IGA, IAM e PAM: qual a diferença?

Desde o surgimento dos sistemas computacionais, um dos maiores desafios enfrentados pelos times de TI é a verificação de identidade de usuários para autenticação e autorização de acesso a esses sistemas.

Essa verificação pode ser realizada, por exemplo, através do paradigma usuário e senha, também chamadas de credenciais privilegiadas. E não à toa, a exploração de vulnerabilidades associadas a identidade de usuários é um dos vetores de ataque mais utilizados por agentes maliciosos para realizarem ataques cibernéticos. 

De acordo com o relatório Data Breach Investigations Report 2021,

61% dos vazamentos de dados envolveram credenciais privilegiadas.

E os custos associados a este tipo de ataque também são maiores. De acordo com o mesmo relatório, enquanto o custo médio dos vazamentos de dados pesquisados foi de USD 4,24 milhões, quando um vazamento é realizado através de credenciais privilegiadas, esse custo chega a USD 4,37 milhões. Desta forma, mitigar os riscos associados a identidade de usuários está cada vez mais associado a garantia de continuidade dos negócios. 

Nesse contexto, algumas disciplinas foram desenvolvidas para implementar programas de identidade e garantir a gestão do acesso de pessoas, identidades e credenciais privilegiadas em organizações de todos os tamanhos e verticais.

Gestão de Identidade e Acesso (IAM), Governança de Identidade e Administração (IGA) e Gestão de Acesso Privilegiado (PAM) estão entre essas disciplinas, e são diretamente associadas a proteção das identidades e dos respectivos acessos realizados na infraestrutura.

Vamos então visitar cada um desses conceitos para entendermos suas diferenças e particularidades. Falamos também sobre esses conceitos em nosso podcast Cyber Notes Cast.

Gestão de Identidade e Acesso ou IAM é uma área da gestão de TI que permite que os usuários corretos e seus respectivos papeis dentro da organização possam acessar as ferramentas necessárias para executar suas atividades. Sistemas de IAM incluem políticas, procedimentos e tecnologias que auxiliam as organizações a reduzir riscos associados ao acesso de identidades no ambiente. Vale lembrar que essas identidades podem estar associadas a usuários e a identidades de máquina, incluindo aí softwares e dispositivos, como os relacionados a Internet das Coisas (IoT). 

O Gartner, por exemplo, considera que IAM é a disciplina que permite aos usuários adequados acessar os recursos adequados nos momentos corretos e pelas razões corretas. De maneira simplificada, soluções de IAM permitem assegurar que o usuário, software ou dispositivo é quem alegam ser através da autenticação das credenciais associadas, oferecendo uma solução mais segura e flexível que as abordagens tradicionais de usuário e senha. Além disso, esse tipo de solução fornece apenas o nível de permissões apropriado para que a execução das atividades. 

Soluções de IAM permitem aumentar tanto o nível de segurança como também a produtividade dos usuários, além de garantir conformidade com regulações e leis de proteção de dados, como a GDPR e a CCPA. Assim, é possível às organizações que implantam programas de IAM mitigar riscos de segurança.

O segundo conceito que trago é relacionado a Governança de Identidade e Administração, ou IGA. Soluções de IGA permitem às organizações e mitigar de maneira mais efetiva riscos de acesso associados à identidade. Além disso, esse tipo de ferramenta automatiza a criação, gestão e certificação de contas de usuário, papeis e permissões de acesso para os usuários. Desta forma é possível otimizar o provisionamento de usuários, gestão de senhas e de políticas, governança de acesso e revisões de acesso dentro da infraestrutura. 

De acordo com o Gartner, o IGA difere do IAM pelo fato de “permitir às organizações não apenas definir e aplicar políticas de IAM, mas também conectam funções de IAM para atender a requisitos de auditoria e conformidade”. Em suma, ferramentas de Governança de Identidade e Administração tem o propósito de assegurar que as políticas de IAM estão conectadas e devidamente aplicadas.

A terceira disciplina que iremos abordar é a Gestão de Acesso Privilegiado, ou PAM. O PAM está relacionado aos mecanismos para a proteção das identidades com acessos privilegiados, ou administrativos. Esses acessos diferem dos acessos padrão porque permitem executar atividades de manutenção, mudanças de configurações ou fornecer acesso de super users. Além disso, acessos privilegiados podem estar associados a credenciais, incluindo aí contas de usuário e contas de serviço, além de chaves SSH, certificados digitais e secrets. 

Complementando esses conceitos com a definição estabelecida pelo Gartner, é possível afirmar que o PAM está relacionado às “tecnologias desenvolvidas para proteger contas, credenciais e operações que oferecem um elevado (privilegiado) nível de acesso. 

O Gartner considera ser “virtualmente impossível mitigar os riscos de acesso privilegiado é virtualmente impossível sem soluções de PAM especializadas”. Desta maneira, ferramentas de PAM, ainda segundo o Gartner, “auxiliam organizações a fornecer acesso privilegiado seguro a ativos críticos”, além de atenderem a requisitos de conformidade através da gestão e monitoramento de contas e acessos privilegiados.

Para saber mais, confira o webinar sobre as melhores práticas de PAM de acordo com o Gartner.

As capacidades chave associadas ao PAM incluem a descoberta de contas privilegiadas espalhadas por dispositivos, aplicações e ambientes na infraestrutura; gestão de credenciais; gestão, monitoramento e gravação de sessões remotas; além de delegação e elevação de comandos privilegiados.

A ferramenta PAMaturity permite aos responsáveis de cibersegurança verificar o seu nível de maturidade e PAM e ai construir um roadmap de implantação de funcionalidades.

Dentro da disciplina da Gestão de Acesso Privilegiado o Gartner também estabelece três classificações para se referir aos diferentes mecanismos dessas ferramentas. Essas classificações são:

• Gestão de Sessão e Conta Privilegiadas, ou PASM: permite estabelecer sessões com possível injeção de credenciais e gravação de sessão remota. Soluções PASM também permitem a gestão de credenciais privilegiadas de usuário e de serviço;
• Gestão de Elevação e Delegação de Privilégios, ou PEDM: soluções PEDM fornecem controle de comandos e elevação de privilégio em servidores Windows e Linux, permitindo que comandos privilegiados sejam executados. No webinar Gestão de Secrets: ferramentas de gestão de secrets permitem o armazenamento, gestão e consulta de secrets de software e de máquina através de APIs e Software Development Kits (SDKs). Essas secrets podem ser, por exemplo, senhas, tokens OAuth e chaves SSH. Em nosso webinar falamos mais sobre gestão de Secrets e como os times de desenvolvimento podem agregar o aspecto segurança no processo de desenvolvimento de software.

Com o aumento dos ataques cibernéticos através de contas e acessos privilegiados, cada vez mais é necessário aos líderes de segurança entender a importância de implementarem políticas adequadas de proteção de identidade e acessos. Investir em ferramentas específicas de IAM, IGA e PAM auxiliam organizações de todos os tamanhos e verticais a melhorarem sua postura em gestão de identidade. Assim, é possível mitigar os riscos de segurança, apoiar conformidade com regulações e políticas de segurança e aumentar sua eficiência operacional.