Privilégios, senhas, segredos e tartarugas

Picture of Andre Facciolli
Andre Facciolli

Já vão se completando três décadas desde que a discussão sobre controle de privilégios em ambientes de acesso digital começou a ganhar corpo e a se constituir num arcabouço organizado de conceitos e metodologias que, lá nos anos 90, a indústria de TI batizou de SUPM (Super User Privileged Management).

Em seguida, já na virada de século, o avanço do movimento open source adaptou os princípios do SUPM para outras iniciativas compatíveis, como é o caso do SUDO (um acrônimo para Super- User- do).

Já de meados de 2000 em diante, outras evoluções apareceram e ganharam maior ou menor notoriedade, mas com destaque, sem dúvida, para as metodologias de cofre de senha (Vault) utilizando modelos como o SAPM (Share Account Privilege Management) e, mais recentemente, UAC (User Account Control).

Mesmo com toda esta tradição de debate e aplicação de modelos, a questão do gerenciamento de privilégios e dos conceitos de “privilégios mínimos” ainda não havia recebido um impulso significativo, a ponto de evitar que a violação de senhas com status de “admin” se tornasse o problema que é hoje.

De fato, segundo pesquisas recentes da Verison, pelo menos 81% das violações de dados em ambientes corporativos ocorrem a partir do uso de senhas lícitas, seja por meio de furto cibernético ou por mal uso de agentes internos (e seja este uso malicioso ou simplesmente desastrado).

Há, no entanto, uma clara tendência mundial a apontar para uma tomada de consciência no sentido de se vencer esse gap e se buscar uma atualização rápida das políticas de gerenciamento de privilégios.

Fatores que contribuem para uma atualização rápida das políticas de gerenciamento de privilégios

Inúmeros são os fatores que poderiam ser elencados para essa nova atitude da indústria. Entre eles, estão o amadurecimento das tecnologias e o apuro cada vez maior das estatísticas de vulnerabilidade (que servem para a alertar sobre a gravidade do problema).

Outro aspecto central a se considerar é a atual corrida pela transformação digital (que compreende sempre algum movimento de disrupção) e na qual os controles de privilégio acabam alcançando um nível de importância estratégico, tendo em vista os constantes ajustes e reajustes estruturais que passam a ser exigidos para as plataformas de negócios, baseado em automação, microserviços e segredos.

Não é por acaso que os Analistas de Mercado enxergam a emergência de um boom em tecnologias nessa área, que sairiam de um nível ainda incipiente de negócios para o patamar de US$ 2 bilhões nos próximos três anos, e compreendendo-se aí apenas tecnologias específicas para o nicho de privilégios.

Também contribui para o novo cenário a disseminação das plataformas open source (nas quais a atribuição e uso de privilégio carrega ainda mais complexidade devido ao alto índice de cooperação envolvido em processos críticos), a consolidação de ambientes de big data e o alastramento da cultura SecDevOps, onde desenvolvimento, segurança e operação se constituem num único processo.

É diante desta confluência de fatores que o controle de privilégio necessita encarar uma equação realmente dura de roer. De que maneira obter agilidade de desenvolvimento e operação se é necessário ao mesmo tempo criar barreiras pesadas à expansão e emprego indiscriminado de privilégios? Como estabelecer o equilíbrio da segurança de acesso com a exigência de acesso rápido em função de exigências de um contexto tangenciado por dados desestruturados e fluindo em velocidades altíssimas?

São impasses assim que talvez ajudem a explicar alguns dos principais entraves para a adoção de privilégios mínimos. Tal como já dizia a ciência social, podemos hoje recitar, sem risco de erro, em relação aos privilégios de acesso: ownership is power.

Soluções de privilégios como meio e não como fim

As soluções de privilégio, adequadas ao cenário disruptivo, são as que entendem o controle como “meio” e não como “fim”. No fim estão a eficiência e a velocidade, enquanto a aplicação de controle está, em geral, na posição oposta.

A saída do impasse, nessa visão, se dá pela criação de uma camada intermediária (aberta) para colocar uma imposição de ordem estrita nos acessos privilegiados, mas tornando-os, ao mesmo tempo, tão rápidos quanto possível.

A ideia de isolar a questão e de criar um âmbito específico para disciplinar e engatar as engrenagens do acesso privilegiado, sempre segundo regras de negócio seguras, ajuda de forma efetiva a enfrentar a complexidade e a ganhar desenvoltura na solução desse problema.

Mas tartarugas insistem em existir, e não poderiam faltar também aqui. Entre essas muitas tartarugas está a arquitetura de software das aplicações em uso que necessitam ser consideradas como premissa para interposição de camada de acesso privilegiado.

Numa configuração ideal, tais aplicações e sistemas necessitam passar a embarcar (no sentido de trazer embutido) uma fonte de geração de chaves efêmeras, geradas “a quente”, digamos assim, no ato da execução de cada processo.

Mas sabemos o quanto é difícil adequar soluções comerciais, de fornecedores consolidados, com os preceitos de uma nova cultura de SecDevOps e com novas plataformas baseadas em sistemas abertos.

Adequações de demandas e requisitos técnicos

Não vemos como algo banal precisar adequar as demandas atuais de gestão de credenciais (usuários e senhas), com uma demanda, bem mais ampla, que é a de gestão de segredos (como exigir para o acesso a informação sobre qualquer coisa ou sobre qualquer lugar ou sobre estes e outros tópicos entrecruzados).

Entendemos a dureza que é ter de adequar os requisitos técnicos de hoje (tais como vaults proprietários), com requisitos técnicos emergentes (plataforma open). Requisitos estes que incluem múltiplos aspectos críticos, tais como a obrigação de transparência, políticas explicitas de permissão, publicação de acesso obrigatória, sujeição a padrões abertos, automação, escalabilidade, facilidade, usabilidade, independência, reuso, distribuição, compartimentalização, workload, high frequency authentication.

Encarando toda essa problemática, chega a parecer um paradoxo ter de adotar soluções estritamente necessárias em uma conjuntura específica e que possuirão um tempo de vida sabidamente curto. E, ao mesmo tempo, ter de realizar a adesão a tecnologias abertas e não amarradas e nenhum fornecedor (nenhum mesmo!), e que atendam novos requisitos de segurança e arquitetura com vistas ao longo prazo e em um ritmo turbulento que é típico da disrupção.

E parece de fato paradoxal porque a própria situação é carregada desses antagonismos e impasses. Mas uma harmonização desses opostos vem sendo obtida, como já adiantei acima, via a intermediação de gateways (usados para o desacoplamento de critérios de acesso) e brokers (tocados pelo consumo de segredos e credenciais).

Padronização de protocolos de acesso

É nessa instância relativamente independente e isolada que se dá a padronização de protocolos de acesso. A ela se associa o uso de padrões de otimização como o SCIM (System for Cross-domain Identity Management), que são aplicados, não apenas para credenciais, mas para amplo uso de segredos de segurança. E tudo isto ainda contando com mecanismos de interação desse aparato com os novos sistemas analíticos de identidades, análise de comportamento agregados a automação – robotic automation.

Esse crescente consenso da indústria, a favor da camada específica para a gestão de privilégio, representa, a meu ver, um ponto de inflexão que nos levará rapidamente a uma situação de controle de privilégio muito melhor do que a que tínhamos até alguns meses atrás. Servirá de roadmap de adoção e entendimento dos benefícios de uma segurança embarcada e aberta.

É possível afirmar, de fato, que nenhuma solução comercialmente disponível até bem pouco tempo seria capaz de prevenir com eficiência este tipo de brecha, lembrando que o roubo de senha esteve na raiz de incidentes gravíssimos e tidos como já “clássicos” da história digital, como os recentes exemplos de violações envolvendo empresas como JPMorgan, HomeDepot, Sony, Target, Yahoo, e de casos envolvendo grandes bancos brasileiros.

André Facciolli, CEO da Netbr.

E então, quer bater um papo e compartilhar nossos casos de uso?