Princípio do menor privilégio: a estratégia de limitar o acesso ao que é essencial
Talvez você não tenha reparado isso mas desde sempre tentamos fazer com que as pessoas vejam apenas o que queremos ou acessem apenas o que queremos, seja em um prédio que você trabalha e acaba dando credenciais para acessar apenas certos andares, uma casa que você aluga que existe uma regra de que um quarto em especifico não pode ser acessado.
É de se notar que sempre tentamos limitar o acesso as pessoas em determinadas áreas por questões de segurança ou até privacidade, e acaba que isso em partes faz parte de um importante princípio na segurança da informação chamado "Princípio do menor privilégio" e nesse artigo irei lhe mostrar a importância da aplicação desse princípio e os benefícios que você terá ao começa-lo a praticar em seus projetos.
Um conceito para lá de simples
O princípio do privilégio mínimo (PoLP, na sigla em inglês) é um conceito de segurança da informação no qual um usuário recebe os níveis mínimos de acesso necessários para desempenhar suas funções de trabalho. É uma prática muito recomendada, além de ser uma etapa fundamental na proteção do acesso privilegiado a dados e ativos de alto valor. Esse conceito acaba sendo uma releitura da frase “Menos é Mais” de Ludwig Mies van der Rohe, um dos arquitetos mais influentes do Século XX. Ou seja, menos privilégios, mais segurança.
Entretanto, na segurança voltada a aplicações, o privilégio mínimo vai além do acesso humano. Afinal, pode ser estendido a aplicativos, sistemas ou dispositivos conectados que requerem privilégios para executar uma tarefa automática. Isso garante que a ferramenta não humana tenha o acesso necessário e nada mais.
Nesse contexto, a aplicação de privilégios mínimos requer uma maneira diferenciada de gerenciar e proteger de forma centralizada as credenciais, juntamente com controles flexíveis que podem equilibrar os requisitos de segurança da aplicação entrando em conformidade com as necessidades operacionais e do usuário final.
E quais são os benefícios?
Uma das primeiras vantagens que surgem com o princípio do menor privilégio é a redução da superfície de ataque. Claro que você pode ter um super usuário e isso é comum em qualquer sistema, pois você precisa geralmente de uma conta que possa fazer tudo e que possui funcionalidades para lá de complexas que só o administrador pode ter, e a maioria das invasões hoje depende da exploração de credenciais privilegiadas. Ao limitar o acesso de super usuário e administrador (que fornece aos administradores de acesso irrestrito aos sistemas), a imposição de privilégios mínimos ajuda a diminuir as possibilidades de ser vítima de um ciber crime.
Do mesmo modo, impede a propagação de malwares. Ao impor privilégios mínimos em endpoints, ataques do tipo não conseguem usar privilégios elevados para aumentar seu acesso e mover-se lateralmente para instalar ou executar malware ou danificar a máquina.
Além disso, o princípio do menor privilégio ajuda a simplificar a conformidade e as auditorias. Muitas políticas internas e requisitos regulatórios exigem que as empresas implementem a metodologia em contas privilegiadas, para evitar danos mal-intencionados ou não intencionais a sistemas críticos. A imposição de privilégios mínimos ajuda as empresas a demonstrar conformidade com uma linha de auditoria completa de atividades privilegiadas.
Como implementar
Em primeiro lugar, deve-se auditar todo o ambiente para localizar contas privilegiadas como senhas, chaves SSH, hashes de senhas e chaves de acesso no local, na nuvem, em ambientes DevOps e em endpoints. É necessário também eliminar privilégios de administrador local desnecessários, garantindo que todos os usuários humanos e não humanos tenham apenas os privilégios necessários para realizar seu trabalho.
Quanto às contas de administrador, o ideal é separá-las das contas padrão, isolando as sessões de usuários privilegiados. Nesse contexto, deve-se registrar as credenciais de conta de administrador privilegiado em um cofre digital, para começar a proteger e gerenciar essas contas.
Outro passo importante é, após cada uso, trocar todas as senhas de administrador para invalidar quaisquer credenciais que possam ter sido capturadas por softwares maliciosos, reduzindo ainda o risco de sofrer um ataque do tipo Pass the Hash, além de finalizar todas as sessões em que essas contas estão fazendo login.
É importante também monitorar todas as atividades relacionadas às contas de administrador, para permitir uma rápida detecção e o surgimento de alertas sobre atividades suspeitas que podem sinalizar um ataque em andamento. Assim, pode-se habilitar a elevação de acesso just-in-time, permitindo que os usuários acessem contas privilegiadas ou executem comandos privilegiados temporariamente, conforme necessário.
Mais algumas dicas
Quando as empresas optam por revogar todos os direitos administrativos dos usuários corporativos, a equipe de TI geralmente precisa conceder novamente tais privilégios para que eles possam executar determinadas tarefas. Por exemplo, muitos aplicativos legados e internos usados em ambientes de TI corporativos exigem privilégios para serem executados.
Para que os colaboradores usem esses softwares, a equipe de TI precisa devolver os privilégios de administrador local a alguns usuários. Depois que os privilégios são concedidos novamente, eles raramente são revogados. Dessa maneira, com o tempo, as empresas podem acabar com muitos de seus usuários com direitos de administrador local novamente.
É uma situação que reabre as brechas de segurança associadas a direitos administrativos excessivos. Tornam então as empresas mais vulneráveis, ainda que seus gestores acreditem que estejam mais bem protegidos.
Ao implementar controles de acesso com privilégios mínimos, as empresas podem ajudar a impedir o que se chama de “desastre de privilégios”, e garantir que usuários humanos e não humanos tenham apenas os níveis mínimos de acesso necessários.
Nesse contexto, o princípio do privilégio mínimo é um componente fundamental das estruturas de confiança zero. Centrado na crença de que as empresas não devem confiar automaticamente em nada dentro ou fora de seus perímetros, o Zero Trust exige que se verifique toda e qualquer ação que tente se conectar aos sistemas antes de liberar o acesso.
À medida que muitas empresas aceleram suas estratégias de transformação digital, elas estão mudando das abordagens tradicionais de segurança de perímetro para a estrutura Zero Trust com o intuito de proteger seus ativos digitais mais importantes algo que o princípio do privilégio mínimo ajuda a obter.