Uma grande parte dos investimentos no combate à vulnerabilidade dos sistemas informacionais está indo embora devido à falta de políticas de controle de identidades e credenciais de privilégio que dão acesso a dados, aplicações e serviços estratégicos de diferentes níveis.

O problema vai muito além da proliferação de senhas criadas pelo usuário final, e que frequentemente permanecem ativas mesmo depois do desligamento profissional do seu criador.

O descontrole mais grave envolve aquelas permissões que dão status de administrador ou autoridade hierárquica. Em parte, este tipo de credencial é gerado para suprir necessidades do comando empresarial, afetando um pequeno número de gestores.

Mas a maioria das permissões de privilégio é representada por chaves de finalidade técnica, criadas para assegurar acesso pontual a partes sensíveis do sistema.

O número de senhas produzidas nas corporações para viabilizar tarefas corriqueiras é grande, como a configuração de um periférico ou a ativação de regras de negócio, e que são usadas por anos, quando deveriam ter sido eliminadas e substituídas imediatamente após a utilização a que se destinavam.

Ainda existe uma infinidade de credenciais de privilégio embutidas em aplicações que viabilizam sua interelação com outras entidades da rede ou do ambiente de software. Tais senhas de aplicação são fixadas no instante da integração do sistema e muitas vezes esquecidas ou até ignoradas pelas equipes responsáveis.

Isso é um alto riso que se dá pelo fato de que a posse de uma única destas chaves por um agente interno ou externo mal intencionado pode criar as condições para se alterar ou vasculhar toda a extensão do ambiente operacional, propiciando a captura do acervo de senhas disponíveis independentemente de seu nível.

De acordo com estudos, concluiu-se que entre empresas norte-americanas que dispõem de CIO e profissionais dedicados à segurança, nada menos que 86% se consideram vulneráveis a ataques praticados para a obtenção dessas credenciais de privilégio.

Já no Brasil, a situação é considerada bem pior:

Apenas 50% dos órgãos de governo e das empresas estatais dispõem de um profissional de segurança digital, segundo pesquisas.

A incapacidade das empresas em criar inventários fidedignos de suas senhas e identidade de acesso está entre os fatos mais críticos, o que impede o estabelecimento de qualquer controle sobre seu ciclo de vida ou sobre o nível atual de legitimidade de seus portadores.

Em um documento publicado, foram abordadas seis recomendações de segurança criadas pela NSA (Agência Nacional de Segurança dos EUA) para as empresas do governo norte-americano e que poderiam ser seguidas pelas corporações brasileiras.

A primeira é a de não permitir o acionamento remoto de qualquer tipo de ação que dependa de credencial de privilégio, medida que cumpre o ideal de restringir a vulnerabilidade apenas ao agente interno sobre o qual o controle deve se ampliar substancialmente.

Esse controle ampliado é expresso em todas as demais recomendações, como a de criar restrições de validade das credenciais, apenas para sistemas específicos, sem que um agente isolado possa navegar ao longo de todas as áreas ou fazer uso indiscriminado dos serviços.

Isto se faz, por exemplo:

1.    Através do emprego combinado de senhas com dispositivos “token”;

2.     Pela exigência de resposta a questões de ordem pessoal (seu aniversário de casamento, o nome do filho mais velho);

3.     A requisição de junção de partes de senhas randômicas, distribuídas entre dois ou mais indivíduos no instante da solicitação do acesso.

Com o atual nível de universalização dos smartphones dotados de recursos como câmera, scanner, microfone, Bluetooth, etc, é bem provável que aplicações de segurança de acesso comecem a explorar tais recursos, por exemplo, combinando a senha de acesso com uma leitura do “selfie” do usuário.

Em casos extremos (como risco de terrorismo), pode-se estabelecer o cruzamento entre a posição GPS do indivíduo com seu nível de permissão de acesso, levando-se em consideração variáveis dinâmicas de acesso, como data e hora da requisição associada ao perfil do usuário.

O fato é que o modelo de senha, desde o início da predominância do chamado teclado QWERTY, já se tornou uma garantia de sucesso fácil para os atacantes profissionais. Ao mesmo tempo, a sua gestão confusa e ultrapassada tende a transformar a credencial de privilégio em um instrumento de ameaça em mãos do usuário interno malicioso, até mesmo o terceirizado ou aquele que pulou para a concorrência.

Essa questão da gestão e do modelo do emprego de senhas e credenciais de privilégio vai se tornando, portanto, um ponto crucial para a indústria de segurança. E pode ser que, nos próximos anos, as estatísticas dos grandes players da área passem a priorizar o enfoque sistemático do problema, deixando em segundo plano aqueles monótonos relatórios que tratam da infantilidade e inutilidade das senhas “fáceis de memorizar”, como a fatídica “123456”, que são empregadas pelas grandes massas globais de usuários.

Fonte

Acesso a matéria