Segurança e anti fraude em CIAM para os próximos anos

Publicado

Por

Alfredo Santos

CIAM (Customer Identity & Access Management) é cada vez mais usado como o controle de entrada para seus clientes na sua estratégia digital. Ele definirá a experiência do seu usuário versus a segurança dele e de sua empresa, além do combate a fraudes. Por exemplo, como dar uma experiência passwordless para os usuários certos?

Como o CIAM é hoje

Primeiramente, vamos entender o contexto de CIAM para iniciativas digitais:

  • Acesso multicanal agora é obrigatório, já que seu cliente quer acessar o produto da forma mais cômoda, não importa o meio — que pode ser mobile, web, totem, aplicativos de mensageria entre outros;
  • Aplicação de estratégia API First onde os times de tecnologia estão arquitetando soluções para que estas sejam expansíveis por meio de APIs e com padrões bem definidos;
  • Risco de fraudes usando credenciais de usuários que são roubadas por meio de vazamento e técnicas avançadas de phishing e engenharia social;
  • Experiência do usuário que é desafiada sempre que você aumenta os controles de risco.

Falando um pouco de riscos de segurança

  • Manipulação do mobile, onde o vetor que você tem menor controle, pois é do seu cliente, é o principal alvo de ataques, que podem ser por:
    • Malware, onde o mesmo é instalado no device para manipulação da informação e envio de comandos indevidos;
    • Emulação, onde um atacante simula o device de outra pessoa;
    • API Security, onde uma estratégia API First não prioriza a segurança das APIs.
  • Roubo de Credencial & Sessão, que vai desde phishing até técnicas mais avançadas de roubo de sessão ativa do usuário, quando o mesmo acessa um sistema;
  • Vulnerabilidade de aplicações, que, depois do controle de acesso, são a principal porta de ataques a um sistema;
  • Acesso privilegiado que determina, do lado de dentro da sua casa, quem pode fazer o que com acessos a dados críticos.

E quais são os principais desafios?

  • Canais de acesso diversos exigem abordagens distintas para tratamento da segurança, por exemplo, um site é diferente de uma API;
  • Milhares de Sistemas Operacionais mobile e configurações de usuários demandam uma granularidade enorme de controles para ser efetivo na ponta que pertence ao usuário;
  • Experiência do usuário X Segurança onde, como já falamos aqui, os controles tem que agir com as pessoas mal intencionadas e serem brandos com as pessoas de boa fé para gerar mais vendas para seu negócio;
  • Ferramentas de monitoramento e comportamento de CIAM e as ferramentas internas de monitoramento de segurança não se conversam e, aqui, exigem uma abordagem nova;
  • Desenvolvimento de sistemas devem incluir todos cenários de segurança cobertos por CIAM, pensando estrategicamente no controle do acesso.

Soluções de abordagem

Então vamos lá, qual a abordagem proposta?

Pensando primeiro no mobile:

  • Mutual authentication, onde existe uma validação por meio de certificado digital, garantindo que você reconheça aquele device e ele te reconheça de volta. No passado houveram eventos onde devices “acharam” que estavam conectando na API verdadeira, mas era uma API fake, que roubou os dados de milhares de clientes;
  • Device DNA, onde você registra uma foto do DNA do celular da pessoa com características de hardware, sistema operacional e software, e compara tudo a cada acesso;
  • Geolocalização, onde você entende a localização do usuário, e se alguém está passando por ele. Um exemplo seria um acesso acontecer originando-se, ao mesmo tempo, em Nova York e em São Paulo;
  • Access Behaviour que são dados de comportamentos do usuário de uma forma geral, por exemplo lugar de onde acessa, o que acessa, como e quando.
  • Comportamento local do usuário para cada transação visando entender, por exemplo, se um malware está tentando se passar pelo usuário. Aqui entram análises do tipo acelerômetro, como é a digitação no teclado, entre outras.

Gateway

API Gateway com funcionalidades de segurança é outro ponto chave. Em vez de prover uma API diretamente para internet, você deve considerar um gateway para que ele analise os pacotes visando entender se é o que recebeu é algo legítimo ou se é um ataque.

Análise de tráfego da API com Machine Learning complementa essa abordagem, entendendo variações que só machine learning poderia analisar, tentando observar se existe, por exemplo, um vazamento de dados.

Funcionalidades AAA (Autorização, Autenticação e Auditoria) também fazem parte de um bom API Gateway para validar o acesso e viabilizar outras oportunidades, como Open Banking, por exemplo.

Orquestração do acesso é outra frente chave tendo em vista os itens anteriores, pois ele funciona como uma cola entre eles, dando inteligência a todo processo. Imagine que, se um risco alto é identificado, o sistema de segurança vai, com todas as forças, validar se o usuário é ele mesmo. Pode ser que o cliente tenha viajado do Brasil para os EUA, comprou um celular novo e quer acessar o sistema. Se este for o caso, ele será colocado à prova, mas passará nos desafios e acessará o sistema. Já um usuário com más intenções não acessará. Voltando ao nosso bom usuário, da próxima vez deixaremos ele acessar com baixa fricção, pois já sabemos que ele está nos EUA e com um celular novo.

Monitoramento do acesso fecha essa etapa do usuário que é nosso cliente, conectando uma visão do que ele quer fazer com o monitoramento contínuo interno de como ele transacionará nos sistemas. Imagine nosso cliente nos EUA, quando respondeu os desafios e acessou o sistema. Ele seria verde, amarelo ou vermelho para o monitoramento interno? Vamos considerá-lo amarelo, pois é a primeira vez que ele acessa nessas condições, e vamos acompanhar o que ele transaciona e como.

Agora, quando falamos de controle do acesso privilegiado, a coisa muda. Este acesso é feito tanto por pessoas internas da empresa, que podem ser funcionários, quanto por terceiros, que podem ter, em seu meio, gente mal intencionada ou descontente com a empresa. Essas pessoas são o principal risco. Para isso,os controles necessários são:

  • Multi Fator de Autenticação para fazer uma autenticação forte desses elementos;
  • Limitar número de recursos, mostrando apenas o que interessa para cada usuário;
  • Controlar que comandos cada pessoa pode executar;
  • Registrar os comandos executados nos ativos críticos;
  • Gravar as telas do trabalho das pessoas para auditorias futuras;
  • Controlar credenciais de scripts e aplicativos para que acessos com alta capacidade e criticidade na empresa não fiquem pulverizados.

Concluindo, preparar sua estratégia de CIAM para os desafios futuros não é tarefa simples, mas você tem que começar.

Prepare seu roadmap e comece a fechar as diversas possibilidades de fraude e riscos de segurança.

Alfredo Santos

Alfredo Santos é um líder na comunidade brasileira de IAM, professor do assunto na FIA, Autor de livros de IAM/IAG e responsável pelo evento IAM Tech Day. Possui 25 anos de experiência no assunto IAM por ter atuado em empresas e projetos importantes, alguns deles em âmbito global. Atualmente lidera projetos globais de IAM que afeta grupos de empresas nas Américas, Asia e Europa.

Linkedin: https://www.linkedin.com/in/alfredosantos/

Aviso Legal: As informações apresentadas nos eventos e lives são apenas para fins educacionais. Não incentivamos nem apoiamos o uso destas técnicas para qualquer atividade ilegal. O objetivo é promover a conscientização e a melhoria das práticas de segurança cibernética. O uso inadequado das informações apresentadas é estritamente proibido e pode resultar em consequências legais.

IAM Tech Day

IAM TECH DAY

Início

Eventos

Artigos

Contato

COMUNIDADE

Canal YouTube

Newsletter

Comunidade LinkedIn

Twitter

OUTROS

Patrocine

Política de privacidade

Termos de uso

Call For Papers

© Copyright IAM Tech Day • Todos os direitos reservados • Design by