PAM Privileged Access Management.

PAM é o subconjunto do IAM centrado nas contas privilegiadas: administradores, root, contas de serviço, break-glass. Coloca credenciais em cofre, faz brokers de sessões, regista a atividade. É o primeiro alvo do atacante após o foothold inicial, e o controlo que os auditores testam com maior rigor no âmbito do NIS 2 e do DORA.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

A perspetiva da Cyber Academy

PAM é o subconjunto do IAM centrado nas contas privilegiadas: administradores, root, contas de serviço, break-glass. Coloca credenciais em cofre, faz brokers de sessões, regista a atividade. É o primeiro alvo do atacante após o foothold inicial, e o controlo que os auditores testam com maior rigor no âmbito do NIS 2 e do DORA.

Por que as contas privilegiadas são um problema à parte

Todo programa de identidade começa com os utilizadores comuns: quem são, o que podem abrir, como o comprovam. A gestão de acessos privilegiados (PAM) lida com as contas que se situam acima dessa camada. Administradores de domínio, contas root e de administrador local, proprietários de bases de dados, consolas de hipervisor, identidades root na cloud, contas de serviço que são executadas sem supervisão e as contas de emergência mantidas para situações críticas. Estas identidades podem alterar a configuração, ler ou destruir dados, desativar o registo e criar novas contas. O raio de impacto de uma única credencial de administrador comprometida é todo o ambiente, razão pela qual o PAM é tratado como uma disciplina autónoma e não como uma funcionalidade do IAM geral.

O gesto definidor do PAM consiste em deixar de tratar as credenciais privilegiadas como algo que uma pessoa simplesmente conhece. Em vez disso, o segredo reside num cofre, o acesso é solicitado e aprovado, a sessão é intermediada através de um gateway controlado, e tudo o que o utilizador privilegiado faz é registado. O humano muitas vezes nunca chega a ver a palavra-passe. Essa separação entre o operador e o segredo é o que torna a atividade privilegiada auditável e revogável.

O que um programa de PAM controla realmente

Na prática, uma implementação de PAM madura combina vários mecanismos que correspondem diretamente ao que os auditores esperam ver:

  • Armazenamento de credenciais em cofre: as palavras-passe privilegiadas, as chaves SSH e os segredos de API são armazenados de forma centralizada, rodados automaticamente e nunca incorporados em scripts ou ficheiros de configuração.
  • Intermediação e gravação de sessões: os administradores ligam-se através de um proxy que injeta a credencial, de modo que a sessão pode ser monitorizada, gravada e terminada sem que o operador chegue a deter o segredo.
  • Elevação just-in-time: os direitos são concedidos para uma tarefa definida e uma janela definida, depois revogados, em vez de ficarem atribuídos à conta de forma permanente.
  • Procedimentos de emergência (break-glass): as contas de emergência estão seladas, com alarme e revistas após cada utilização, de modo que existem para falhas genuínas sem se tornarem uma porta dos fundos silenciosa.
  • Descoberta e responsabilização: a ferramenta encontra contas privilegiadas e de serviço em todo o parque e associa cada ação privilegiada a um humano identificado pelo nome.
O PAM comparado com o IAM geral
DimensãoIAM geralPAM
ÂmbitoTodas as identidades e acessosApenas contas privilegiadas (admin, root, serviço, break-glass)
Questão centralEsta pessoa deve ter acesso?Como é este acesso elevado armazenado em cofre, intermediado e registado?
Gestão de credenciaisO utilizador autentica-se com a sua própria credencialO segredo é armazenado em cofre e injetado; o operador pode nunca o ver
Postura por defeitoDireitos persistentes geridos ao longo do tempoJust-in-time, limitado no tempo, revogado após a utilização
Foco da auditoriaRevisões de acesso e processo de entrada-mobilidade-saídaGravação de sessões, rotação, revisão de contas de emergência

Onde se situa o PAM no IAM e no panorama regulatório

O PAM é um subconjunto da gestão de identidades e acessos, restringido às contas que comportam maior risco, e é a ponta de lança do princípio do menor privilégio. O IAM geral pergunta se uma pessoa deve sequer ter acesso. O PAM parte do princípio de que o acesso é legítimo, mas insiste em que seja temporário, intermediado, registado e reversível. Os atacantes compreendem esta hierarquia: após um ponto de apoio inicial através de phishing ou de um serviço exposto, o objetivo seguinte é escalar para uma conta privilegiada, porque é isso que transforma um único host no controlo do domínio.

Os supervisores também o sabem. Ao abrigo da Diretiva NIS 2, o controlo de acessos e o tratamento das contas privilegiadas inserem-se claramente nas medidas de gestão de riscos de cibersegurança que as entidades essenciais e importantes têm de implementar. O Regulamento da Resiliência Operacional Digital (DORA) estabelece expectativas comparáveis para o setor financeiro, onde a autenticação forte e o controlo rigoroso dos acessos privilegiados fazem parte do quadro de gestão do risco das TIC.

O Anexo A da norma ISO/IEC 27001 aborda os direitos de acesso privilegiado e a gestão da informação secreta de autenticação como controlos nomeados. Numa auditoria, o acesso privilegiado é sistematicamente uma das áreas examinadas com maior rigor, porque um controlo fraco neste ponto compromete todas as outras salvaguardas.

Modos de falha comuns

Os programas de PAM falham de formas previsíveis. Contas de serviço com palavras-passe sem expiração codificadas diretamente na automação. Contas de administrador partilhadas em que ninguém consegue dizer quem agiu. Direitos de administrador local permanentes em cada posto de trabalho. Uma adoção do cofre que cobre os administradores interativos mas deixa intactas as identidades de máquina. A disciplina vale apenas o que vale a sua cobertura, pelo que o trabalho prático é a descoberta contínua e a remoção constante do privilégio permanente, e não uma única implementação.

Frequently asked questions

01O PAM é o mesmo que o IAM?

Não. O PAM é um subconjunto do IAM focado apenas nas contas privilegiadas, como administradores, root, contas de serviço e identidades de emergência. O IAM governa todos os acessos; o PAM aplica um armazenamento em cofre, uma intermediação e uma gravação mais rigorosos às contas com o maior raio de impacto.

02O que é uma conta de emergência (break-glass)?

É uma conta privilegiada de emergência mantida selada para situações em que as vias de acesso normais falham, como uma indisponibilidade do fornecedor de identidade. As suas credenciais são armazenadas em cofre e com alarme, e cada utilização desencadeia uma revisão para que a conta não se torne uma porta dos fundos silenciosa.

03Por que razão os atacantes visam primeiro o acesso privilegiado?

Após um ponto de apoio inicial, uma única credencial privilegiada pode conceder o controlo de todo o ambiente: alterar a configuração, desativar o registo e criar novas contas. Escalar para o privilégio é o que transforma um host comprometido numa violação à escala do domínio.

04A NIS 2 ou a DORA exigem PAM?

Nenhuma nomeia um produto, mas ambas exigem o controlo do acesso privilegiado. A NIS 2 inclui o controlo de acessos entre as suas medidas de gestão de riscos, e a DORA espera uma autenticação forte e uma gestão rigorosa do acesso privilegiado dentro do quadro de gestão do risco das TIC. O PAM é a forma como as organizações comprovam essas obrigações.

05O que é o acesso privilegiado just-in-time?

Significa conceder direitos elevados para uma tarefa específica e uma janela de tempo limitada, depois revogá-los automaticamente, em vez de deixar os privilégios atribuídos à conta de forma permanente. Reduz a janela em que uma credencial comprometida é útil.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.