PAM.

• Entre os modelos de soluções de PAM disponíveis no mercado atualmente (On-premisses, Cloud e SAAS), qual melhor se adequa para a utilização em sua organização?
  Qual modelo de licenciamento está dentro do perfil de negócio da sua organização, o por ativos, por usuários ou por licenciamento perpétuo?
• O cofre de senhas tem um grande dimensionamento e pode gerenciar diversos dispositivos, aplicações e usuários com poder administrativo no domínio. Têm a ciência de que por segurança é fundamental trazer todos esses ativos e usuários para o cofre de senhas?
• Quais os obstáculos que podem comprometer o sucesso do projeto?
• O time de sistemas operacionais Linux possui o inventário de todos os ativos Linux/Unix?
• O time de sistema operacionais Windows possui o inventário de todos os ativos Windows?
• O time de redes possui inventário dos switches, roteadores e demais dispositivos de redes?
• O time de AD possui inventário de todas as contas com poder administrativo?
• O time de segurança possui inventário de todos os analistas que acessam os dispositivos de redes?
• O time de banco de dados possui inventário das instâncias de banco de dados e dos ativos que eles fazem parte?
• O cofre de senhas irá gerenciar todos os bancos de dados e as instâncias deles na solução de PAM?
• Caso a solução de PAM parar de funcionar totalmente, como será efetuada o processo de retomada do ambiente?
• Os usuários que utilizam os sistemas operacionais e as aplicações estão cientes de que a partir da instalação da solução o modus operandi vai ser modificado, de que irá ter um novo método de acesso?

Recomendações

O projeto de um cofre de senhas é cheio de detalhes, portanto deve ser bem planejado e formulado em ondas para o seu sucesso. Ter o total conhecimento do escopo do projeto e iniciar um trabalho de inventario para avaliar o tempo e o esforço que serão necessários serem dedicados para cada atividade a ser entregue. É essencial para a consumação do projeto a adição de uma etapa de pré-requisitos assim que for efetuado o inventário do ambiente, ou seja, de todos os ativos que serão gerenciados pelo cofre de senhas, por exemplo: Windows, Linux, Unix, Hosts ESXI, Switches, Roteadores, contas de serviços, contas domain admins, banco de dados e suas instâncias, entre outros.

 

O cofre de senhas executa o scan na rede e faz o inventario de todos os dispositivos da organização, mas não retorna com sucesso todas as informações necessárias. Deste modo, é importante que haja o alinhamento entre todos os envolvidos, pois são fatores que podem causar atrasos no desenvolver do projeto.

 

Para que o Scan seja executado com sucesso e para que o cofre de senhas consiga gerenciar os dispositivos, é necessário que o cofre de senhas tenha um usuário com privilégio nos ativos, isto é, o cofre de senhas precisa ter um usuário próprio, criado no Active Director, com privilégio para efetuar um scan em todos os servidores vinculados ao domínio e para gerenciar os usuários locais, como ‘Administrator’ ou do domínio ‘contas de serviços’.

 

É fundamental criar um usuário para o cofre de senhas em todos os ativos Linux/Unix, ou que sejam compartilhadas chaves públicas com acesso a todos os dispositivos para efetuar o scan e que esse usuário possa ter o privilégio necessário para gerenciar o usuário root. Por isso, faz-se necessário criar usuários para o cofre em todas as instâncias de banco de dados (Oracle, SQL, MYSQL e entre outras) e nos demais sistemas operacionais.

 

Esses usuários são configurados na solução para que o cofre de senhas efetue o scan com sucesso e para que possa gerenciar da melhor maneira o ambiente da organização. Por segurança, é necessário que, ao efetuar o vínculo desses usuários ao cofre de senhas, seja adicionada uma rotina para que o próprio PAM gerencie esses usuários, alterando suas credenciais.

 

Outro ponto importante a ser definido com antecedência é uma listagem de ativos que serão gerenciados pela solução. O cofre de senhas é configurado por regras e os acessos através das contas ou dispositivos de redes são definidos por níveis hierárquicos, permitindo o acesso somente de usuários autorizados, por esse motivo, faz-se necessário uma listagem de para qual usuário ou grupo deve ser configurado. Pode ser necessária a criação de grupos no domain controller ou local na própria solução, ponto que deve ser discutido antes do início das atividades. Todas as partes envolvidas devem ter total ciência da forma que será executada cada onda e atividade do projeto.

 

Assim que forem definidos os grupos que serão apontados no cofre de senhas, com a listagem de servidores, vão ser definidas as devidas regras de acesso. Se o grupo for do AD, será necessário adicionar somente os usuários que terão acesso a esse grupo de servidores, por exemplo: no caso de um grupo, chamado GRUPO-COFRE-ORACLE, ser criado no AD e com a listagem de 10 servidores ORACLE e 8 instâncias de banco de dados para o cofre gerenciar, será efetuado a regras para o cofre de senhas gerenciar os servidores, as instancias de banco de dados e a forma como vai ser entregue para o grupo acessar os servidores e a instancia. Somente esse grupo, e nenhum além dele, vai ter acesso às informações, a não ser que seja solicitada permissão de acesso.

 

A comunicação é essencial em cada etapa executada, pois todas as ações precisam ser validadas. Considere que a rotina das equipes que irão utilizar o cofre de senhas sofrerá modificação, porque a forma de acesso será alterada, sendo, assim, necessária a realização de reuniões para apresentação aos times envolvidos.
Examine os níveis necessários de privilégio para a performance da solução, não devendo ser utilizados privilégios nem a mais, nem a menos, pois haverá problemas em ambos os casos. Mantenha, portanto, o princípio least privilege vivo.

 

As equipes têm que trabalhar juntas, mantendo a sinergia entre as partes envolvidas, pois a falta dela prejudica a comunicação e o interesse de uma equipe em auxiliar a outra. O gerente de projeto precisa acompanhar e cobrar os resultados de cada atividade, garantindo que todas as etapas estejam dentro do escopo planejado. É imprescindível manter o alinhamento entre as equipes de Segurança, Infra e/ou governança, pois, na maioria dos casos, projetos PAM são estruturantes, ou seja, mudam a cultura e ou modus operandi.

 

Em muitas organizações, enquanto o projeto do cofre de senhas está em processo de implementação, alguns analistas que acessam suas respectivas ferramentas ficam resistentes a levar seus servidores e suas aplicações para que o cofre de senhas os gerencie. Frequentemente, a razão dessa resistência é a falta de comunicação entre as partes para esclarecimento, em outros casos, é a forma de acesso à ferramenta que, segundo alegam os analistas, atrasa suas respectivas atividades. Isso não se configura como atraso, uma vez que um novo processo com mais segurança e transparência. A ferramenta oferece Single Sign On (SSO), visando minimizar a latência e ocultar a senha de acesso ao recurso a ser acessado. O usuário precisará somente buscar e acessar o seu servidor, não sendo mais necessário preocupar-se em pegar a credencial ou digitá-la, pois o acesso é transparente e aditável.

 

Entenda o funcionamento das soluções que terão integração com o cofre. Verifique os horários de trabalho das equipes, porque algumas etapas do projeto podem exigir serem personalizadas para não causar indisponibilidades. No processo de Discovery no ambiente, com tudo configurado na solução, os times devem estar alinhados, criando um processo de automação, para que adicionar um novo ativo à ferramenta seja mais simples. Verifique se a solução é customizável para perfis, pois, em muitos casos, apenas o perfil administrativo tem possibilidades de ações que as equipes de operações precisam ter.

 

Considere criar um Processo de disaster recovery (Breaking Glass), um ponto fundamental a ser pensando na hipótese de a solução sofrer uma parada total do ambiente. As medidas que compõem este plano de recuperação de desastre apontam apenas para um caminho: o da prevenção. Ainda que esse plano só seja executado mediante a um desastre, ele proporciona segurança para a organização, garantindo a existência e continuidade de seus serviços e ações, mesmo diante de um cenário ruim. Por esse motivo, estabelecer um disaster recovery em sua empresa é entender que não é possível contar com a sorte dentro do campo empresarial, muito menos esperar o prejuízo bater à porta para a tomada de ações de segurança!

Conclusão

O conceito desse artigo teve por objetivo demonstrar cenários que podem atrasar ou dificultar um projeto de cofre de senhas. O intuito é esclarecer para o leitor que a implementação do cofre de senhas é de extrema importância para as organizações nos dias de hoje. Gerenciamento de acesso privilegiado (PAM) é uma solução de defesa cibernética de alta prioridade , é fundamental para assegurar a confidencialidade, integridade e disponibilidade dos ativos de informação, porém, o PAM eficaz requer uma estratégia técnica extensiva. Os principais fatores de sucesso incluem visibilidade e controle de contas privilegiadas em todos os ativos.

 

É incontestável que, para garantir o sucesso de um projeto de PAM, não é uma tarefa simples. Espera-se que, após o mapeamento das atividades do inventário e a análise estruturada destes quesitos, o índice de entrega seja elevado, uma vez que os próprios stakeholders terão conhecimento sobre esta análise e poderão utilizá-la como apoio. É fundamental que se tenha uma gestão do escopo, do custo, do tempo, de qualidade e de riscos em sincronia, pois, se todos forem bem definidos e planejados, é provável que se consiga minimizar ao máximo as dificuldades de implementar e concluir um projeto de PAM.

 

Por fim, acredite e vá em frente, sem dúvidas o PAM agregara valor enorme para as organizações e possibilitará impulsionar os negócios. Nem sempre as tecnologias de ponta são de fácil absorção. Neste caso, busque parceiros de competência, não só de confiança, com um portfólio de serviços o qual possibilite que a ferramenta seja explorada ao máximo, na sua melhor versão. Algumas ferramentas oferecem muito, mas os parceiros e clientes não são capazes, por falta de uma estruturação estratégica de projeto, de alcançar uma implementação bem-sucedida através de procedimentos práticos.

Autor: Lucas Silva Oliveira – Analista de Segurança Professional Services Scunna