Um bom gerenciamento do ciclo de vida pode tornar o gerenciamento de identidades e acesso mais eficiente, simplificar os processos de conformidade normativa, garantir que os funcionários tenham acesso aos recursos de que precisam e ajudar as organizações a avançar em direção a confiança zero.
Por mais significativos que sejam os benefícios de um bom gerenciamento do ciclo de vida, os riscos resultantes de ruim O gerenciamento do ciclo de vida é ainda mais convincente. As organizações que não conseguem instituir boas práticas de gerenciamento do ciclo de vida correm o risco de abrir a porta para ataques baseados em credenciais com consequências potencialmente devastadoras.
Com mais funcionários do que nunca deixando seus cargos, integrando-se ou mudando de posição em uma organização, é provável que a Grande Demissão exacerbe essas consequências, ressaltando a necessidade urgente de gerenciamento do ciclo de vida. Veja a seguir os perigos com os quais as organizações devem se preocupar e o que elas podem fazer para minimizar os riscos de governança e de ciclo de vida:
O gerenciamento deficiente do ciclo de vida pode levar a contas não governadas (incluindo contas de serviço, contas inativas, contas órfãs e contas com direitos excessivos) que as equipes de segurança não monitoram - e talvez nem saibam disso. Essa falta de visibilidade das contas aumenta o risco ao expandir a superfície de ataque disponível para os agentes de ameaças.
O aprimoramento do gerenciamento do ciclo de vida reduz os riscos ao fornecer visibilidade constante de quem são os usuários, a que eles têm acesso, o que estão fazendo com esse acesso, por que precisam dele e - talvez o mais importante - quando o acesso termina ou muda. Isso permite que as equipes de segurança vejam o que proteger, como é a atividade de linha de base legítima, quem são (ou não são) os usuários legítimos e quando é hora de remover uma conta porque ela não está mais em uso ativo.
Como ninguém monitora as contas que não estão em uso ativo, um possível invasor pode passar um tempo ilimitado procurando por uma conta desse tipo e descobrindo como invadi-la. Quando isso acontece, não há limite para os danos que podem ocorrer; depende apenas de quanto tempo o hacker pode trabalhar sem ser detectado e de quanto acesso a conta comprometida oferece a ele.
Na maioria das vezes, essas violações dão aos criminosos cibernéticos tempo e oportunidades suficientes. E se você estiver procurando o pior exemplo do que um agente de ameaças pode fazer nesse tempo, lembre-se de que o Colonial Pipeline O ransomware começou quando um hacker invadiu a rede da empresa por meio de uma conta VPN que não estava mais em uso - e também desprotegida por autenticação multifatorial.
Não são apenas as pessoas de fora que representam uma ameaça quando se trata de contas inativas. Um usuário que deixa uma organização em más condições, por exemplo, pode causar estragos usando suas credenciais para continuar acessando informações ou recursos confidenciais indefinidamente - ou pelo menos até que a equipe de segurança tome conhecimento do problema. E se uma conta não for monitorada regularmente ou não for controlada de outra forma, isso pode levar muito tempo.
A implementação de um gerenciamento regular e disciplinado do ciclo de vida é mais desafiadora do que nunca; as pessoas têm acesso a mais recursos do que nunca e seu acesso está mudando constantemente. E isso antes de levar em conta mudanças mais amplas, como o desafio adicional de gerenciar o acesso de uma força de trabalho que, de repente, se tornou 100% remota há alguns anos - e que agora está passando por um êxodo em massa como nunca vimos. Nessas circunstâncias, é difícil acompanhar atividades como revisão de privilégios de acesso, atribuição e gerenciamento de direitos, rastreamento da atividade de acesso e encerramento do acesso em tempo hábil quando alguém sai ou muda de função.
Para acompanhar o ritmo das mudanças de acesso atuais, é importante não apenas adotar o gerenciamento do ciclo de vida, mas também buscar soluções que automatizem os processos associados às revisões de acesso e outras atividades de gerenciamento do ciclo de vida. É ainda melhor quando as atividades automatizadas de gerenciamento do ciclo de vida fazem parte de um confiança zero abordagem de segurança em que a confiança na identidade do usuário e nos privilégios de acesso nunca é assumida. A visibilidade do acesso proporcionada por um bom gerenciamento do ciclo de vida é essencial para levar uma organização à confiança zero.
O gerenciamento inadequado do ciclo de vida pode ter consequências desastrosas, mas o gerenciamento eficaz do ciclo de vida pode ajudar as organizações a evitar os piores resultados e a obter novos benefícios.
Saiba o que procurar em uma solução e como Governança e ciclo de vida da SecurID pode ajudar.
