Há algo de desconfortável no facto de a forma mais comum de os atacantes entrarem nos sistemas não ser através de explorações técnicas altamente sofisticadas ou técnicas de ponta. É através de um acesso que nunca deveria ter existido.
O controlo de acesso deficiente ocupou o primeiro lugar no Top 10 da OWASP por uma razão. Aparece repetidamente em investigações de violações , em todos os sectores, independentemente de quanto as organizações investem em ferramentas de segurança.
De facto, a OWASP descobriu que 94% das aplicações testadas apresentavam alguma forma de controlo de acesso quebradoo que mostra como o problema é realmente generalizado.
O que torna isto ainda mais preocupante é o facto de não se tratar de um problema novo. O controlo de acesso é um desafio conhecido há anos, mas continua a ser um dos pontos fracos mais explorados. Não porque seja invisível, mas porque se situa naquele espaço difícil entre a tecnologia, o processo e o comportamento humano.
A lenta construção do risco
O controlo de acesso raramente falha num momento dramático. Tende a desfazer-se gradualmente, moldado por decisões diárias que parecem razoáveis na altura.
Talvez alguém se junte a uma equipa e lhe seja dado um amplo acesso para que possa começar rapidamente. Ou talvez um colega mude de funções mas mantenha o acesso aos seus sistemas anteriores “por precaução”. Pode até acontecer que um projeto termine, mas ninguém reveja quem ainda tem permissões ligadas a ele. Com o tempo, estas pequenas decisões vão-se sobrepondo até que o acesso deixa de refletir a realidade.
É assim que o excesso de autorizações se torna normal. Não acontece porque as pessoas são descuidadas, mas porque a rapidez, a conveniência e a continuidade do negócio têm muitas vezes prioridade no momento.
O problema é que os atacantes não vêem essas decisões como inofensivas - vêem uma oportunidade.
Quando demasiado acesso se torna o padrão
Em muitas organizações, o acesso é concedido muito mais facilmente do que é retirado. Há uma tendência natural para permitir que as pessoas façam o seu trabalho sem fricção, o que faz sentido do ponto de vista da produtividade.
O desafio é que o acesso tende a acumular-se. Quanto mais tempo alguém está numa organização, mais sistemas, ficheiros e dados pode aceder. Isto é muitas vezes referido como aumento de privilégios, embora raramente pareça um problema enquanto está a acontecer.
No entanto, do ponto de vista da segurança, cria uma imagem muito diferente. Uma única conta comprometida pode abrir muito mais portas do que o esperado. O que começa como um e-mail de phishing ou uma credencial roubada pode rapidamente transformar-se em algo muito mais grave se essa conta tiver permissões excessivas.
Isto torna-se ainda mais significativo se tiveres em conta que as credenciais roubadas estão envolvidas em quase metade de todas as infracçõesde acordo com Relatório de investigação de violações de dados da Verizon.
Esta é uma das razões pelas quais o controlo de acesso quebrado é tão frequentemente explorado. Os atacantes não precisam de passar por várias camadas de defesa se o acesso já existir.
O problema da visibilidade
Um dos maiores desafios que as organizações enfrentam é simplesmente compreender quem tem acesso a quê.
O controlo de acesso nem sempre é gerido num único local. Abrange sistemas de identidade, aplicações, plataformas de nuvem, unidades partilhadas e ferramentas de terceiros. Cada um destes ambientes pode ter a sua própria forma de atribuir e controlar as permissões, o que dificulta a criação de uma visão clara e consistente.
Sem essa visibilidade, torna-se quase impossível detetar os riscos numa fase precoce. Ao mesmo tempo, os ataques baseados na identidade continuam a aumentar, com a Microsoft a reportar sobre 600 milhões de ataques de identidade todos os diasmostrando o quanto os atacantes dependem do acesso comprometido.
Esta falta de clareza não afecta apenas as equipas de segurança, cria incerteza a todos os níveis da organização, desde a TI à liderança, sobre se o acesso está a ser gerido de forma eficaz.
Ameaças internas e externas confundem-se
Muitas vezes, há uma tendência para separar as ameaças internas dos ataques externos, mas um controlo de acesso deficiente mostra como estão intimamente ligados.
Um atacante externo que obtém acesso a uma conta legítima está efetivamente a operar como um infiltrado. Utiliza credenciais reais, movimenta-se nos sistemas de forma aparentemente normal e tira partido de permissões já existentes.
Ao mesmo tempo, os verdadeiros informadores podem criar riscos involuntariamente através de acções quotidianas. Partilhar o acesso para cumprir um prazo, utilizar contas pessoais por conveniência ou não terminar a sessão em sistemas partilhados pode expor informações sensíveis.
A linha entre risco interno e externo torna-se menos significativa quando o acesso é o fator comum. O que importa é a forma como esse acesso é concedido, gerido e monitorizado ao longo do tempo.
Porque é que é tão difícil resolver o problema
Se o controlo de acesso não autorizado é tão bem compreendido, levanta uma questão óbvia. Por que razão continua a ser um problema tão persistente?
Parte da resposta reside na escala. As grandes organizações podem ter milhares de utilizadores, centenas de aplicações e funções e responsabilidades em constante mudança. Manter o acesso alinhado com a realidade requer um esforço contínuo e não uma solução pontual.
Há também a complexidade dos ambientes modernos. Os serviços na nuvem, o trabalho remoto e as integrações de terceiros aumentaram significativamente o número de pontos de acesso. Cada novo sistema introduz outra camada para gerir.
A responsabilidade é outro fator que muitas vezes é negligenciado. O controlo de acesso nem sempre tem um proprietário claro. As equipas de TI podem gerir sistemas de identidade, as equipas de segurança concentram-se no risco e os líderes empresariais aprovam o acesso com base nas necessidades operacionais. Sem uma responsabilidade clara, as lacunas são quase inevitáveis.
Tudo isto faz com que o controlo de acesso pareça um alvo em movimento. É mais fácil dar prioridade a ameaças visíveis e imediatas do que lidar com algo que requer uma coordenação contínua entre equipas.
O elemento humano por detrás do acesso
Na sua essência, o controlo de acesso é moldado por decisões humanas. A tecnologia impõe as permissões, mas são as pessoas que decidem quem tem acesso, quando e porquê.
Estas decisões são frequentemente tomadas sob pressão. Um novo titular precisa de acesso com urgência. Uma parte interessada sénior solicita permissões adicionais. O prazo de um projeto está a aproximar-se e não há tempo para questionar se o acesso é estritamente necessário.
Nesses momentos, a escolha segura nem sempre é a mais fácil. Sem uma orientação clara e processos consistentes, as pessoas optam por aquilo que as ajuda a avançar rapidamente.
É por isso que a sensibilização, por si só, não é suficiente: dizer às pessoas para seguirem as melhores práticas não resolve as pressões subjacentes que impulsionam o comportamento.
Rumo a um controlo que reflicta a realidade
A melhoria do controlo de acesso começa com o reconhecimento de que não se trata de um problema estático. Requer uma atenção constante e uma vontade de se adaptar à medida que a organização muda.
Isto significa rever regularmente quem tem acesso e se este ainda faz sentido. Significa criar processos que facilitem a remoção do acesso à medida que as funções evoluem, e não apenas a sua concessão. Significa também criar uma imagem mais clara do acesso em toda a organização, para que as decisões sejam baseadas em informações reais e não em suposições.
Igualmente importante é estabelecer uma propriedade clara. Quando a responsabilidade pelo controlo de acesso é partilhada, mas não definida, torna-se difícil promover uma mudança significativa. A atribuição de responsabilidades ajuda a garantir que o acesso é gerido ativamente e não herdado passivamente.
A tecnologia tem um papel a desempenhar neste domínio, especialmente na automatização de partes do processo e na melhoria da visibilidade. No entanto, tem de ser apoiada por uma cultura que reconheça o acesso como uma parte essencial da segurança e não apenas como uma tarefa administrativa.
Porque é que este risco continua a ser ignorado
O controlo de acesso danificado nem sempre parece urgente até que algo corra mal. Não gera os mesmos alertas imediatos que outros tipos de ameaças e muitas vezes fica em segundo plano. Não gera os mesmos alertas imediatos que outros tipos de ameaças e, muitas vezes, fica em segundo plano.
Isto facilita a despriorização, mesmo que o impacto potencial seja significativo.
A realidade é que muitos incidentes de segurança não começam com ataques sofisticados. Começam com um acesso que nunca foi revisto, nunca foi removido ou nunca foi totalmente compreendido.
Para resolver este problema, é necessário mudar a forma como as organizações pensam sobre o acesso. Trata-se de um processo contínuo que reflecte a forma como as pessoas trabalham, como os sistemas são utilizados e como o risco evolui ao longo do tempo.
Como é que o MetaCompliance pode ajudar
Na MetaCompliance, abordamos o controlo de acesso através da lente do risco humano.
Compreender quem tem acesso é apenas uma parte do quadro. O que é igualmente importante é a forma como as decisões sobre o acesso são tomadas, como os comportamentos se desenvolvem ao longo do tempo e onde é provável que surjam lacunas.
A nossa abordagem combina uma formação formação de sensibilização para a segurança com conhecimentos comportamentais, ajudando as organizações a irem além das orientações genéricas e a concentrarem-se nas áreas onde o risco está realmente a aumentar. Ao medir a forma como as pessoas interagem com os sistemas e ao identificar padrões de comportamento, ajudamos as equipas a compreender onde o controlo de acesso está a falhar e porquê.
Como parte disto, apoiamos as organizações com formação alinhada com os riscos do mundo real, incluindo as 10 principais vulnerabilidades da OWASP, como o controlo de acesso quebrado. Isto ajuda as equipas a ir além da teoria e a compreender como estas questões aparecem nas decisões do dia a dia, desde o excesso de permissões até às revisões de acesso falhadas.
Também trabalhamos com organizações para criar programas que apoiem uma melhor tomada de decisões sobre o acesso ao longo do ciclo de vida dos funcionários, desde a integração e as mudanças de funções até às revisões contínuas do acesso. O objetivo é ajudar as pessoas a reconhecerem onde o risco se pode desenvolver e dar-lhes formas práticas de o reduzir sem abrandar o negócio.
Se o controlo de acesso parece ser um desafio em constante evolução, é porque o é. A chave é ter a visibilidade, o conhecimento e o apoio necessários para o gerir com confiança.