PASM x PEDM – Como escolher a melhor abordagem para o seu negócio?
Pelo segundo ano consecutivo, o Privileged Access Management (PAM) está listado como uma das principais prioridades de segurança do Gartner. Apesar de existirem há décadas, as ferramentas PAM são cada vez mais vitais à medida que os privilégios de acesso se tornam mais complexos. Na verdade, os especialistas preveem que mais de dois terços das empresas implementarão o gerenciamento de acesso privilegiado em seus ativos nos próximos anos.
Devido à evolução do PAM, o Gartner estabeleceu duas classificações adicionais para destacar as diferentes abordagens de soluções PAM. Assim, temos o Privileged Account and Session Management (PASM) e o Privileged Elevation and Delegation Management (PEDM). Ambas as abordagens fazem uso do princípio do menor privilégio, que estabelece que os usuários apenas tenham o acesso necessário para o desenvolvimento de suas funções. Embora essas abordagens tenham o mesmo objetivo, o PASM e PEDM implementam de formas diferentes os mecanismos de como as contas de usuários privilegiados são protegidas e acessadas.
Confira a seguir os principais recursos oferecidos pelas soluções PASM e PEDM e entenda os benefícios de cada abordagem para o seu negócio.
Principais recursos das soluções PASM
As soluções PASM permitem que as credenciais de contas privilegiadas sejam criadas com segurança e distribuídas exclusivamente pela solução Esse mecanismo é semelhante ao funcionamento de um cofre de senha. Assim, quando os usuários precisam acessar um servidor ou sistema específicos, eles solicitam acesso e recebem uma conta temporária com todos os privilégios. Esta conta de acesso é válida apenas para uma única sessão e toda a atividade da sessão é monitorada e registrada.
É importante prestar atenção se os recursos oferecidos pelas soluções PASM do mercado englobam os principais recursos da abordagem, por isso, listamos abaixo os recursos essenciais presentes em soluções PASM:
- Cofre de senhas: é necessário um cofre de senhas com criptografia para o armazenamento seguro das credenciais de contas privilegiadas, tais como chaves privadas e senhas.
- Sessão única: uma única sessão deve ser estabelecida para cada usuário privilegiado com o objetivo de garantir melhor visibilidade de suas ações.
- Monitoramento de sessão em tempo real: é necessário ter uma visão em tempo real das sessões privilegiadas para monitorar e encerrar atividades suspeitas ou sessões não autorizadas.
- Gravação e reprodução da sessão: todas as sessões privilegiadas devem ser gravadas, armazenadas e ordenadas de forma simples de pesquisa.
- Alteração regular das senhas: é uma boa prática alterar as senhas em intervalos definidos (semanal, mensal ou trimestral) ou após eventos específicos (como incidentes de segurança).
- Controle de acesso para contas compartilhadas: o acesso a contas compartilhadas pode ser concedido com base em aprovações adicionais definidas no fluxo de aprovação ou no uso de uma autenticação multifator (MFA) de alta confiança.
- Recursos de auditoria e relatórios: uma solução PASM deve ter os recursos de auditoria e relatórios para fornecer informações detalhadas sobre contas privilegiadas e suas atividades.
Principais benefícios das soluções PEDM
Em vez de usar contas com privilégios temporários (como as soluções PASM), as soluções PEDM distribuem os privilégios de acesso de acordo com as funções de trabalho dos usuários. Assim, as soluções PEDM definem quem pode ter acesso aos sistemas, bem como o que pode ser feito com esse acesso.
A seguir, descrevemos como os principais recursos de uma solução PEDM contribuem positivamente para o bom uso do Privileged Access Management (PAM):
- Fortalecimento do princípio do mínimo privilégio: soluções PEDM são capazes de reduzir os riscos dos acessos privilegiados, porque os privilégios serão concedidos em um nível granular, com a capacidade de atribuir privilégios específicos a um usuário para a execução de uma determinada ação. Além disso, as ferramentas PEDM aplicam o conceito de segregação de privilégios, estabelecendo um contexto de segurança para sistemas e processos, no lugar de ser pelo usuário.
- Sistemas críticos: o uso do PEDM permite a proteção de sistemas críticos por meio do controle de sessão e aplicativo de sistema local e gerenciamento de processos. Ou seja, é possível desenvolver workflows combinados com o acesso do usuário e privilégios necessários.
Como escolher entre o PASM e PEDM para o seu negócio?
Quando falamos de segurança cibernética, não é possível escolher uma única definição, pois os vários componentes de sua infraestrutura podem exigir soluções diferentes. Soluções como cofres de senhas costumam funcionar melhor para aplicativos individuais, porém infraestruturas críticas como um ambiente de servidor exigem uma solução PEDM. Por isso, comparamos como as soluções PASM e PEDM implementam os princípios do Privileged Access Management (PAM), dessa forma, você será capaz de entender o que pode funcionar melhor para o seu negócio.
| PASM | PEDM | |
| Privilégio | As ferramentas PASM fazem uso de uma estratégia “oito ou oitenta” quando se trata de privilégios. Isso acontece porque as contas de usuário padrão não possuem privilégios administrativos, porém as contas compartilhadas possuem acesso administrativo completo. É necessário que os usuários passem por um workflow de aprovação para utilizar uma dessas contas compartilhadas. | Enquanto isso, o PEDM faz uso de controles de acesso granulares para conceder aos usuários apenas o privilégio necessário de acordo com o seu perfil ou função de trabalho. Cada função recebe privilégios limitados com base no uso esperado do ambiente da empresa. |
| Contas e Senhas | O PASM estabelece contas compartilhadas que possuem privilégios administrativos completos. Como essas contas não pertencem a um único usuário, elas são disponibilizadas quando alguém precisa de acesso adicional. Para manter todo o processo seguro, os usuários não possuem acesso a senha da conta compartilhada e todas as vezes uma nova sessão é iniciada quando alguém está fazendo uso da conta. | As ferramentas PEDM, por outro lado, se concentram nas contas de usuário padrão. Os usuários obtêm acesso por meio de suas próprias contas, usando sua senha normal. |
| Monitoria | Como as ferramentas PASM permitem que os usuários tenham acesso administrativo total por um período limitado de tempo, cada sessão é cuidadosamente monitorada. | Como nenhum usuário possui privilégios administrativos completos, o monitoramento é menos crítico para as ferramentas PEDM. |
As duas abordagens são complementares e, por isso, recomenda-se a implementação de ferramentas PASM e PEDM simultaneamente na mesma empresa. Porém, o mais sensato é começar com apenas um conjunto de ferramentas. Sendo assim, as soluções PASM são mais recomendadas para uma implementação inicial do PAM, pois ajudam a estabelecer uma base sólida, porém à medida que a empresa cresce em tamanho e tecnologia, um PEDM ajudará a manter e reforçar essa base.
senhasegura, uma das melhores entre as soluções PASM e PEDM
O Gartner, uma das mais respeitadas instituições de pesquisa e consultoria de tecnologias do mundo, divulgou recentemente um novo relatório denominado Critical Capabilities for PAM, o qual avalia a tecnologia PAM e sua capacidade de executar e fornecer a funcionalidade necessária para o universo da cibersegurança. O documento, que avalia os três pilares críticos de PAM (PASM, PEDM, Secret Management), posicionou o senhasegura em 3º lugar, dentre as principais empresas globais que oferecem esses recursos.
Esse é um relatório importante para todos os gestores e profissionais de cibersegurança conhecerem os requisitos técnicos das ferramentas PAM ofertadas pelos principais fornecedores mundialmente. Acesse o link e baixe agora mesmo o documento.