É uma estrutura de segurança da informação que visa fornecer o nível mínimo de acesso ou permissões necessárias aos usuários para executar suas tarefas.
A segurança de TI como um todo é uma disciplina complexa e multifacetada, e o privilégio mínimo surgiu como uma das melhores práticas de segurança cibernética, sendo fundamental para proteger o acesso a ativos empresariais de missão crítica. Ele não se limita apenas ao acesso humano, mas também se estende a aplicações, ferramentas de automação e dispositivos conectados (como endpoints de IoT) que exigem acesso a sistemas privilegiados na rede corporativa.
Privilégio mínimo é o processo de atribuir a quantidade mínima de privilégios a um usuário, necessária para que ele execute sua tarefa com eficiência. O acesso de privilégio mínimo garante que privilégios permanentes não sejam concedidos aos usuários e seus níveis de acesso dependam da função e tarefa em questão. Isso garante que as organizações possam reduzir significativamente sua superfície de ataque, mitigar riscos e garantir a conformidade com os padrões de proteção de dados.
Vejamos isso em termos simples: suponha que um gerente de banco tenha três funcionários subordinados a ele; um redator, um assistente e um assessor jurídico. O redator tem acesso à sala de impressão para que possa imprimir contratos, documentos de políticas e outros materiais importantes. O assistente tem acesso ao arquivo físico e à sala de impressão. O assessor jurídico provavelmente teria acesso à sala de impressão e ao arquivo físico, mas também teria permissão para entrar no escritório do gerente do banco mediante solicitação.
Essencialmente, o gerente atribuiu a menor quantidade de privilégios exigidos pelo funcionário que desempenha essa função específica, e apenas o gerente tem acesso ao cofre do banco. Essa filosofia de atribuir o mínimo de privilégios aos usuários com base no que sua função exige é o princípio do privilégio mínimo.
Aplicar o privilégio mínimo significa simplesmente atribuir os privilégios mínimos necessários para realizar um trabalho. A aplicação eficaz do privilégio mínimo inclui a implementação de um mecanismo de controle de acesso centralizado e refinado em toda a rede corporativa — um mecanismo que equilibre os requisitos de segurança cibernética e de conformidade e, ao mesmo tempo, garanta que não haja barreiras aos requisitos operacionais diários dos usuários finais.
O princípio de privilégio mínimo visa condensar a superfície de ataque de uma organização, reduzindo o número de caminhos de acesso que levam a sistemas privilegiados. Isso é especialmente importante no cenário digital atual, em que violações de dados e ataques cibernéticos aumentam a cada dia. Os invasores geralmente exploram privilégios excessivos para se mover lateralmente dentro de uma rede, sujeitando a organização a um ataque de escalação de privilégios que resulta em tempo de inatividade ou roubo de dados.
Uma abordagem comum adotada pelas organizações para reduzir privilégios excessivos e implementar o acesso de privilégio mínimo é a revogação do acesso administrativo dos usuários de negócios. No entanto, as equipes de TI muitas vezes precisam conceder privilégios novamente aos usuários finais cujas operações diárias envolvem o acesso a sistemas privilegiados. Nesses casos, os privilégios são concedidos de novo e raramente revogados, resultando em um acúmulo gradual de direitos de acesso — além do necessário. Isso afasta a organização do princípio do privilégio mínimo e se espalha pela organização em vários níveis de usuários, resultando em abuso de privilégios, cenários de aumento de privilégios e exposição de senhas. Portanto, implementar e manter o acesso com privilégio mínimo torna-se uma necessidade de segurança para uma organização.
A implementação do acesso com privilégio mínimo reduz esse risco ao ajudar a:
O aumento de privilégios é a proliferação de privilégios além do nível de acesso de um usuário. Ele geralmente ocorre quando os administradores de TI são generosos ao atribuir privilégios aos usuários para escapar da burocracia do suporte de TI. Outro motivo plausível e comum para o aumento de privilégios é se uma equipe se esquecer de remover os privilégios de usuários antigos ou temporários.
Exemplos comuns de aumento de privilégios incluem se a descrição do cargo de um indivíduo for atualizada e os privilégios antigos dessa pessoa não forem revogados mesmo após o período de transição, ou se um indivíduo precisar de privilégios adicionais temporariamente para executar uma tarefa fora da sua função habitual e a organização não revogar esses privilégios adicionais após a conclusão do trabalho.
Os perigos do aumento de privilégios podem ser mitigados aplicando-se o privilégio mínimo a todos os funcionários da empresa. Uma vez concluído o trabalho, o acesso é revogado imediatamente, fechando a porta para possíveis vulnerabilidades e privilégios permanentes. Em resumo, a aplicação do princípio do privilégio mínimo gira em torno do modelo de segurança de confiança zero, ou seja, a ideia de que cada funcionário, independentemente da sua localização geográfica, tem o potencial de ser vítima de agentes de ameaças ou mesmo de se tornar um deles.
Vamos considerar o exemplo do banco que vimos anteriormente. Primeiramente, por que o gerente teve que implementar o privilégio mínimo? Em primeiro lugar, nem todos os funcionários precisam de acesso a todas as salas, especialmente a locais importantes como o cofre, que contém as informações e ativos dos clientes. Em segundo lugar, o gerente confia nos funcionários para executarem tarefas que se enquadram na sua função, mas também precisa de uma verificação oportuna se essas pessoas precisam executar tarefas que exijam a entrada em salas que estão fora do seu acesso padrão.
Agora, da mesma forma, utilizando uma solução de PAM que incorpora zero trust e o princípio do privilégio mínimo, os administradores de TI podem impor restrições de acesso aos usuários para limitar seus privilégios aos requisitos da sua função. O modus operandi de qualquer solução de PAM baseia-se no princípio de segurança cibernética do privilégio mínimo. Uma solução de PAM oferece opções para os administradores de TI configurarem suas próprias restrições e mapearem o privilégio mínimo para usuários com base nas suas funções.
É essencialmente dessa maneira que a confiança zero alimenta a implementação do princípio do privilégio mínimo — utilizando o controle de acesso baseado na função.
Casos de controle de acesso baseado na função inspirados em Zero Trust:
Suponha que haja um funcionário que trabalhe com recursos críticos em uma equipe de TI. Espera-se que a área de TI envie solicitações de acesso sempre que esse funcionário efetuar o login no sistema. Essa solicitação é posteriormente aprovada pelo administrador de TI. Após sua tarefa do dia ser concluída, o usuário será desconectado do recurso e deverá fazer outra solicitação caso precisar de acesso ao sistema.
Outro exemplo plausível poderia incluir equipes de funcionários distintas que deverão acessar um recurso crítico. No entanto, apenas uma pessoa de cada equipe tem acesso a este recurso, reduzindo a exposição a múltiplas identidades e mitigando assim a ameaça de acesso não autorizado.
O modelo do privilégio mínimo elimina o acesso administrativo e os privilégios permanentes, o que significa que o número de caminhos de acesso a recursos empresariais críticos também é consideravelmente reduzido, diminuindo a superfície geral de ataque.
Como o malware requer privilégios elevados para execução, impor o privilégio mínimo nos endpoints ajuda a conter a propagação de softwares maliciosos. Mesmo que um ataque ocorra, o malware não poderá ser executado sem privilégios de administrador, reduzindo substancialmente os danos potenciais.
Ao remover o acesso administrativo para usuários finais e permitir o acesso privilegiado just-in-time (JIT) orientado por políticas, as organizações podem facilitar fluxos de trabalho de acesso mais otimizados, aumentar a produtividade dos funcionários e manter as chamadas de help desk de TI sob controle, enquanto reduzem as ameaças resultantes de privilégios excessivos.
A aplicação do privilégio mínimo ajuda as organizações a estabelecerem transparência sobre quem acessou o quê e quando, criando um ambiente favorável para a auditoria. Isso também é útil para atender a vários requisitos regulatórios setoriais e federais que exigem que as empresas implementem políticas rigorosas de controle de acesso para reforçar a administração de dados e a segurança dos sistemas, como HIPAA, PCI DSS, SOX, GDPR e CCPA.
As melhores práticas a serem seguidas podem ser introduzidas em qualquer modelo de segurança em operação existente usando uma solução de PAM.
Comece realizando uma auditoria completa de privilégios para verificar todas as contas privilegiadas atualmente em uso e o tipo de acesso que elas oferecem. Isso inclui todas as contas de administrador local e de domínio, senhas privilegiadas, chaves SSH, contas de serviço e credenciais codificadas em fluxos de DevOps para entidades humanas e não humanas.
Remova os privilégios de administrador local em endpoints e os privilégios padrão para todos os usuários, mas inclua disposições para estender o acesso elevado para aplicações específicas, dependendo das funções do usuário. Remova os direitos de acesso administrativo a todos os servidores da rede e torne cada usuário um “usuário padrão” por default.
Compartimente os privilégios dos usuários e os privilégios em várias aplicações, sistemas e processos e conceda apenas os privilégios mínimos necessários para todos os tipos de usuários. Isso ajuda a restringir o acesso não autorizado e evita movimentos laterais.
Atribua controles JIT para contas locais e de domínio e estenda privilégios elevados temporários quando solicitados pelos usuários. Revogue as permissões automaticamente após um período definido. Aqui, as credenciais reais não são expostas ao usuário, enquanto acesso suficiente é fornecido durante o tempo necessário para concluir a tarefa em questão.
Mitigue as possibilidades de abuso de privilégios pegando as credenciais incorporadas nos fluxos de DevOps, sistemas de RPA e outros dispositivos conectados e as substituindo por APIs que possibilitam a recuperação de credenciais de cofres de senha equipados com fluxos de trabalho de liberação de solicitações. Troque senhas e chaves privilegiadas imediatamente após cada acesso para invalidar credenciais que possam ter sido registradas por ferramentas de registro de chaves.
Certifique-se de que suas políticas de privilégio mínimo estendam-se além dos limites físicos, até seus direitos de nuvem, o conjunto de funcionários remotos, prestadores de serviços, fornecedores e todas as sessões de acesso remoto lançadas.
Revise todas as atividades de usuários consistentemente e grave um vídeo das sessões privilegiadas para definir uma responsabilidade clara. Incorpore pontuação de confiança do usuário para detectar anomalias em tempo real e encerrar qualquer atividade suspeita dessa pessoa.
Comece auditando os direitos de acesso atuais para entender quem tem acesso ao quê. Identifique permissões excessivas desnecessárias para funções específicas.
Implemente o RBAC para atribuir permissões com base nas funções do cargo. Isso garante que os usuários recebam apenas o acesso necessário com base em sua função.
Realize revisões rotineiras de acesso para garantir que as permissões estejam atualizadas. Conforme as funções evoluem, os requisitos de acesso podem mudar — garantir revisões periódicas pode evitar ataques de aumento de privilégios e abuso de privilégios.
O acesso JIT concede permissões temporárias aos usuários para uma tarefa ou período específico. Isso garante que privilégios de nível superior sejam ativos somente quando necessário, reduzindo a exposição a riscos.
As ferramentas de PAM fornecem controle centralizado sobre quem tem acesso a sistemas críticos e quando. Elas podem aplicar políticas de privilégio mínimo e monitorar atividades privilegiadas em tempo real.
Seguem alguns exemplos práticos de como o acesso de privilégio mínimo pode ser aplicado em diferentes cenários:
Um administrador de sistemas precisa instalar atualizações em um servidor. Em vez de ter direitos administrativos totais o tempo todo, a organização emprega um modelo de acesso JIT. O administrador recebe privilégios elevados somente durante a execução da tarefa. Após a conclusão da atualização, o acesso é revertido para um nível inferior. Essa abordagem minimiza o potencial de abuso de privilégios ou danos acidentais quando os direitos de administrador em tempo integral não são necessários.
Um prestador de serviços de TI terceirizado precisa acessar a rede da empresa para solucionar problemas de uma aplicação específica. Em vez de conceder a ele acesso irrestrito, a empresa implementa o privilégio mínimo, concedendo acesso apenas aos servidores e aplicações relevantes para a tarefa de solução de problemas. Assim que o trabalho for concluído, o acesso será revogado automaticamente. Isso reduz o risco de o prestador de serviços acessar dados confidenciais não relacionados ao seu trabalho.
Um desenvolvedor de software que trabalha em uma aplicação web só precisa de acesso ao ambiente de desenvolvimento e não aos servidores de produção. Ao limitar o acesso, a empresa reduz a chance de alterações acidentais no ambiente online, garantindo maior postura de segurança. O acesso com privilégio mínimo também ajuda a evitar a implantação não autorizada de códigos não testados, protegendo a integridade dos sistemas de produção.
A equipe de help desk geralmente requer acesso às contas de usuário para fins de solução de problemas. Usando o acesso de privilégio mínimo, eles só têm permissão para redefinir senhas ou visualizar informações básicas da conta, sem a capacidade de fazer alterações de nível superior, como alterar permissões ou acessar dados confidenciais. Isso garante que o help desk possa cumprir sua função de suporte sem comprometer a segurança do sistema.
Muitos funcionários têm direitos de administrador local em suas estações de trabalho para maior flexibilidade. No entanto, isso pode ser um risco à segurança se malware ou outros programas não autorizados forem instalados. Implementar acesso com privilégio mínimo por meio de uma solução de PAM pode limitar os direitos de administrador a tarefas específicas e necessárias, como a instalação de software pré-aprovado, sem dar controle total sobre todo o sistema. Dessa forma, o risco de propagação de malware ou de configuração incorreta acidental do sistema é minimizado.
O PAM360 é a combinação definitiva do pacote de soluções de PAM da ManageEngine. O PAM360 oferece vários serviços, incluindo fluxos de trabalho de liberação de solicitações de senha, JIT e controle de acesso baseado na função.
De maneira similar ao exemplo que vimos acima, o PAM360 permite que administradores de TI configurem fluxos de trabalho de liberação de solicitações com configurações personalizáveis que ditarão como um usuário privilegiado pode acessar um recurso crítico. Por meio desses fluxos de trabalho, o PAM360 força uma verificação com base no princípio dos quatro olhos em qualquer processo de aprovação de solicitação de senha.
O recurso de alocação de privilégios JIT do PAM360 permite que os administradores de TI concedam acesso aos usuários temporariamente, habilitando controles de acesso. Esta elevação temporária de privilégios é denominada como elevação de privilégios e gerenciamento de delegação.
O controle de acesso baseado na função é a limitação de privilégios aos usuários com base na função que eles desempenham na organização. Por meio de várias funções personalizáveis disponíveis no PAM360, os administradores de TI podem separar os usuários em funções baseadas em administrador e usuário. Eles podem limitar ainda mais a extensão dos seus privilégios e selecionar que usuário receberá qual privilégio.
Fale com os nossos especialistas para entender como você pode implementar o princípio de segurança cibernética do privilégio mínimo no fluxo de trabalho de TI e nas práticas de segurança da sua organização com o PAM360.