Princípio do Privilégio Mínimo

Princípio do Privilégio Mínimo

Princípio do Privilégio Mínimo

Uma organização hoje possui centenas de funcionários e cada um possui suas próprias credenciais, um usuário e uma senha para ter acesso ao sistema e executar as suas funções. Alguns mais e outros menos, mas todo sistema possui ferramentas e informações para auxiliar as tarefas dos usuários. Muitas empresas permitem que todos os usuários tenham acesso irrestrito a estes recursos, justificando que os funcionários precisam destes ativos (dados, informações, recursos tecnológicos…) para trabalhar, mas não limitar estes acessos é um grande risco para qualquer organização.

Em 2016 a empresa de transportes privados urbanos Uber enfrentou alguns problemas com sua imagem diante dos clientes, pois cinco ex-funcionários do setor de segurança da empresa revelaram que uma ferramenta interna que permitia a visualização das informações de viagens de todos os clientes – God’s View – possuía acesso irrestrito, ou seja, todos os funcionários de qualquer departamento possuíam privilégios para utilizar a ferramenta. Estes ex-funcionários declararam que muitos empregados da empresa usavam a ferramenta não para trabalho e sim para descobrir onde atuais e ex-parceiros estavam e para onde iam, além de rastrearem da mesma forma celebridades e até mesmo políticos.

O “Princípio do Privilégio Mínimo” é um princípio de segurança da informação que orienta que os usuários não necessitam de permissões para acessar dados, aplicações e ativos em geral que não sejam necessários para as tarefas que exercem. Permitir segundo o dicionário significa: dar poder para dizer ou fazer algo. No contexto de segurança da informação as permissões dadas aos usuários lhes dão poder para fazer algo relativo aquilo dentro do sistema, em outras palavras as permissões atribuídas a um usuário ditam o que ele pode ou não fazer com os ativos do sistema que estão a sua disposição.

A ideia central deste princípio é não dar privilégios a um usuário mais do que ele necessita para executar suas atividades, ou seja, o mínimo de permissões possíveis. A ISO 27002 destaca que:

  • O usuário só precisa conhecer aquilo que necessita para desempenhar suas tarefas/função/papel;
  • E só precisa usar os recursos (informações, aplicações, documentos, equipamentos de rede/TI, salas…) que necessita para desempenhar suas tarefas/função/papel.

Em um sistema educacional, por exemplo, a permissão de leitura pode ser atribuída ao estudante, pois ele necessita consultar materiais didáticos e seu boletim, porém o mesmo estudante não precisa de uma permissão de escrita, pois esta permissão é adequada apenas ao professor que tem a responsabilidade de inserir notas e conteúdo para consulta.

O privilégio mínimo quando não considerado pode resultar no abuso de privilégios. Utilizando o exemplo do sistema educacional novamente, se o estudante possuísse direitos de leitura e escrita poderia abusar dos seus privilégios e se auto atribuir uma nota maior em um teste que tenha se saído mal, por exemplo.

Credenciais com altos privilégios são chamados em muitos frameworks como “as chaves do reino”, pois abrem as portas para recursos essenciais da organização. Infelizmente as estações de trabalho ainda são os componentes mais vulneráveis do sistema e por isso são os alvos de criminosos para acessar toda a infraestrutura da organização.

Em muitas empresas em contas locais o perfil padrão dos usuários é de administrador, o que repercute em usuários com privilégios a mais do que de fato necessitam e possíveis abusos destes privilégios. Entretanto uma vez que o sistema seja comprometido e o acesso a esta conta seja alcançado o hacker terá a visibilidade total do sistema podendo acessar muitos recursos como estações e servidores, dados críticos e infinitas informações do sistema.

Um exemplo real disso ocorreu em 2017 com o ransomware “WannaCry” que infectou máquinas com privilégios de administrador local e por isso conseguiu infectar toda a rede.

Se um hacker obtiver acesso ao sistema através de uma credencial com privilégios mínimos o dano desta invasão será menor, pois a visualização do sistema é restrita a uma parte de todo o sistema.

Um outro conceito de segurança da informação se relaciona muito bem com este princípio é o Zero Trust, ou Zero Confiança que diz que: mesmo que algo tenha sido requisitado ou realizado por algum usuário teoricamente confiável, a recomendação diz que sempre deve ser verificado. Ou seja, mesmo com somente os privilégios necessários tudo o que aquela credencial realiza deve ser verificado.

Dentro disto é fácil associar o princípio do privilégio mínimo apenas aos usuários internos, porém fornecedores, consultores, terceiros e provedores de serviço têm acesso aos recursos do sistema também e este acesso precisa estar até mais protegido do que o acesso de um colaborador interno. As credenciais e usuários tem uma grande relevância na segurança de todo sistema e entender isso ajuda na implementação do princípio.

Neste cenário conseguimos indicar algumas boas práticas para a implantação desse princípio:

  1. Mapear e classificar os ativos: é fundamental saber quais os ativos que são de suma importância para a empresa e que precisam ter acesso restrito e associar as credenciais privilegiadas a eles; e aqueles que são considerados privados ou até mesmo públicos para definir quem terá acesso;
  2. Definir uma matriz de responsabilidades: conhecer quem precisa ter acesso ao sistema e entender quais usuários estão associados a estes e o que cada usuário faz (tarefas/atividades), como faz e definir quais os recursos e ativos ele de fato necessita para exercer sua função;
  3. Estabelecer uma cultura: a ISO 27002 sugere que a regra do “Tudo é proibido, a menos que expressamente permitido” seja adotada por todos;
  4. Restringir a quantidade de perfis administrativos: desabilitar contas administrativas desnecessárias e ficar com a quantidade mínima atribuindo aos usuários que realmente exercem tal função;
  5. Implementar controles de acesso de acesso e autenticação: aderir ao sistema mais camadas de segurança a informações e permitindo que somente quem possui autorização para a tal continue sua tarefa;
  6. Criar uma hierarquia de permissionamento: caso existir uma situação em que o usuário necessite executar alguma tarefa fora do seu permissionamento solicitar esse privilégio temporário ao seu superior ou administrador do sistema;
  7. Auditar: controlar os acessos e privilégios concedidos e assim conseguir entrar em conformidade com diversos regulamentos.

Porém para muitas organizações o fato de diminuir o número de contas administrativas e diminuir os privilégios de usuários é um empecilho as suas atividades, os processos podem se tornar mais lentos já que algumas tarefas exigem vez ou outro acesso privilegiado para serem concluídas e um procedimento de solicitação e espera de permissionamento pode ser demorado e congelar processos.

  • Itens que podem auxiliar na adoção do princípio do privilégio mínimo.

Ferramentas de compliance podem auxiliar e indicar como o princípio pode ser implementado e ainda tornar outros processos mais robustos e seguros, entres os que existem podem ser citados: SOX, ISO 27000, PCI DSS e outros.  

Outra alternativa pode ser uma solução PAM que pode auxiliar na administração dessas solicitações de acesso e em outras situações da implantação do princípio do mínimo privilégio. A solução PAM permiti, por exemplo, a definição de usuários administradores ou grupo de usuários que terão certos tipos de acessos e permissões em relação um dispositivo-alvo ou sistema, além de gerenciar o ciclo completo destas credenciais, faz isso através de:

  • Revisão e remoção de acessos desnecessários;
  • Segregação de funções no ambiente;
  • Utilização de trilhas de auditoria para detecção de não conformidades;
  • Adoção de alertas em tempo real através de análise de padrões para detecção de atividade suspeita.

Também podem ser adotado um controle de aplicações, onde somente aplicações inseridas em uma whitelist podem ser executadas, mesmo que o usuário não possua privilégios para isso e outras em uma blacklist para aplicações que jamais devem ser executadas mesmo que o usuário tenha privilégios para tanto.

Estes itens podem auxiliar na implementação, mas não são os únicos, podem ser encontrados outros melhores e mais adaptáveis as necessidades de negócio para preparar as organizações para adoção deste princípio.

Usuários com altos privilégios são um prato cheio para atacantes e razão de muitos incidentes de segurança devido ao abuso de privilégios, porém este cenário pode ser facilmente contornado com uma estratégia baseado no princípio do mínimo privilégio. Porém não é um princípio aplicado da noite pro dia, mas cabe aos envolvidos analisar o ambiente corporativo, planejar e encontrar a melhor maneira de adota-lo seja com ajuda de ferramentas, soluções ou normas.    

2019-06-12T16:57:59-03:00

Deixe seu comentário