Por Mike Costello
Para o Identity Management Day, os editores da Solutions Review compilaram uma lista de comentários de alguns dos principais especialistas do setor.
Como parte do Identity Management Day – Dia do Gerenciamento de Identidade em 12 de abril, convocamos os melhores e mais brilhantes do setor para compartilhar seus comentários sobre Gerenciamento de Identidade.
Os especialistas apresentados representam alguns dos principais provedores de soluções de segurança cibernética com experiência nesses mercados, e cada projeção foi avaliada quanto à relevância e capacidade de agregar valor aos negócios.
13 Citações do Dia do Gerenciamento de Identidade de Especialistas
Paul Martini, CEO da iboss
Garantir que a identidade de cada usuário seja adequadamente gerenciada, protegida é uma das tarefas mais importantes de qualquer organização moderna.
O Identity Management Day é uma oportunidade para todas as empresas considerarem como estão protegendo os usuários.
Ao modernizar a abordagem herdada, que valida a identidade apenas no momento do login, para uma abordagem Zero Trust mais moderna, que valida a identidade para cada solicitação de dados e aplicativos protegidos, as organizações podem reduzir bastante o risco de violações e perda de dados. Isso garantirá que usuários e dispositivos violados tenham acesso a recursos confidenciais assim que o risco for identificado, em vez de aguardar a próxima vez que o usuário for solicitado a fazer login novamente.
Chris Hickman, CSO da Keyfactor
A iniciativa do Google de reduzir a vida útil dos certificados de 398 dias para 90 dias complicaria ainda mais os desafios atuais de gerenciamento de identidades.
É um salto significativo e exigiria um grau mais alto de automação para gerenciar atualizações frequentes ou muito mais trabalho manual para acompanhar.
Hoje, as organizações já lutam para gerenciar e proteger certificados adequadamente, com 77% das organizações relatando uma interrupção nos últimos 24 meses e 53% reconhecendo a falta de recursos para fazer isso.
A redução do tempo de vida pode ser comparada a forçar os indivíduos a renovarem sua licença/ID, a cada três meses.
A realidade é que muitos certificados não são gerenciados adequadamente, e isso destaca esse problema. Existem outras organizações que emitem certificados de vida curta; em um mundo onde o cenário de ameaças muda constantemente, os certificados roubados são um problema.
Quanto menor a janela de oportunidade para usar um certificado roubado, maior a confiança que você pode depositar na autenticidade do dispositivo ou carga de trabalho que apresenta essa credencial digital.
Esta é uma conversa importante para se ter no Dia do Gerenciamento de Identidade porque todo dispositivo precisa de uma identidade, que vem na forma de certificados digitais.
Os certificados precisam ser gerenciados adequadamente para que as organizações tenham confiança na confiança digital de sua rede. As interrupções são caras e podem ser prejudiciais. Se as equipes de segurança já estão lutando para gerenciar e proteger adequadamente as identidades das máquinas com certificados com vida útil de 398 dias, imagine o caos que uma vida útil de 90 dias poderia instituir.
Sean Deuby, Tecnólogo Principal, América do Norte na Semperis
Como os invasores se concentraram nas identidades e credenciais do usuário, usando táticas como preenchimento de credenciais ou phishing para obter acesso às redes, os defensores fizeram o mesmo, procurando implementar o gerenciamento de identidade e acesso, arquiteturas Zero Trust e outras proteções.
Agora, o ITDR está recebendo muita atenção do setor e buzz do CISO. Mas qualquer estratégia de ITDR bem-sucedida deve começar com o Microsoft Active Directory (AD).
Jasson Casey, CTO da Beyond Identity
O objetivo do Identity Management Day é destacar os perigos de gerenciar e proteger identidades digitais de forma casual ou inadequada.
Em 2023, as empresas devem aceitar a realidade que enfrentamos agora – senhas e MFA de primeira geração fracos não são mais soluções viáveis.
As senhas – mesmo aquelas apoiadas por MFA ‘tradicional’ – são a maior vulnerabilidade que a maioria das organizações tem agora. Baseando-se na natureza humana falível, eles exigem que funcionários e clientes mantenham a higiene de segurança sob o risco de comprometimento organizacional severo.
As credenciais da empresa podem ser obtidas rapidamente por meio de ataques de phishing ou despejos na dark web e códigos MFA e senhas armazenadas em gerenciadores de senhas são facilmente interceptáveis.
De fato, os incidentes de segurança analisados no Verizon Data Breach Report 2022 mostraram que as credenciais eram a forma mais provável de comprometimento dos dados nos EUA (66%) e EMEA (67%). Apesar disso, o governo do Reino Unido continua a recomendar estruturas baseadas em senha como a melhor prática para segurança cibernética.
Embora os problemas de segurança com senhas sejam amplamente conhecidos, tanto o governo quanto o setor privado precisam entender a distinção entre MFA bom e ruim.
O bom MFA é muito diferente do MFA de primeira geração que usa senhas únicas e notificações push.
O bom MFA fornece resistência a phishing por meio do uso de criptografia de chave pública/privada que vincula a identidade a um dispositivo e a biometria do usuário incorporada a endpoints modernos, como telefones e laptops.
O MFA moderno e resistente a phishing não depende de senhas ou utiliza outros fatores fracos, como códigos únicos ou notificações push como parte do processo de autenticação.
Esses fatores sem senha e resistentes a phishing são uma base importante para as arquiteturas Zero Trust. Essa autenticação moderna e resistente a phishing garante um nível muito mais alto de confiança na identidade do usuário, impede ataques de credenciais e, finalmente, fecha a maior vulnerabilidade única que todas as organizações possuem: senhas.
Rod Simmons, vice-presidente de estratégia de produtos da Omada
Não há dúvida de que as empresas enfrentam maiores riscos de segurança cibernética do que nunca. A maioria das pessoas pensa nesse risco como proveniente de estranhos mal-intencionados empenhados em violar sua rede e roubar seus dados.
Esse é frequentemente o caso, mas o risco também vem de dentro quando os controles de segurança adequados não estão em vigor. Isso pode ser devido a um problema de cultura.
Para realmente fortalecer as defesas a longo prazo, você precisa de uma cultura corporativa forte em relação à segurança.
O objetivo não é transformar todos os funcionários em especialistas em TI, mas aumentar a conscientização geral sobre como suas ações podem ajudar a proteger a organização.
Ao incutir a noção de que a segurança é uma responsabilidade compartilhada por toda a empresa, e não apenas uma preocupação do departamento de TI, todos os funcionários podem apreciar melhor o papel que desempenham na proteção dos interesses da organização.
A tecnologia não pode consertar a cultura. Somente os líderes de uma organização podem fazer isso e precisam assumir um papel forte e proativo, de cima para baixo, na transformação de uma cultura de segurança fraca. A mudança começa com a compreensão total da importância do gerenciamento de identidade para a organização como um todo.
As empresas precisam garantir que possuem todos os recursos necessários para garantir o sucesso, porque existem possíveis armadilhas que precisam ser evitadas, como não incluir as partes interessadas apropriadas, a ausência de melhores práticas, ser muito ambicioso desde o início, e subestimar a importância da qualidade dos dados.
A governança e administração de identidade (IGA) é a chave para isso. Você precisa saber quem tem acesso a quê e por quê, para criar uma base sólida para uma cultura de segurança mais forte.
Sameer Hajarnis, diretor de produtos da OneSpan
Hoje tudo é digital – trabalho, compras, até mesmo sua carteira – e há uma coisa que protege você em toda a sua vida digital: sua identidade. Mas as identidades digitais são amplamente definidas, incluindo tudo, desde seu nome de usuário e senha até seu gênero, endereço e data de nascimento. Pense nisso: toda vez que você insere seu endereço em um site ao fazer compras online, está compartilhando parte de sua identidade digital.
Estamos constantemente compartilhando esses atributos que compõem nossas identidades digitais, e isso só se expandirá à medida que fizermos mais coisas digitalmente. Mas isso também significa que os agentes de ameaças podem cometer fraudes de identidade com mais facilidade e criar identidades sintéticas.
Essas identidades sintéticas têm a capacidade de perturbar a vida das pessoas e a maneira como fazemos negócios. Considere, por exemplo, que as ferramentas de IA podem ser usadas para gerar passaportes ou carteiras de identidade falsas com aparência autêntica que podem ignorar as plataformas de autenticação e verificação.
O que isso nos diz é que precisamos pensar no que está por vir e parar de responder às mudanças na tecnologia.
O que precisamos é pensar em como podemos proteger uma empresa e a identidade digital do consumidor. Isso significa implementar um sistema em que as identidades digitais são fornecidas de maneira segura e só podem ser desbloqueadas com uma forte autenticação do usuário. Isso não apenas protege as identidades digitais contra abuso e fraude, mas também limita a quantidade de atributos de identidade que os usuários precisam compartilhar.
Em vez de compartilhar todas as informações pessoais, os usuários divulgariam apenas as informações mínimas necessárias para realizar o trabalho. É assim que protegeremos e protegeremos as identidades digitais à medida que adotamos a web3.
James Lapalme, vice-presidente e gerente geral de identidade da Entrust
A pandemia deu início a uma onda acelerada de transformação digital e, à medida que o mundo se tornou remoto, a demanda por soluções seguras de alta garantia disparou.
No entanto, com o aumento das interações digitais, surge um risco ainda maior de ameaças cibernéticas e fraudes, o que significa que muitas das soluções de segurança atuais para gerenciamento de identidade não são mais eficazes.
As senhas, que têm servido como padrão para proteção de bens e serviços digitais desde sua criação na década de 1960, são de alto atrito com o cliente, inseguras e, na melhor das hipóteses, se tornando obsoletas.
Na verdade, 51% das pessoas redefinem sua senha pelo menos uma vez por mês porque não conseguem se lembrar dela e, de acordo com a Comissão Federal de Comércio dos EUA, 2,9 milhões de relatórios de fraude foram registrados em 2022 e o roubo de identidade foi a categoria número um para reclamações de consumidores. .
Quando se trata de autenticação multifator (MFA), muitas empresas ainda usam autenticação de fator único e confiam demais em senhas de uso único. No entanto, as organizações devem aproveitar as soluções de MFA sem senha de alta segurança que incluem fatores de proximidade física e autenticação baseada em certificado para proteger contra ataques de controle remoto de contas (ATO).
Para uma abordagem de segurança mais abrangente, as empresas precisam abraçar e adotar uma estratégia de confiança zero. A autenticação baseada em risco adaptável é fundamental para uma estrutura Zero Trust, fornecendo reconhecimento contextual contínuo do comportamento do usuário e do dispositivo. Isso pode incluir autenticação multifator, logon único, login sem senha e muito mais. Embora a implementação do Zero Trust seja uma jornada, adotando uma abordagem centrada na identidade para o Zero Trust,
Mo Plassnig, diretor de produtos e diretor de crescimento da Immuta
Na segurança, tudo começa com a identidade – saber quem são os usuários (que é a autenticação). Mas, não termina aí. A partir daí, você deve observar o que esses usuários podem fazer (autorização) e depois monitorar o que eles fizeram (accounting/auditoria).
Historicamente, a implementação desses três “As” de segurança – autenticação, autorização e accounting – tem sido um processo muito difícil, demorado e arriscado.
Como a quantidade de dados na nuvem continua a explodir, muitas organizações não estão considerando todos os três A’s.
Dados recentes indicam que mais da metade (53%) dos profissionais de dados estão obtendo acesso superprovisionado aos dados. Embora isso seja feito com o objetivo de simplificar processos, incentivar a colaboração e aliviar a carga administrativa, muitas vezes deixa as organizações abertas a riscos desnecessários.
Embora a implementação de um sistema de gerenciamento de identidade moderno seja um ponto de partida, ele precisa ser integrado a estratégias gerais de segurança de dados projetadas para a pilha de dados em nuvem moderna. Falhas na segurança estão acontecendo no ponto de acesso aos dados, portanto, garantir que você tenha uma solução para detectar quando há uma ameaça interna e mudar as políticas é fundamental.
Peter Barker, diretor de produtos da ForgeRock
O modelo tradicional de login com nome de usuário e senha é fundamentalmente falho. Somente no ano passado, mais de 2 bilhões de nomes de usuários e senhas foram violados, e 50% dos registros violados foram causados por acesso não autorizado.
As senhas não são apenas um grande risco de segurança, mas também prejudicam a produtividade e a eficiência, levando à perda de ROI para organizações que buscam lucratividade mais do que nunca.
É hora de adotar a autenticação sem senha, abolindo as senhas tradicionais de uma vez por todas. Embora muitos afirmem que a senha sem senha está em um futuro distante, a realidade é que o parceiro de identidade certo pode torná-la realidade, agora mesmo, tanto para funcionários quanto para clientes finais.
A autenticação sem senha substitui as senhas tradicionais por métodos mais fáceis de usar e seguros, desde biometria, aplicativos autenticadores e certificados.
Neste Dia do Gerenciamento de Identidade, vamos dizer adeus às senhas e abraçar um mundo onde nunca mais teremos que fazer login.
Glenn Mulvaney, vice-presidente de operações de nuvem da Clumio
O gerenciamento de identidade na nuvem – onde data lakes, dados de aplicativos e informações de negócios geralmente estão espalhados por muitos sistemas de armazenamento – é um bom equilíbrio entre autenticação humana e autenticação do sistema.
A autenticação multifator (MFA) e a autenticação de dois fatores (2FA) são ótimas ferramentas para autenticação humana, mas podem atrapalhar aplicativos e microsserviços de troca de dados não interativos porque exigem intervenção do usuário.
Para facilitar a troca automatizada de dados, mantendo uma forte segurança de identidade, as organizações devem classificar seus dados com base em padrões de acesso e garantir que a troca de dados entre sistemas aproveite as ferramentas de identidade da API, OAuth e TLS mútuo.
Os CISOs precisam pensar sobre a higiene de identidade de forma holística, o que inclui não apenas o gerenciamento de identidade humana, como limitar as permissões ao princípio do menor privilégio, aplicação de MFA e rotação periódica de credenciais, mas também gerenciamento de identidade orientado a aplicativos, incluindo gerenciamento robusto de chaves em informações pessoais identificáveis e dados confidenciais, segurança de API, isolamento de rede e, o mais importante, backups de dados cruciais.
Embora seja certamente prejudicial permitir a entrada de um intruso, desde que haja backups de sistema externos seguros para restaurar os dados, sempre há um caminho bem testado para a recuperação. As empresas também podem manter seus esforços de gerenciamento de identidade sob controle ao longo do tempo, identificando e procurando métricas e tendências específicas, incluindo taxas de spam/phishing autorrelatadas de funcionários, envolvimento de funcionários em comunicações relacionadas à segurança, e taxas de sucesso em testes de chamariz. Isso, é claro, além de métricas focadas em tecnologia, como logs de identidade e alertas de atividades não autorizadas, monitoramento de eventos, comportamento de dispositivo e rede e assim por diante. Com o advento das ferramentas generativas de IA, todos nós precisamos ter muito cuidado com a imitação de identidade que pode, à primeira vista, ser indistinguível da comunicação legítima.
Viktoria Ruubel, diretora administrativa de identidade digital da Veriff
O conceito de ‘identidade digital’ evoluiu tremendamente na última década, e a explosão das plataformas digitais fez com que os usuários online de hoje tivessem inúmeras identidades digitais.
Não foi até recentemente, no entanto, que os usuários ficaram cientes e preocupados com a quantidade de dados pessoais coletados e compartilhados por terceiros online.
À medida que as preocupações com a privacidade de usuários e empresas se tornam mais importantes e as tecnologias avançam, veremos a próxima geração de verificação de identidade chegar à vanguarda.
Isso virá na forma de identidade digital reutilizável, que permite que indivíduos e empresas reutilizem com segurança uma identidade digital confiável em várias plataformas e aplicativos on-line, criando mais confiança e melhor experiência e levando a menos tempo e dinheiro gastos pelas empresas em o processo.
Roman Arutyunov, cofundador e vice-presidente sênior de produtos da Xage Security
Grandes ataques do mundo real em infraestrutura crítica (pense em Colonial Pipeline) exigem mais do que apenas visibilidade e detecção de ameaças.
O que é necessário hoje é uma mentalidade de confiança zero para fortalecer os sistemas industriais cibernéticos de uma forma que proteja identidades e bloqueie ataques.
O gerenciamento de identidade e acesso (IAM) precisa ser uma prioridade para as operações do mundo real. Existem tecnologias para oferecer proteção sem uma revisão completa da infraestrutura. As organizações também podem buscar orientação do governo, por exemplo, a CISA e a NSA uniram forças recentemente para lançar o guia de práticas recomendadas de IAM para administradores.
Dado o quanto as práticas modernas de IAM são uma necessidade crítica para a segurança do mundo real diante de ameaças crescentes, vamos usar este feriado para estimular mais discussões, conscientização e adoção especificamente no domínio da infraestrutura crítica.
John DeSimone, presidente de cibersegurança, inteligência e serviços da Raytheon Intelligence & Space
O essencial para o gerenciamento de identidade bem-sucedido é garantir que as políticas, governança e tecnologias corretas estejam em vigor para dar às pessoas acesso aos sistemas de que precisam.
Embora esses elementos possam ser gerenciados no nível do componente, a melhor maneira de as organizações lidarem com o gerenciamento de identidade é por meio de um roteiro Zero Trust que implemente primeiro as áreas mais importantes de proteção do gerenciamento de identidade.
Deixar de pensar sobre esses elementos e gerenciá-los estrategicamente pode levar a violações e permitir que invasores pulem de servidor em servidor e infectem grandes quantidades de computadores e usuários finais.
* Mike Costello é o editor de conteúdo de segurança cibernética da Solutions Review. Seu trabalho cobre Endpoint Security, Identity Management e SIEM.
Ele é um escritor e contador de histórias profissionalmente treinado com uma base sólida para trabalhar em várias plataformas – incluindo impressão, web e vídeo. Adaptável, ele sempre encontra a voz certa em vários tópicos e apresenta histórias que prendem sua atenção. Você pode contatá-lo em mcostello em solutionreview ponto com.
Fonte: solutionsreview.com/
IAM Tech Day Vai Abordar a Modernização da Identidade em Direção ao Acesso Sem senha
WSO2 aborda o futuro da gestão de identidade e acesso de clientes (CIAM) no IAM Tech Day Brasil 2023
CAF Identity Day debate tendências da identidade digital no Brasil e no mundo
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.