Em sua palestra, Marcello Zillo Neto, Chief Security Advisor da Microsoft (LATAM), fala sobre a importância da gestão de identidade de acesso para que se tenha uma base de segurança sólida e um modelo resiliente de cyber segurança.
Zillo ainda cita o quão crítico o tema se torna quando se pensa em ambientes hiperconectados e descentralizados, ou seja, aqueles cujo trabalho é exercido sob a política work from everywhere. De acordo com ele, isso ocorre porque dispositivos, aplicações e serviços disponibilizados em tais ambientes devem ser acessados através de um perfil de acesso, o qual contém as permissões cedidas para que determinado usuário possa executar os processos de negócio.
“Pense em um modelo de integração de APIs” – diz Zillo – “onde sistemas estão falando com sistemas para gerar novos modelos de negócio. Não dá para automatizar o caos”. Nesse momento, ele se refere à necessidade de modernização da gestão de acesso, para impedir que usuários mal intencionados consigam aquilo que mais desejam: se logar com uma credencial roubada e comprometer sistemas de alta criticidade. Logo, aprendemos que é com as boas práticas para o ambiente de gestão de acesso que os sistemas se protegem contra o uso indevido de identidades digitais.
Zillo começa mencionando o MFA (Multifactor Authentication – em português, Autenticação Multifator) como um recurso que não pode ser negligenciado e nem pode cair sob a mentalidade de que basta habilitá-lo para os administradores e controlar o acesso remoto. Essa é uma prática que já vem se mostrando ineficaz. Pensando nos casos de ransomware dos últimos 18 meses, os ataques bem-sucedidos começam pelo uso de uma credencial sem privilégio administrativo, que com o tempo vai escalando mais privilégios (movimentação lateral). Assim, fica claro que habilitar o MFA apenas para usuários administradores não é suficiente.
Zillo reforça em seu discurso que não adianta ter a melhor tecnologia, com Machine Learning e tecnologia artificial, por exemplo, se o básico não é bem feito: “70% dos casos de ransomware que a Microsoft ajudou a responder nos últimos 12 meses foram iniciados a partir de um servidor RDP exposto à Internet, sem um segundo fator de autenticação, com usuário e senha fraca”.
O boom da adoção dos serviços de nuvem, com arquiteturas híbridas cada vez mais complexas, foi resultado da chegada da pandemia. No consequente home office, os usuários e os seus equipamentos estão remotos e as aplicações estão distribuídas. A proteção por segregação de rede tradicionalmente conhecida já não faz mais sentido, pois é preciso avaliar os riscos para decidir em tempo real se os usuários podem ou não ter acesso a ambientes, redes, dados e sistemas. “Manter a identidade e a segurança de rede de forma isolada traz diversos problemas”, afirma Zillo. A maioria das empresas tem uma área de segurança de rede e uma área de gestão de acesso, mas é importante utilizar a inteligência compartilhada de dispositivos, redes e identidade. “A Microsoft implementou o Zero Trust* no ambiente há muitos anos, permitindo que 150 mil colaboradores pudessem trabalhar remotamente”.
No IAM Tech Day, que aconteceu no dia 28 de outubro, Marcello Zillo Neto contou em maiores detalhes sobre a arquitetura de referência do Zero Trust aplicado à realidade da Microsoft, além de ter abordado alguns casos de uso. Foi uma oportunidade incrível para conhecer técnicas de proteção de ambientes híbridos, com outros provedores de nuvem e de serviços, sempre com base na utilização desse mecanismo de validação em tempo real de configurações e telemetria do usuário e do dispositivo. “Nós veremos como é possível adotar uma estratégia moderna de segurança com foco no bom uso da identidade de máquina e do usuário, sempre com o objetivo de controlar adequadamente o acesso aos dados e aos ambientes críticos”.
* Zero Trust é um modelo de segurança de rede que reúne um conjunto de práticas muito conectadas com gestão de acesso. Nele, o usuário passa a ser um componente importante juntamente com a análise do dispositivo e do comportamento da máquina para a tomada de decisão do que se pode ou não acessar no ambiente.
