Superando os desafios da equipe de segurança com contas locais na nuvem e SaaS

As contas locais em aplicativos de nuvem e SaaS — contas de usuário criadas diretamente nos aplicativos em vez de por meio do Okta — representam um risco significativo para as organizações. Essas contas aumentam a superfície de ataque, dando aos agentes de ameaças mais oportunidades de explorar vulnerabilidades e obter acesso não autorizado a dados confidenciais e sistemas críticos. 

As equipes de segurança lutam para obter visibilidade das contas locais e de sua postura de segurança devido à propriedade fragmentada, complexidade ambiental e falta de ferramentas. Depois de detectar contas locais, eles desejam priorizar as mais críticas e acionáveis primeiro e proativamente reduzir o risco, garantindo uma remediação automatizada.

A realidade do gerenciamento de contas locais: É complicado.

Idealmente, todos os usuários de aplicativos downstream devem ser gerenciados por um armazenamento de usuário central no provedor de identidade (IdP), como o Okta Lifecycle Management. No entanto, muitas organizações ainda criam frequentemente contas locais, seja porque não implementaram esses recursos de centralização ou porque seus processos de automação e aplicação estão incompletos, resultando em uma falta de sincronização abrangente entre o IdP e os aplicativos downstream.

Algumas das lacunas de gerenciamento mais comuns com contas locais incluem:

1. Autenticação Insegura — As contas locais não estão sujeitas a políticas de autenticação multifator (MFA) centralizadas, atualizações regulares de senha e políticas de sessão baseadas em risco (como o Universal Logout) aplicadas pela Okta.
2. Acesso não seguro—Funcionários desligados ou aqueles que mudaram de função podem ainda reter acesso.
3. Privilégios excessivos — Como as contas locais são menos visíveis e excluídas das revisões de acesso, elas tendem a ter privilégios excessivos, carecem de proprietários claros e permanecem ativas mesmo que não sejam utilizadas. 
4. Falta de monitoramento — A atividade da conta local geralmente não é monitorada em comparação com as contas gerenciadas centralmente, portanto, atividades não autorizadas não são detectadas pelo SOC e incidentes não podem ser prevenidos e remediados de forma eficaz.

Como resultado, essas lacunas podem impactar significativamente sua superfície de ataque de segurança de Identidade e se tornar:

1. Alvos principais para ataques — Atores de ameaças podem explorar essas vulnerabilidades para obter acesso não autorizado a dados críticos e infligir danos.
2. Violações de conformidade — Pontos ocultos comuns na auditoria incluem permitir acesso não autorizado, controles de autenticação adequados não sendo implementados e segregação insuficiente de deveres —, todos os quais são cruciais para estruturas como SOX, SOC2, PCI-DSS, NIST e CIS.

Como as equipes de segurança podem lidar melhor com as contas locais?

Então, o que as equipes de segurança modernas podem fazer? A resposta é aplicar uma estrutura simples, focada na postura de Identidade, que estabelece a seguinte sequência de etapas:

1. Prevenção: Elimine a criação de contas locais implementando o provisionamento do Lifecycle Management.
2. Visibilidade contínua: Tenha um inventário abrangente e atualizado de suas identidades mais importantes.
3. Detecção proativa: Identifique automaticamente contas locais e desvios de SSO. 
4. Coletar contexto para priorização:
   1. A conta de usuário ou seus privilégios estão em uso?
   2. Está protegido pelas políticas de autenticação de aplicativos downstream?
   3. Qual é o raio de explosão?
   4. Quais métodos de login estão configurados (por exemplo, chave de API) além de nome de usuário e senha, ou o SSO está configurado além do login local?
5. Remediação
   Selecione um plano de remediação com uma compensação entre a redução imediata do risco e a minimização do atrito nos negócios. 
   1. Desativar conta local:
      1. Imediatamente
      2. Após a campanha de revisão de acesso (por exemplo, com o Okta Identity Governance)
   2. Mantenha a conta local habilitada, mas reduza o risco.
      1. Remover permissões privilegiadas (manter o usuário habilitado)
      2. Redefinir senha
      3. Habilitar o MFA no aplicativo downstream
   3. Substituir o usuário local por um usuário gerenciado por IdP

Como a Okta pode ajudar?

Com o Okta Identity Security Posture Management, a Okta oferece uma solução geral que pode ajudá-lo a reduzir o risco de segurança relacionado a contas locais Cloud/SaaS. Aqui estão os 3 principais recursos críticos para as equipes de segurança:

1. As equipes de TI podem configurar o gerenciamento do ciclo de vida para garantir a prevenção simplificada da criação de contas locais por design.
2. As equipes de segurança podem usar o Identity Security Posture Management para confiar, mas verificar as configurações da equipe de TI. Eles podem obter visibilidade das contas locais com contexto sobre seu alinhamento de controles de segurança e priorizar aqueles que são mais importantes.
3. As equipes de segurança e TI podem configurar o Okta Workflows para garantir a autorremediação de novos problemas detectados para que nenhum risco crítico seja perdido.

O Okta Identity Security Posture Management faz parte do Compromisso de Identidade Segura da Okta — o plano de longo prazo da Okta para liderar o setor na luta contra ataques de identidade. Estamos comprometidos em fornecer aos clientes os produtos e serviços de que precisam para proteger a identidade no cenário de ameaças em constante mudança de hoje. 

Estamos aqui para ajudar, então entre em contato com seu gerente de produto hoje mesmo para ver como o Okta Identity Security Posture Management pode ajudá-lo a melhorar seu gerenciamento de postura de segurança de identidade e reduzir o risco de violação.