Tópicos técnicos

O que é o Princípio do Menor Privilégio?

Ilustração de itens de TI com foco em uma lâmpada

Visão geral

O privilégio mínimo é um princípio fundamental da segurança zero trust, com a filosofia central de conceder apenas o acesso necessário. Embora inicialmente discutida como parte de uma estratégia de segurança de rede, a aplicação da segurança zero trust à camada de aplicativos para recursos consumíveis (aplicativos, serviços, dados etc.) é muito mais eficaz. Essa abordagem permite vincular políticas específicas de acesso a recursos às pessoas e aos programas que os acessam.

Princípio do menor privilégio

Que tipos de ameaças são mais bem tratados por meio da segurança com privilégios mínimos?

O acesso com privilégios mínimos é uma estratégia de segurança focada em garantir que identidades, pessoas e processos recebam o nível mínimo de permissões necessárias para serem produtivos - ou, no caso de acesso programático, funcionais. Em sua introdução à segurança da informação 800-12R1, o NIST (National Institute of Standards and Technology) aponta as preocupações comuns abordadas pelo privilégio mínimo:

Informante malévolo: Esse tipo de ameaça geralmente é difícil de ser detectado, e as atividades prejudiciais podem passar despercebidas por meses ou anos. Os malfeitores internos podem ser prestadores de serviços, funcionários e até mesmo administradores e todos os níveis de gerenciamento. O privilégio mínimo é a principal abordagem de segurança para limitar a gama de danos ou abusos que podem ser infligidos a uma organização.
Conluio malévolo: Isso pode ocorrer quando dois ou mais agentes mal-intencionados coordenam atividades malévolas. Esse tipo de exploração geralmente resulta em danos muito maiores do que os normalmente possíveis em um único indivíduo. É por isso que os órgãos reguladores e as organizações usam a separação de tarefas (SoD) para se proteger contra esse tipo de abuso. A SoD requer mais de uma pessoa para concluir uma tarefa. Embora muitas vezes seja pensada no contexto de serviços financeiros, esses mesmos princípios protegem contra diferentes formas de fraude, sabotagem, roubo ou uso indevido de informações confidenciais.
Usuário interno negligente: Esses são atores que, embora não tenham más intenções, cometem erros que expõem suas organizações a riscos. Os comportamentos negligentes incluem erros de configuração que, inadvertidamente, desligam serviços digitais importantes ou expõem informações confidenciais à Web. Esses tipos de incidentes são publicados rotineiramente na mídia.
Usuário interno comprometido: Isso ocorre quando as credenciais de um funcionário interno foram comprometidas de alguma forma, geralmente por meio de phishing. Quanto mais amplo e abrangente for o acesso a uma conta, maiores serão os possíveis danos à organização. É por isso que os executivos estão sendo cada vez mais visados (whaling).

Quais são as principais causas do aumento de privilégios?

O aumento de privilégios ocorre quando um usuário acumula direitos além da justificativa de sua função na organização. Isso geralmente acontece gradualmente ao longo do tempo e afeta as organizações que precisam proteger suas informações confidenciais ou regulamentadas. Quando os indivíduos mudam de função, as permissões geralmente são concedidas rapidamente para que as pessoas se tornem produtivas, mas como as responsabilidades podem se prolongar, os direitos anteriores geralmente são mantidos. Os tipos de recursos em que o privilégio mínimo precisa ser avaliado incluem:

Core aplicativos e serviços
Dados não estruturados
Sistemas e plataformas

Em algum momento, a equipe de liderança percebe que precisa controlar o acesso privilegiado aos seus principais serviços e às informações confidenciais. Eles priorizam e patrocinam equipes de segurança para unir forças com os proprietários de informações e formar equipes de tigres de acesso privilegiado. Os projetos são iniciados e os objetivos são definidos. Com o ambiente de governança de identidade recém-projetado, que automatiza as solicitações e aprovações de acesso, a manutenção é entregue às operações. Com muita frequência, esse tipo de foco não é contínuo - mas mesmo com solicitações e aprovações automatizadas, o aumento de privilégios ainda é um risco em potencial.

Muitas vezes, o aumento de privilégios se dá à medida que a dinâmica dos negócios diverge das políticas de governança definidas. Os fluxos de trabalho de permissão têm a tendência de se expandir à medida que as organizações se transformam e as responsabilidades se deslocam. Algumas das fontes mais comuns de aumento de privilégios incluem:

Aprovações: Os aprovadores, que preferencialmente são os proprietários das informações, não estão avaliando com precisão as solicitações de permissões. Aprovadores ocupados podem não dedicar o tempo necessário para entender com precisão quem é o usuário solicitante e quais são suas necessidades.
Processo de revisão inadequado: Isso inclui a falta de revisões regulares ou revisões conduzidas por pessoas que não estão preparadas para examinar ou avaliar adequadamente a pertinência das solicitações de acesso.
Usuários de alto risco: Há alguns usuários que podem acumular um nível de direitos ao longo do tempo que representa um risco inaceitável para a organização. Isso acontece quando o usuário assume temporariamente vários projetos e funções que exigem direitos para serem executados e esses direitos são mantidos posteriormente.

O aumento de privilégios é quase inevitável à medida que as organizações se adaptam ou respondem a várias dinâmicas impostas a elas. No entanto, ela viola um princípio fundamental de confiança zero, criado para proteger as organizações contra pessoas de fora, e é um fator que contribui para os grandes custos de violação que continuam a crescer em praticamente todos os setores.

Como controlar o aumento de privilégios

Um dos aspectos mais difíceis da proteção contra o aumento de privilégios é que ele geralmente ocorre ao longo do tempo, enquanto os revisores, que são responsáveis por muitas coisas, estão concentrados em outras. Não é observável em um único momento, mas deve ser visto em um período de tempo relativamente longo. Reconhecendo a maneira sutil com que uma conta pode se transformar em um nível de risco inaceitável sem ser detectada, o grau de preocupação com a segurança depende do volume de usuários, do número de alterações pelas quais os usuários passam e da sensibilidade das informações que estão sendo protegidas. Esse é um desafio de segurança que não pode ser resolvido com uma planilha.

Preservação da separação de tarefas

A separação de funções e outras políticas corporativas criadas para cumprir as regulamentações se traduzem bem em regras de governança, mas os critérios de risco são mais subjetivos. Aqui estão os mais comuns:

Muitas organizações não têm um processo de remoção de permissões em vigor. Em vez disso, essas organizações dependem de ferramentas básicas de gerenciamento de contas de plataforma. Normalmente, o controle de permissões nada mais é do que a desativação de contas que deixam a organização. O gerenciamento de riscos não é uma prioridade máxima para essas organizações.
Não é incomum que indivíduos selecionados em toda a organização, que assumem diferentes funções ao longo do tempo, sejam os principais candidatos ao aumento de privilégios. Os casos de uso comuns incluem relatórios de linha pontilhada, contribuição em diferentes equipes de tigres e participação em vários projetos em diferentes departamentos. Embora existam forças evidentes de produtividade em jogo ao atribuir direitos a esse pessoal, as considerações de segurança geralmente são silenciadas. As ocasiões para remover permissões são geralmente dispersas, mas o medo de interromper um usuário com permissão é um motivo frequente para não fazê-lo.
Funções excessivamente generalizadas podem ser outro agente de aumento de privilégios. Nesse caso, não se trata tanto de conceder permissão às solicitações apropriadas, mas sim da expansão excessiva ou da generalização das funções usadas para atribuí-las. As funções eficazes são aquelas devidamente demarcadas, sendo cada uma delas distinta para o nível apropriado de permissões. É frequente a tentação de subdefinir e generalizar as funções usadas para aplicar permissões.

Protegendo-se contra o aumento do risco

É muito difícil para os revisores identificar permissões que se desviam com o tempo. Esses tipos de avaliações podem ser auxiliados por uma análise automatizada das mudanças ao longo do tempo. Os revisores podem então acessar essas informações em um painel ou relatório. Embora não seja viável avaliar todos os usuários de uma organização, é possível analisar e examinar com eficácia as dezenas de usuários que representam o maior risco.

Outros tipos de alertas e relatórios de risco gerados automaticamente são derivados da análise dos recursos governados. Os recursos que contêm informações confidenciais e que não são revisados periodicamente recebem uma pontuação de risco mais alta. Para todos esses alertas, a inovação dominante da governança atual é a identificação e o destaque das áreas de risco em todo o ambiente.

Como o privilégio mínimo se encaixa na confiança zero?

O acesso com privilégios mínimos é um dos principais componentes de uma arquitetura Zero Trust. Isso significa conceder apenas o acesso necessário, com apenas as permissões mínimas pelo menor tempo necessário.

Outros componentes do zero trust incluem:

Micro-segmentação: Dividir o ambiente em zonas de segurança menores para limitar o escopo do acesso. Mantenha controles de segurança separados para cada compartimento do ambiente (requer gerenciamento distribuído desses controles).
Autenticação multifatorial (MFA): Exigir dois ou mais fatores de verificação para obter acesso a um recurso; exigir maior garantia de identidade com base no estado de risco atual.
Controle e monitoramento da API: Garanta o controle adequado no nível programático, bem como no nível de interação do usuário. Controle quantos dispositivos e/ou APIs diferentes estão tentando acessar os recursos.
Adaptativo: Avaliação contínua do risco com reconhecimento do contexto - permite a detecção precoce de ameaças e a resposta rápida. Responde dinamicamente ao estado atual no contexto do ambiente atual e das atividades anteriores.

Recursos

Protegendo as joias da coroa - documento de posicionamento do gerenciamento de contas privilegiadas

Documento de posição sobre contas privilegiadas - protegendo seu ambiente do Active Directory

Em destaqueEm destaque

Analytics CloudAnalytics Cloud

Data Lakehouse e análisesData Lakehouse e análises

BI, visualização e relatóriosBI, visualização e relatórios

eDiscovery e soluções jurídicaseDiscovery e soluções jurídicas

OpenText™ Aviator Search

Business Network CloudBusiness Network Cloud

Automação da cadeia de suprimentosAutomação da cadeia de suprimentos

Integração B2BIntegração B2B

Colaboração seguraColaboração segura

Rastreabilidade da cadeia de suprimentosRastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentosInsights sobre a cadeia de suprimentos

Aplicativos e serviços do setorAplicativos e serviços do setor

OpenText™ Business Network Aviator

Content CloudContent Cloud

Gerenciamento de documentosGerenciamento de documentos

Gerenciamento de conteúdo de IAGerenciamento de conteúdo de IA

Capture Processamento inteligente de documentosCapture Processamento inteligente de documentos

Process AutomationProcess Automation

Integrações de negóciosIntegrações de negócios

Information ArchivingInformation Archiving

Soluções para o setorSoluções para o setor

Governança da informaçãoGovernança da informação

OpenText™ Content Aviator

Cybersecurity CloudCybersecurity Cloud

Segurança de aplicativosSegurança de aplicativos

Privacidade e proteção de dadosPrivacidade e proteção de dados

Threat Detecção e respostaThreat Detecção e resposta

Identity and Access ManagementIdentity and Access Management

Investigações e perícias digitaisInvestigações e perícias digitais

Threat IntelligenceThreat Intelligence

OpenText™ Cybersecurity Aviator

DevOps CloudDevOps Cloud

Plataforma DevOpsPlataforma DevOps

Functional TestingFunctional Testing

PPM e gerenciamento estratégico PortfolioPPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidadeGerenciamento da qualidade

Engenharia de desempenhoEngenharia de desempenho

OpenText™ DevOps Aviator

Experience CloudExperience Cloud

Experiências na Web e em dispositivos móveisExperiências na Web e em dispositivos móveis

Contact Center AnalyticsContact Center Analytics

Mensagens e FaxMensagens e Fax

Cliente CommunicationsCliente Communications

Gerenciamento de ativos digitaisGerenciamento de ativos digitais

Jornada do cliente e dadosJornada do cliente e dados

OpenText™ Experience Aviator

IT Operations CloudIT Operations Cloud

Service ManagementService Management

Descoberta e CMDBDescoberta e CMDB

AIOps e observabilidadeAIOps e observabilidade

Gerenciamento de redeGerenciamento de rede

Cloud Management, FinOps e GreenOpsCloud Management, FinOps e GreenOps

AutomaçãoAutomação

OpenText™ IT Operations Aviator

OpenText™ ThrustOpenText™ Thrust

OpenText™ Thrust feixeOpenText™ Thrust feixe

OpenText™ Aviator Thrust

PortfolioPortfolio

Proteção de dadosProteção de dados

Gerenciamento de endpoints e segurança móvel Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dadosArquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentosConectividade e gerenciamento de documentos

Informações reimaginadasInformações reimaginadas

Artificial IntelligenceArtificial Intelligence

SetorSetor

Aplicativos empresariaisAplicativos empresariais

Sua jornada para o sucessoSua jornada para o sucesso

Suporte ao clienteSuporte ao cliente

Serviços de sucesso do clienteServiços de sucesso do cliente

Serviços de consultoria e estratégiaServiços de consultoria e estratégia

Serviços de consultoriaServiços de consultoria

Serviços de aprendizadoServiços de aprendizado

Serviços gerenciadosServiços gerenciados

Encontre um parceiro OpenTextEncontre um parceiro OpenText

Encontre uma solução de parceiroEncontre uma solução de parceiro

Crescer como parceiroCrescer como parceiro

Torne-se um parceiro

Biblioteca de ativosBiblioteca de ativos

Em destaque

Analytics Cloud

Data Lakehouse e análises

BI, visualização e relatórios

eDiscovery e soluções jurídicas

Business Network Cloud

Automação da cadeia de suprimentos

Integração B2B

Colaboração segura

Rastreabilidade da cadeia de suprimentos

Insights sobre a cadeia de suprimentos

Aplicativos e serviços do setor

Content Cloud

Gerenciamento de documentos

Gerenciamento de conteúdo de IA

Capture Processamento inteligente de documentos

Process Automation

Integrações de negócios

Information Archiving

Soluções para o setor

Governança da informação

Cybersecurity Cloud

Segurança de aplicativos

Privacidade e proteção de dados

Threat Detecção e resposta

Identity and Access Management

Investigações e perícias digitais

Threat Intelligence

DevOps Cloud

Plataforma DevOps

Functional Testing

PPM e gerenciamento estratégico Portfolio

Gerenciamento da qualidade

Engenharia de desempenho

Experience Cloud

Experiências na Web e em dispositivos móveis

Contact Center Analytics

Mensagens e Fax

Cliente Communications

Gerenciamento de ativos digitais

Jornada do cliente e dados

IT Operations Cloud

Service Management

Descoberta e CMDB

AIOps e observabilidade

Gerenciamento de rede

Cloud Management, FinOps e GreenOps

Automação

OpenText™ Thrust

OpenText™ Thrust feixe

Portfolio

Proteção de dados

Gerenciamento de endpoints e segurança móvel

Trabalho híbrido, e-mail e colaboração em equipe

Arquivamento, eDiscovery e segurança de dados

Conectividade e gerenciamento de documentos

Informações reimaginadas

Artificial Intelligence

Setor

Aplicativos empresariais

Sua jornada para o sucesso

Suporte ao cliente

Serviços de sucesso do cliente

Serviços de consultoria e estratégia

Serviços de consultoria

Serviços de aprendizado

Serviços gerenciados

Encontre um parceiro OpenText

Encontre uma solução de parceiro

Crescer como parceiro

Biblioteca de ativos

Blogs

Eventos

Comunidades

Histórias de clientes

OpenText Navegador