O que é o Adaptive Access Management?

O gerenciamento de acesso adaptável ajusta o nível de segurança do acesso com base no risco avaliado no momento do acesso. Embora uma infraestrutura de gerenciamento de acesso madura ofereça prestação de serviços com segurança de autenticação e autorização, o gerenciamento de acesso adaptável ajusta essas proteções para corresponder ao risco em questão. Os critérios de decisão para esses ajustes incluem informações contextuais, como, por exemplo, se os usuários estão acessando informações altamente confidenciais:

• Usar um dispositivo conhecido ou mesmo gerenciado
• Usando um dispositivo nunca antes visto
• Enquanto estiver dentro de uma instalação segura
• De um local remoto dentro de um intervalo ou área especificada
• De um local remoto distante ou inesperado (intervalo de IP, geolocalização, delimitação geográfica)

Diferentes níveis de risco podem ser deduzidos de cada uma das situações listadas acima. Alguém que acessa informações confidenciais de um dispositivo desconhecido, nunca visto antes, de um local distante e inesperado é bem diferente de acessar essas mesmas informações de dentro de uma instalação segura. Mesmo o acesso a partir de um local remoto, mas familiar ou esperado, incorre em um risco muito menor, especialmente a partir de um dispositivo gerenciado.

A familiaridade pode ser estendida para além do contexto. O acesso incomum às informações pode indicar que o solicitante real não é aquele que foi reivindicado no ponto de autenticação. O aprendizado de máquina da análise comportamental pode ser usado para identificar quando um solicitante (pessoa ou processo) está interagindo conforme o esperado ou está divergindo. Dependendo do risco calculado, o solicitante pode ser interrompido para responder a outro tipo de autenticação para fortalecer sua identidade reivindicada.

A deferência que define a infraestrutura atual de gerenciamento de acesso adaptativo em comparação com os controles tradicionais de autenticação baseados em risco que ganharam popularidade há vários anos é que as informações contextuais e comportamentais do solicitante são coletadas durante toda a sessão, e não apenas quando a solicitação inicial é feita. Historicamente, o acesso baseado em risco define os requisitos de autenticação e autorização com base no contexto medido no momento da solicitação. A autenticação e a autorização contínuas são a capacidade de medir o risco durante toda a sessão e invocar uma ação ao longo dela. Por exemplo, o solicitante pode acessar informações mais confidenciais mais tarde na sessão do que no início. Ou um mecanismo de análise comportamental pode calcular uma classificação de baixa confiança da identidade do solicitante com base em interações e solicitações. Qualquer um desses fatores poderia invocar a infraestrutura de gerenciamento de acesso para se adaptar ao risco calculado.

Por que as organizações estão migrando para uma infraestrutura de gerenciamento de acesso adaptável?

Cada vez mais as equipes de segurança de TI percebem que suas defesas tradicionais, como firewalls e políticas de acesso estático, não são muito eficazes contra as ameaças avançadas de hoje. Apesar das dezenas de bilhões de dólares investidos em soluções de segurança, as taxas de violação hoje são as mesmas de uma década atrás. E como essas taxas de violação permanecem teimosamente altas, o custo de cada uma delas continua a aumentar. Além dos custos crescentes das violações, separadamente, as organizações continuam a consumir mais serviços baseados em nuvem, relegando a função de seus firewalls à insignificância. Nos primeiros anos da nuvem, quando as organizações estavam adquirindo soluções de serviços de infraestrutura (IaaS) para aliviar o gerenciamento de sistemas, era comum que canalizassem as comunicações para elas por meio de seus firewalls. Em outras palavras, a IaaS era uma extensão da intranet. Hoje, à medida que as organizações continuam a fazer a transição de seus serviços internos para os de SaaS, essa abordagem é muito menos comum. Em vez disso, os administradores usam tecnologias de federação para estender seus repositórios de identidade e direitos para os serviços em nuvem que os suportam. Essencialmente, isso significa que a identidade é de fato o novo perímetro.

Embora algumas organizações mantenham suas informações mais confidenciais internamente, hoje é mais comum que elas sejam consumidas por um serviço baseado em SaaS. O desafio é que, sem a proteção adicional dos firewalls, as políticas de gerenciamento de acesso estático são insuficientes. Embora seja possível, com as políticas de acesso, bloquear um ambiente digital em um estado de alta segurança, isso impõe compromissos prejudiciais. Políticas restritivas frustram os usuários e reduzem sua produtividade. Para os serviços B2C/B2B/G2C, as políticas restritivas rapidamente se tornam um inibidor do consumidor, empurrando-o para ofertas concorrentes. Por outro lado, os ambientes que são muito fáceis de movimentar e consumir normalmente oferecem oportunidades de exploração para os malfeitores. A melhor abordagem é o controle de acesso dinâmico, que permite que as organizações reduzam o atrito quando o risco é baixo e, ao mesmo tempo, respondam às ameaças do momento com maior segurança. Além da mudança drástica na forma como as informações são criadas e consumidas, o volume de informações confidenciais que precisam ser protegidas tornou-se enorme. A transformação digital da última década expandiu os tipos de informações, inclusive as regulamentadas, que são digitais e conectadas. O gerenciamento de acesso adaptável permite que essas informações permaneçam conectadas e seguras.