7 práticas recomendadas de gerenciamento de identidade de máquina

As identidades de máquina são uma parte grande e de rápido crescimento da superfície de ataque corporativa. O número de máquinas – servidores, dispositivos e serviços – está crescendo rapidamente e os esforços para protegê-los geralmente ficam aquém.

Os cibercriminosos e outros agentes de ameaças foram rápidos em tirar vantagem. Os ataques cibernéticos que envolveram o uso indevido de identidades de máquinas aumentaram 1.600% nos últimos cinco anos, de acordo com um relatório divulgado na primavera passada pelo fornecedor de segurança cibernética Venafi.

A empresa de pesquisa Gartner nomeou a identidade da máquina como uma das principais tendências de segurança cibernética do ano, em um relatório divulgado no outono passado. Em 2020, 50% das falhas de segurança na nuvem resultaram do gerenciamento inadequado de identidades, acesso e privilégios, de acordo com outro relatório do Gartner. Em 2023, esse percentual subirá para 75%.

“Gastamos bilhões de dólares todos os anos em gerenciamento de identidade e acesso para humanos – da biometria ao gerenciamento de acesso privilegiado – mas muito pouco tempo de investimento é destinado à defesa de nossas identidades de máquina”, disse Kevin Bocek, Vice-Presidente de Estratégia de Segurança e Inteligência de Ameaças da Venafi. “No entanto, assim como com identidades humanas, nas mãos da pessoa errada, uma identidade de máquina pode ser mal utilizada”.

As empresas geralmente confiam demais nas máquinas em suas redes, diz Chris Owen, Diretor de Gerenciamento de Produtos da Saviynt. “Isso significa que eles podem se conectar a outros recursos em rede sem intervenção humana ou formas tradicionais de autenticação”, diz ele. “Então, se uma máquina for comprometida, os invasores poderão se mover pela rede usando esses caminhos máquina a máquina”.

Felizmente, as empresas estão começando a acordar para o problema. De acordo com um relatório divulgado pelo Ponemon Institute e Keyfactor em março, 61% dos profissionais de TI dizem que o roubo ou uso indevido de identidades de máquinas é uma preocupação séria – acima dos 34% no ano passado.

A conscientização é o primeiro passo para lidar com o problema, mas as empresas podem tomar outras medidas mais específicas para começar a controlar o problema da identidade da máquina. Aqui estão sete deles.

1. Conheça seus certificados, chaves e ativos digitais

De acordo com o Ponemon, a organização média de TI tem mais de 267.000 certificados internos, um aumento de 16% em relação ao ano passado. Os certificados e as chaves estão associados à infraestrutura operacional, à IoT, à infraestrutura de TI local, à infraestrutura em nuvem e à infraestrutura em contêiner. Alguns desses certificados e chaves são antigos. Alguns são codificados. Alguns estão entrelaçados com outras identidades.

De acordo com uma pesquisa da Vanson Bourne de tomadores de decisão de segurança de TI em nome do AppViewX, divulgada no outono passado, 61% das organizações não têm total conhecimento de certificados e chaves para seus ativos digitais. Daqueles que não têm visibilidade, 96% disseram ter sofrido consequências. O problema mais comum? Violações de segurança cibernética, relatadas por 55% dos entrevistados. As interrupções do sistema foram relatadas por 35% dos entrevistados e 33% relataram perdas financeiras.

Ian Reay, Vice-Presidente de Engenharia da Hitachi ID Systems, diz ter visto casos em que as empresas tiveram sérios problemas por não saberem o que estava acontecendo com as identidades das máquinas. Por exemplo, uma grande organização dos EUA estava fazendo manutenção em suas impressoras de marketing e precisava alterar as senhas.

“Só as impressoras. O que pode dar errado?”, perguntou Reay. “Eles seguiram todos os controles de mudança e mudaram suas senhas. Então perceberam que seus sistemas de produção estavam ficando off-line e não sabiam por quê”.

Algumas horas muito estressantes de interrupções globais depois, eles perceberam o que havia acontecido. “Há cerca de 20 anos, um dos administradores usava a conta da impressora para outros fins”, diz Reay. “Tornou-se enredado. Foi usado para impressoras e para o ambiente de produção. Isso é incrivelmente difícil de ver e prever com antecedência”.

Quando tentaram alterar a senha de volta para a antiga, não conseguiram. A senha antiga não atendia mais às políticas de senha do Active Directory. Executivos seniores tiveram que se envolver para permitir uma exceção à política de senha.

As empresas tendem a ter várias listas, listas fragmentadas, mal mantidas e cheias de erros, diz Reay. “O que descobrimos com nossos clientes, mesmo os que lideram, a maioria não está em condições de enfrentar esse problema. É muito assustador”.

2. Altere chaves e certificados com frequência

Quando chaves e certificados são estáticos, tornam-se alvos de roubo e reutilização, diz Anusha Iyer, Cofundadora e CTO da Corsha, uma fornecedora de segurança cibernética. “Na verdade, os ataques de preenchimento de credenciais mudaram amplamente de nomes de usuário e senhas humanas para credenciais de API, que são essencialmente proxies para identidade de máquina hoje”, diz ela.

Como os ecossistemas de API estão crescendo imensamente, esse problema está se tornando cada vez mais desafiador. O gerenciamento inadequado de identidades de máquinas pode levar a vulnerabilidades de segurança, concorda Prasanna Parthasarathy, Gerente Sênior de Soluções do Centro de Excelência em Segurança Cibernética da Capgemini Americas. Na pior das hipóteses, os invasores podem eliminar áreas inteiras do ambiente de TI de uma só vez, diz ele.

“Os invasores podem usar chamadas de API conhecidas com um certificado real para obter acesso a controles de processo, transações ou infraestrutura crítica – com resultados devastadores”.

Para se proteger contra isso, as empresas devem ter autorização estrita das máquinas de origem, conexões de nuvem, servidores de aplicativos, dispositivos portáteis e interações de API, diz Parthasarathy. Mais importante ainda, certificados confiáveis não devem ser estáticos, diz ele. “Eles devem ser alterados ou atualizados com frequência. Eles nunca devem ser codificados em uma chamada de API”.

Parthasarathy admite que pode ser difícil alterar certificados para cada transação, mas com atualizações mais frequentes, as empresas terão um ambiente mais seguro. Além disso, as empresas devem ter processos para revogar certificados e chaves imediatamente quando dispositivos ou processos são desativados. O Gartner recomenda que as empresas removam a confiança implícita de toda a infraestrutura de computação e a substituam por confiança adaptável em tempo real.

3. Adote soluções de gerenciamento de identidade de máquina

O Gartner coloca o gerenciamento de identidade de máquina na categoria de tecnologias de gerenciamento de identidade e acesso (IAM). De acordo com o último ciclo de hype da empresa, o gerenciamento de identidade de máquina está chegando ao pico das expectativas infladas e ainda está de dois a cinco anos do “platô da produtividade”.

De acordo com a pesquisa da Vanson Bourne, 95% das organizações estão implementando ou planejam implementar fluxos de trabalho automatizados de gerenciamento de identidade de máquina, gerenciamento de identidade de máquina como serviço ou a capacidade de gerenciar ciclos de vida de certificados em modelos de implantação híbridos. No entanto, apenas 32% implementaram totalmente o gerenciamento moderno de identidade de máquina. De acordo com a pesquisa, 53% das organizações ainda usam planilhas como o núcleo de seu gerenciamento de identidade de máquina e 93% têm planilhas em algum momento do processo.

Um problema, diz Chris Hickman, CSO da Keyfactor, é que na maioria das organizações, a propriedade da identidade da máquina está implícita em vez de ser expressamente atribuída. “Portanto, muitas organizações acabam com uma abordagem em silos para o gerenciamento de identidade de máquina e, pior ainda, muitas dessas identidades não são gerenciadas por ninguém”, diz. Ele recomenda que as empresas estabeleçam grupos centrais e multifuncionais com responsabilidade específica pelo gerenciamento de todas as identidades de máquinas.

4. Abrace a automação

De acordo com a pesquisa da Vanson Bourne, as empresas que têm fluxos de trabalho automatizados como parte de seu gerenciamento de identidade de máquina obtêm benefícios significativos. Daqueles que têm automação, 50% são capazes de rastrear todos os certificados e chaves, em comparação com apenas 28% daqueles que não têm automação. Apenas 33% das organizações implementaram totalmente fluxos de trabalho automatizados, com 48% ainda em processo de fazê-lo. Outros 15% têm planos de implementar automação e apenas 4% não têm planos de automação nessa área.

Os tomadores de decisão de segurança de TI disseram que esperam que a automação reduza custos, reduza o tempo gasto no gerenciamento de chaves e certificados e simplifique e agilize os fluxos de trabalho. “A automação é essencial”, diz Bocek, da Venafi. “As iniciativas de transformação digital param sem gerenciamento automatizado”. A automação também reduzirá a possibilidade de erro humano, acrescenta ele, o que pode abrir caminho para brechas de segurança.

5. Incluir a nuvem nos planos de gerenciamento de identidade da máquina

À medida que as empresas transferem a infraestrutura do local para a nuvem, 92% tiveram que repensar e alterar as soluções de gerenciamento de identidade de máquina, de acordo com a pesquisa da Vanson Bourne. E 76% dizem que a solução que possuem não é totalmente capaz de oferecer suporte a implantações de nuvem ou híbridas.

Uma abordagem de “painel de vidro único” para o gerenciamento de identidade de máquina ainda não é prática em ambientes de várias nuvens, disse Laurence Goasduff, Analista do Gartner, em um relatório recente. As empresas podem implementar uma única estrutura abrangente que centraliza algumas funções, mas deixa espaço para ferramentas nativas, diz ele.

De acordo com a pesquisa da Vanson Bourne, menos da metade das empresas planeja ter uma única solução de gerenciamento de identidade de máquina que cubra todas as implantações de nuvem. Em vez disso, 37% planejam ter um sistema de gerenciamento de identidade de máquina separado para cada nuvem, com uma política central para cobrir todos eles, e 22% planejam ter sistemas separados sem uma política central.

6. Incluir robôs nos planos de gerenciamento de identidade de máquina

Ao longo da pandemia global, as empresas aceleraram suas estratégias de automação. De acordo com a Forrester, o mercado global de software de automação de processos robóticos atingirá US$ 6,5 bilhões em 2025, acima dos US$ 2,4 bilhões de 2021. Essas identidades de robôs de software também precisam ser gerenciadas, disse Goasduff no relatório do Gartner. “Comece definindo as melhores práticas e princípios orientadores sobre como integrar ferramentas de RPA na malha de identidade”, disse ele, “e trate os robôs de software da RPA como outra carga de trabalho que precisa de uma identidade de máquina”.

7. Inclua máquinas em planos de confiança zero

Confiança zero é uma das principais, se não a principal prioridade de segurança para as empresas hoje. De acordo com uma pesquisa divulgada em fevereiro deste ano pelo Information Security Media Group, 100% dizem que a confiança zero é importante para reduzir o risco de segurança. Isso estava no centro do memorando de segurança cibernética do presidente dos EUA, Biden, no início deste ano.

Confiança zero não é apenas exigir que os usuários sejam totalmente autenticados o tempo todo. Também se aplica a processos e dispositivos. “Gerenciar identidades de dispositivos é especialmente importante no modelo de segurança zero-trust mais recente”, diz Bo Lane, Chefe de Arquitetura de Soluções da Kudelski Security. “Quando um dispositivo corporativo não recebe nenhum status de confiança especial na rede, ele deve ter uma maneira de identificar e autorizar interações com outros dispositivos, serviços ou dados”.

De acordo com uma pesquisa da Fortinet divulgada no início deste ano, 84% das organizações têm uma estratégia de confiança zero em vigor ou em desenvolvimento. No entanto, a capacidade de autenticar dispositivos continuamente é uma luta para 59% das empresas, mostrou a pesquisa.