À medida que o mundo continua a adoptar a transformação digital e o trabalho distribuído, as empresas continuarão a implementar aplicações SaaS - ao mesmo tempo que continuam a utilizar ferramentas no local. Como resultado, os ecossistemas híbridos estão a tornar-se cada vez mais comuns. Infelizmente, as práticas actuais de gestão de identidades e acessos (IAM) simplesmente não estão à altura da tarefa de os gerir.
Uma empresa média opera pelo menos 20 produtos que gerem e mantêm a identidade. O controlo de acesso a estes produtos pode ser uma confusão, com as credenciais normalmente espalhadas por toda a organização. É um verdadeiro tesouro para os hackers mal-intencionados.
Então, o que é que se pode fazer? Na recente Conferência sobre Protecção da Identidade Híbrida, moderei um painel de discussão do sector que começou precisamente com essa pergunta. Discutimos os problemas das actuais práticas de gestão de identidades e a forma como as empresas podem actualizar as suas práticas para serem mais eficientes, eficazes e seguras.
Nesta publicação, encontrará as principais conclusões do debate, que incluiu Ricky Allen, CISO da Critical Start; Brian Desmond, director do Ravenswood Technology Group; Brandon Nolan, líder global de identidade digital e recuperação da Avanade; e eu, fundador e director executivo da TAG Cyber.
1. As identidades e os pontos finais já não podem ser geridos separadamente
O primeiro passo que as empresas devem dar é reconceptualizar a forma como abordam o IAM.
"É preciso olhar para a segurança dos pontos terminais e da identidade ao mesmo tempo", disse Desmond. "Já não existe uma diferença entre eles. Os dias em que os dispositivos e a gestão de identidades eram geridos por departamentos diferentes acabaram - simplesmente já não funciona, especialmente quando se considera a orientação estabelecida em torno de um modelo de confiança zero."
O IAM não é algo que um produto possa simplesmente fornecer. Em vez disso, as empresas devem começar com a gestão de identidades ou de terminais e, em seguida, combinar esse elemento com o seu homólogo. Como parte deste processo, é crucial estabelecer a propriedade de activos como segredos e cofres de chaves, definir identidades privilegiadas e não privilegiadas e determinar níveis de acesso concretos.
Num ambiente Microsoft, as empresas podem alcançar este equilíbrio da melhor forma mudando para o Azure Active Directory (Azure AD) porque permite funcionalidades críticas, como a autenticação multifactor (MFA).
2. A consolidação é o primeiro passo para resolver o desafio da segurança híbrida
A complexidade é o obstáculo mais significativo à segurança híbrida efectiva. Como muitas empresas descobriram, uma abordagem integrada é fundamental para resolver este obstáculo. As organizações podem trabalhar com um fornecedor de serviços de identidade para desactivar gradualmente as soluções de pontos finais existentes e consolidar a sua funcionalidade numa única plataforma. O referido fornecedor de identidade pode então ligar-se ao Azure, aumentando a eficiência e reduzindo simultaneamente a dispersão.
"Os agentes de ameaças adoram a sua complexidade", afirmou Nolan. "Como resultado, estamos a ver muitas organizações a explorar formas de fugir a essa complexidade. Estamos a começar a ver um movimento muito maior em direcção ao jogo da plataforma em vez de soluções de ponto final."
3. É necessária visibilidade em tempo real
Uma empresa sem uma imagem clara dos seus activos é um alvo privilegiado para exploração. Infelizmente, os ambientes empresariais centrados na nuvem movem-se demasiado depressa para as técnicas de auditoria tradicionais. Os instantâneos são igualmente inadequados, oferecendo uma imagem estática de um ambiente dinâmico.
"O inventário é um alvo em movimento", disse Desmond. "Quando se termina uma auditoria, a informação que se tem já está desactualizada."
As empresas podem resolver este problema adoptando ferramentas de detecção automatizadas. As ferramentas baseadas na inteligência artificial e na aprendizagem automática podem monitorizar activamente a infra-estrutura e categorizar os alertas para serem tratados pelas equipas de segurança humanas. Desta forma, uma empresa pode envolver-se na gestão, detecção de ameaças e correcção em tempo real.
"A visibilidade tende a ser altamente complexa", disse Nolan. "No nosso caso, analisamos um ecossistema numa camada de identidade, ponto final, rede e automação, respectivamente. A ideia é que a visibilidade é mais do que activos ou inventário: Trata-se também de telemetria de autenticação e serviços de federação."
4. A cultura do legado é um ponto de paragem significativo
Para que as empresas adoptem o IAM híbrido, têm primeiro de abandonar os seus velhos hábitos, ideias e crenças sobre autenticação e controlo de acesso. Os sistemas legados são um sintoma desta velha forma de pensar. São, simultaneamente, a maior ameaça à segurança que muitas empresas enfrentam e a âncora que as mantém em baixo durante a transformação digital.
"Penso que todo o tema desta conversa aqui é estabelecer o maior risco", disse Allen. "E eu acho que é o equipamento antigo. Sempre adoptámos uma abordagem inversa, compatível com o passado, mesmo quando avançamos cada vez mais depressa. Não trazemos connosco o menor denominador comum. Basicamente, temos de fazer o downgrade de toda a nossa autenticação como resultado."
Afastar-se deste paradigma e abandonar hábitos construídos ao longo de mais de 20 anos não é uma tarefa simples. Requer uma colaboração significativa entre a TI e outros segmentos empresariais. Também exige que as empresas aceitem o princípio de que menos é mais - quanto menos sistemas distintos uma organização utilizar, melhor.
O que o futuro nos reserva
Há muito que a Microsoft desempenha um papel proeminente na segurança das empresas. No entanto, no que diz respeito ao IAM híbrido, o Azure AD tem o potencial de desempenhar um papel ainda mais importante. Para qualquer empresa que trabalhe com a pilha da Microsoft, as licenças E5 são particularmente importantes, proporcionando um melhor controlo de acesso, visibilidade e detecção de ameaças.
"Penso que, em última análise, o foco deve estar no que a Microsoft está a fazer no ambiente de segurança", concluiu Allen. "A abordagem da empresa aos seus produtos mudou, convergindo para uma única SKU de produto que gere agora o correio electrónico, o ponto final e a identidade em todas as áreas. Vale definitivamente a pena considerar e analisar o licenciamento E5."
Entretanto, novas tecnologias como a cadeia de blocos poderão redefinir a forma como gerimos a encriptação. Ao armazenar um cofre de chaves num livro-razão distribuído, é possível não só proteger esse cofre, mas também garantir que mantém a sua integridade. Dito isto, esta tecnologia é ainda muito teórica e é pouco provável que a vejamos antes de 2023.
Para a segurança híbrida, as parcerias são o caminho a seguir
A protecção de um ambiente híbrido é uma tarefa complexa e intensiva em recursos, que exige que uma empresa repense não só a sua infra-estrutura, mas também toda a sua cultura. A actual escassez de talentos representa talvez o maior impedimento à transformação. Em última análise, a identidade híbrida significa que não será apenas aconselhável estabelecer parcerias com outras organizações, mas tornar-se-á necessário.
"A minha experiência diz-me que uma organização simplesmente não pode fazer isto sozinha", acrescentou Nolan. "Simplesmente não há recursos de segurança híbrida qualificados suficientes para fazer o trabalho. Vai ser preciso uma aldeia - a parceria certa entre fornecedor, prestador de serviços e empresa."