É regra em qualquer área de TI fazer com que os usuários alterem suas senhas periodicamente. Na verdade, a necessidade de alterações programadas de senha é uma das práticas recomendadas de TI mais antigas.
Recentemente, no entanto, as coisas começaram a mudar. A Microsoft reverteu o curso sobre as práticas recomendadas que vinham em vigor há décadas e não recomenda mais que as organizações exijam que os usuários alterem as senhas periodicamente. As empresas, agora, estão sendo forçadas a considerar, talvez pela primeira vez, se é uma boa ideia exigir ou não mudanças periódicas de senha.
Os humanos são notoriamente resistentes a mudanças. Quando um usuário é forçado a alterar sua senha, geralmente surge uma nova senha baseada na senha anterior. Um usuário pode, por exemplo, acrescentar um número ao final de sua senha e, em seguida, incrementar esse número cada vez que uma senha for solicitada. Da mesma forma, se forem necessárias alterações mensais de senha, um usuário pode incorporar o nome de um mês na senha e, em seguida, alterar o mês sempre que uma alteração de senha for necessária (por exemplo, MyM @ rchP @ ssw0rd).
O que é ainda mais preocupante é que estudos provaram que muitas vezes é possível adivinhar a senha atual de um usuário se você souber a senha anterior. Em um desses estudos, os pesquisadores descobriram que eram capazes de adivinhar 41% das senhas atuais do usuário em três segundos se soubessem a senha anterior do usuário.
Embora as alterações forçadas de senha possam causar problemas, não exigir que os usuários alterem suas senhas também pode causar problemas. Do jeito que está hoje, uma organização leva, em média, 207 dias para identificar uma violação (Ponemon Institute, 2020). Com isso em mente, considere quanto tempo pode levar para identificar uma violação se os usuários não precisarem alterar suas senhas.
Um cibercriminoso que obteve acesso a um sistema por meio de uma senha roubada pode evitar a detecção indefinidamente.
Em vez de simplesmente abandonar a prática de exigir alterações periódicas de senha, é melhor resolver os problemas subjacentes que tendem a enfraquecer a segurança de uma organização.
O maior problema relacionado às alterações de senha exigidas é que as expirações frequentes de senha levam os usuários a escolherem senhas fracas ou senhas que estão de alguma forma relacionadas à senha anterior. Uma maneira de evitar esse problema é recompensar os usuários por escolherem senhas fortes.
Algumas ferramentas de gerenciamento de senha de terceiros, por exemplo, Specops Password Policy, são capazes de basear a freqüência de redefinição de senha de um usuário no comprimento e complexidade de sua senha. Conseqüentemente, os usuários que escolherem senhas fortes não terão que alterá-las com a mesma frequência que um usuário que escolhe uma senha mais fraca.
Mais do que discutir eventuais alterações de senhas, as organizações precisam compreender profundamente tecnologias e conceitos para escolher a melhor forma de viabilizar o gerenciamento efetivo do ambiente.
Basicamente, hoje, existem dois tipos de gestão: PAM (Privileged Access Management) e IAM (Identity and Access Management). O primeiro diz respeito ao monitoramento e à segurança envolvidos com contas privilegiadas. Contas privilegiadas são contas que têm maiores permissões de segurança ou risco do que um usuário “padrão” em seu ambiente.
Já o IAM é o processo de saber quem tem acesso à rede, e se cada usuário tem acesso aos recursos de que precisa para realizar o seu trabalho.
O PAM se concentra nas contas que têm maiores recursos e capacidade de prejudicar sua rede, o que é uma tarefa diferente do que gerenciar cada usuário.
Qualquer conta com permissões ou status elevados em sua empresa é uma conta privilegiada. Você precisa monitorar cada administrador de sistema, nível C ou conta de serviço de maneira diferente das outras contas de usuário. Aqui está uma lista das contas privilegiadas normais.
Contas administrativas locais: qualquer conta que faça parte do grupo de administradores locais em qualquer computador é uma conta privilegiada.
Contas de serviço: as contas que você usa para operar aplicativos são contas de serviço. Em geral, eles existem apenas para permitir que um aplicativo faça seu trabalho e não têm permissões fora dessa responsabilidade. Essas contas podem acessar o sistema operacional, arquivos e pastas e / ou bancos de dados.
Contas do administrador do domínio: os administradores do domínio têm privilégios em todos os sistemas e usuários no domínio da rede. Essas contas têm alto nível de privilégios.
Contas de usuário com privilégios: você conhece aquele usuário para o qual concedeu acesso administrativo local naquele computador naquela vez? Essa conta agora é privilegiada.
Contas de nível C: Privilégio não significa apenas acesso a sistemas de computador, também pode significar influência. Pense nisso, você reage de maneira diferente se receber um e-mail do CIO e de seus colegas. Os hackers usam essa influência em seus ataques de phishing.
A maior vantagem do PAM para o seu negócio é a segurança dos dados. É extremamente fácil para os hackers se moverem lateralmente em uma rede. O PAM cria barricadas em sua rede que podem conter e proibir o movimento de infiltrados em sua rede. Estas são barricadas de direitos de acesso. Um hacker não será interrompido, mas será limitado. Os hackers precisarão roubar várias contas para roubar os dados que fazem seus esforços valerem a pena e isso dá a você tempo para detectar e neutralizar seus esforços.
As iterações anteriores do PAM propuseram um sistema excessivamente complicado de cofres de senha e implementações de gerenciador de sessão privilegiada (PSM).
Os sistemas PSM controlam como os usuários fazem login em contas privilegiadas. O problema com esses sistemas é que ambos são um único ponto de falha. Se um desses sistemas falhar, seus administradores de sistema e outros usuários com privilégios não funcionarão. Pense em que tipo de usuário classificamos como privilegiado.
Contas de serviço que fornecem serviços de negócios para grande parte da sua organização e executivos e usuários de nível C. Você poderia se dar ao luxo de uma falha em um único sistema que paralisou toda a sua organização?
As implementações modernas do PAM se concentram na implementação e manutenção de um modelo de privilégio mínimo e na atividade de monitoramento com análises avançadas de segurança de dados. O privilégio mínimo fornece aos usuários (privilegiados ou não) o acesso de que precisam para realizar seu trabalho. A análise de monitoramento e segurança de dados detecta mudanças no comportamento que podem indicar ameaças externas ou internas no trabalho. Esses dois paradigmas mantêm sua empresa agitada com as proteções de que você precisa para proteger seus dados.
A Varonis fornece a funcionalidade de que você precisa para implementar e oferecer suporte ao PAM, mapeando seus dados, e destacando pastas permissivas e contas em risco. A Varonis automatiza a limpeza de problemas comuns de pastas, como grupos de acesso global. A Varonis monitora e audita a atividade de arquivos, Active Directory, e-mails, VPN, DNS e dados de proxy da web.
Em seguida, a Varonis compara todos esses dados no contexto com as linhas de base comportamentais estabelecidas e uma biblioteca de modelos de ameaças à segurança de dados. O comportamento anormal atual que corresponde a um modelo de ameaça lançará um alerta e fornecerá à sua equipe a perícia necessária para rastrear e neutralizar a ameaça.
E, finalmente, a Varonis permite que você gerencie sua implementação de PAM criando um fluxo de trabalho para provisionar e auditar permissões que coloca os proprietários de dados no comando de seus dados. Quando os proprietários dos dados têm autonomia para proteger seus próprios dados, eles ficam mais seguros contra acesso irrestrito. Este fluxo de trabalho também economiza sua organização em custos de TI para manter o mínimo de privilégios.