CIS Control 6: Gerenciamento de Controle de Acesso

O Centro para Segurança da Internet (CIS) publica Critical Security Controls que ajudam as organizações a melhorar a cibersegurança. Na versão 8, o Controle 6 aborda a gestão de controle de acesso (nas versões anteriores, este tópico era coberto por uma combinação do Controle 4 e Controle 14).

O Controle 6 oferece as melhores práticas sobre gerenciamento de acesso e delineia diretrizes de segurança para gerenciar privilégios de usuários, especialmente o uso controlado de privilégios administrativos. As melhores práticas exigem a atribuição de direitos a cada usuário de acordo com o princípio do menor privilégio — cada usuário deve ter apenas os direitos mínimos necessários para realizar suas tarefas designadas. Isso limita o dano que o proprietário da conta pode causar, seja intencionalmente ou acidentalmente, e também minimiza o alcance de um atacante que obtém controle de uma conta.

Infelizmente, as organizações tendem a conceder às contas mais privilégios do que elas precisam porque é conveniente — é mais fácil adicionar uma conta ao grupo de Administradores locais em um computador, por exemplo, do que descobrir os privilégios exatos de que a conta precisa e adicionar o usuário aos grupos adequados. Além disso, muitas vezes falham em revogar privilégios que os usuários já não necessitam à medida que mudam de função dentro da organização, frequentemente devido à falta de comunicação e procedimentos padrão. Como resultado, as empresas ficam em risco desnecessário de perda de dados, inatividade e falhas de conformidade.

Para mitigar esses riscos, o CIS Control 6 oferece 8 diretrizes para estabelecer um gerenciamento de controle de acesso forte.

6.1 Estabeleça um processo de concessão de acesso.

Ter um processo definido para conceder direitos de acesso aos usuários quando eles ingressam na organização e quando seus papéis mudam ajuda a impor e manter o princípio do menor privilégio. Idealmente, o processo deve ser o mais automatizado possível, com conjuntos padrão de permissões para diferentes ativos e dispositivos na rede associados a diferentes papéis e até diferentes níveis dentro de um papel.

6.2 Estabeleça um processo de revogação de acesso.

As organizações muitas vezes falham em revogar direitos de acesso que não são mais necessários, expondo-se a ataques e exploração. Por exemplo, se a conta de um funcionário desligado não for desativada ou excluída prontamente, essa pessoa ou qualquer um que comprometa as credenciais da conta poderia explorar seus privilégios.

A revogação de acesso também é frequentemente necessária quando um usuário muda de função dentro da organização. Isso se aplica não apenas em casos de rebaixamento, mas também para movimentos laterais e promoções. Por exemplo, um usuário que passa de vendas para marketing pode não ter mais uma necessidade legítima de negócios para acessar dados e aplicações usadas pela equipe de vendas; da mesma forma, um indivíduo experiente que passa para um cargo de gestão provavelmente precisará ter alguns de seus antigos direitos revogados e alguns novos adicionados.

6.3. Exija MFA para aplicações expostas externamente.

A autenticação multifator (MFA) é uma prática recomendada porque torna as credenciais roubadas inúteis para os atacantes. Com o MFA, os usuários devem fornecer dois ou mais fatores de autenticação, como uma combinação de ID de usuário/senha mais um código de segurança enviado para o seu email. Sem o segundo fator, um possível adversário será negado acesso aos dados, sistemas ou serviços solicitados.

O Controle 6.3 recomenda a exigência de MFA para todas as aplicações de software expostas externamente (voltadas para a internet), como ferramentas utilizadas por clientes, parceiros comerciais e outros contatos.

6.4 Exija MFA para acesso remoto à rede.

Esta salvaguarda se baseia na anterior, recomendando MFA sempre que os usuários tentarem se conectar remotamente. Esta prática é particularmente importante hoje em dia, já que muitas organizações possuem vários trabalhadores remotos e híbridos.

6.5. Exigir MFA para acesso administrativo.

De acordo com o Controle 6.5 do CIS, as contas de administrador de uma organização também requerem a segurança extra do MFA, porque essas contas concedem Privileged Access Management a ativos de TI, muitas vezes incluindo não apenas dados sensíveis, mas também a configuração de sistemas centrais como servidores e bancos de dados.

6.6. Estabeleça e mantenha um inventário dos sistemas de autenticação e autorização.

Em um nível mais elevado, as organizações precisam acompanhar todos os seus sistemas de autenticação e autorização. O inventário deve ser revisado e atualizado pelo menos anualmente. Além de ser valioso para a segurança, esse inventário também pode ajudar a organização a alcançar a conformidade regulatória.

6.7. Centralize o controle de acesso.

O controle de acesso centralizado permite que os usuários acessem diferentes aplicações, sistemas, sites e ferramentas utilizando as mesmas credenciais. O single sign-on (SSO) é um exemplo de controle de acesso centralizado.

Vários fornecedores oferecem produtos de controle de acesso centralizado e Identity Management projetados para ajudar as empresas a simplificar o acesso do usuário, melhorar a segurança e otimizar as operações de TI corporativas.

6.8. Defina e mantenha o controle de acesso baseado em funções.

Tentar atribuir a cada usuário o acesso correto individualmente através da atribuição direta de permissões e manter esses direitos atualizados ao longo do tempo simplesmente não é uma abordagem escalável para o controle de acesso. Em vez disso, o Controle 6.8 recomenda a implementação do controle de acesso baseado em funções (RBAC) — atribuindo privilégios de acesso a funções definidas na organização e, em seguida, tornando cada usuário membro das funções apropriadas. As funções e seus direitos associados devem ser revisados e atualizados pelo menos anualmente.

Resumo

Controlar os direitos de acesso é vital para a segurança de dados sensíveis, aplicações e outros ativos de TI. Os principais processos de controle de acesso incluem fluxos de trabalho que permitem aos usuários fazer solicitações de acesso e aos proprietários dos dados aprovar ou negá-las, e processos que permitem aos proprietários dos dados revisar e modificar regularmente os direitos de acesso aos seus dados.

Contas privilegiadas requerem atenção especial porque podem causar sérios danos se forem mal utilizadas pelos seus proprietários ou comprometidas por atacantes. Netwrix PAM solution simplifica o controle de acesso privilegiado ao conceder dinamicamente aos administradores exatamente as permissões de que precisam para completar uma tarefa específica e remover automaticamente esses direitos imediatamente após. Assim, as organizações podem eliminar praticamente todas as suas contas privilegiadas permanentes, reduzindo drasticamente sua superfície de ataque e evitando a sobrecarga e responsabilidade das soluções tradicionais centradas em cofres. Além disso, a Netwrix PAM solution é custo-efetiva, intuitiva e fácil de implementar.