PAM 
Ao decidir entre uma solução de gerenciamento de acessos privilegiados (PAM) local ou baseada em nuvem, uma solução de PAM baseada em nuvem é a recomendada
Publicado em janeiro 22, 2025
À medida que os ataques cibernéticos crescem em sofisticação, os modelos de segurança tradicionais se tornam mais vulneráveis, levando muitas organizações a adotar a segurança de confiança zero. A principal diferença entre modelos de segurança tradicionais e de confiança zero é a abordagem adotada para o controle de acesso. Modelos de segurança tradicionais presumem que os usuários em suas redes são confiáveis; já a segurança de confiança zero verifica todos os usuários e dispositivos por padrão, exigindo autenticação contínua.
Continue lendo para saber mais sobre as diferenças entre modelos de segurança de confiança zero e os tradicionais, como os modelos de segurança tradicionais são ineficientes e como uma solução de gerenciamento de acesso privilegiado (PAM) ajuda as organizações a implementar a segurança de confiança zero.
O que é um modelo de segurança tradicional?
Modelos de segurança tradicional seguem uma abordagem baseada em perímetros, geralmente chamada de “castelo e fosso”. Quando um usuário autorizado está dentro da rede da empresa – ou seja, o castelo, ele é confiável e pode se mover livremente. Esse modelo se concentra em defender o perímetro com firewalls e redes privadas virtuais (VPNs) – ou seja, o fosso – para manter usuários não autorizados fora da rede. Os modelos de segurança tradicionais funcionavam bem quando a maioria ou todos os funcionários e equipamentos estavam presentes fisicamente. Porém, nos últimos anos, as organizações expandiram suas redes e adotaram novos modelos de segurança, como a segurança de confiança zero, para apoiar o crescimento do trabalho remoto e distribuído.
O que é um modelo de segurança de confiança zero?
Um modelo de segurança de confiança zero elimina a confiança implícita, exigindo a verificação contínua da identidade de todos os usuários e dispositivos antes de conceder acesso a dados e sistemas. Ao contrário dos modelos de segurança tradicionais, que presumem a confiança nos usuários dentro da rede, a confiança zero exige autenticação rigorosa em todas as tentativas de acesso. Essa abordagem minimiza os riscos associados à confiança presumida, verificando todos os usuários e dispositivos sempre que é realizada uma solicitação de acesso.
Principais diferenças entre modelos de segurança de confiança zero e os tradicionais
Os modelos de segurança de confiança zero e os tradicionais diferem em seus pressupostos de confiança, controles de acesso, limites das redes, monitoramento, políticas e prevenção de ameaças.
Pressupostos de confiança
Um modelo de segurança tradicional pressupõe que, se um usuário ou dispositivo está dentro da rede, ele é confiável em todas as hipóteses. Em contraste, um método de segurança de confiança zero pressupõe que nenhum usuário ou dispositivo deve ser confiável por padrão, estejam eles dentro ou fora de uma rede. Enquanto os métodos de segurança tradicionais trabalham com a confiança implícita, a segurança de confiança zero opera com a confiança explícita, porque verifica continuamente as identidades dos usuários e dispositivos antes de conceder acesso.
Controle de acesso
Os modelos de segurança tradicionais concedem acesso com base na localização do usuário, como estar dentro da rede de uma organização, geralmente fornecendo amplo acesso a quem está dentro. A segurança de confiança zero, porém, concede acesso com base em uma verificação rigorosa da identidade e do comportamento de um usuário ou dispositivo. Os usuários recebem apenas o mínimo de acesso necessário para desempenhar suas funções com a segurança de confiança zero, o que limita os danos a uma organização no caso de uma ameaça interna, um ataque cibernético ou uma violação de dados.
Limites da rede
Os modelos de segurança tradicionais trabalham com defesas de perímetro, como firewalls e VPNs, para proteger as redes internas contra ameaças externas. Em contraste, a segurança de confiança zero não trabalha com perímetros fixos. Ela trata todas as identidades da mesma maneira, sejam internas ou externas, exigindo verificação constante. Isso garante que os aplicativos em nuvem e os ambientes de trabalho remoto sejam tão seguros quanto os sistemas físicos.
Monitoramento e registros
Os modelos tradicionais geralmente têm recursos limitados de monitoramento e registros, aumentando o risco de não notar atividades suspeitas. Além disso, registros inadequados podem dificultar a identificação da causa dos incidentes quando eles ocorrem. A confiança zero registra meticulosamente todos os acessos e operações, permitindo o monitoramento em tempo real. Isso permite que as organizações detectem anomalias imediatamente e respondam de maneira apropriada, sem demora.
Políticas de segurança
As políticas de segurança tradicionais geralmente são estáticas, permanecendo inalteradas após a configuração inicial. Isso pode dificultar o enfrentamento de ameaças novas e recentes ou a adaptação a ambientes em evolução. Em contraste, a segurança de confiança zero aplica políticas dinâmicas que se ajustam com base no comportamento do usuário e no contexto. Por exemplo: o controle de acesso baseado em funções (RBAC) pode modificar permissões ou exigir autenticação adicional quando atividades incomuns são detectadas. Além disso, o RBAC garante que os funcionários que trabalham em um projeto específico recebam acesso apenas a recursos relevantes, tendo as permissões revogadas automaticamente assim que o projeto termina.
Prevenção de ameaças
Os modelos de segurança tradicionais se concentram na proteção contra ataques externos. Porém, se cibercriminosos obtiverem acesso à rede interna, poderão se mover lateralmente comprometendo sistemas e dados, aumentando assim os possíveis danos.
A segurança de confiança zero minimiza esse risco, exigindo uma segmentação rigorosa da rede e limitando o acesso para todos os usuários e dispositivos. A autenticação contínua de todas as comunicações e ações garante que, mesmo que uma violação ocorra, seu impacto permaneça sob controle. Além disso, recursos avançados como a inteligência contra ameaças e o aprendizado de máquina aprimoram a segurança de confiança zero, detectando e respondendo a ameaças emergentes com mais eficácia.
Por que os modelos de segurança tradicionais são ineficientes
Quando comparados aos modelos de segurança de confiança zero, os modelos de segurança tradicionais apresentam várias vulnerabilidades, como a concessão de privilégios de acesso excessivos aos usuários, o enfraquecimento das defesas devido ao aumento do uso de serviços em nuvem, a resposta insuficiente a ameaças internas e a falta de segmentação.
Concessão excessiva de privilégios de acesso
Em geral, os modelos de segurança tradicionais fornecem a usuários e dispositivos mais acesso do que o necessário. Nesse modelo, quando um usuário está dentro da rede de uma organização, pode acessar dados confidenciais, sejam eles necessários para seu trabalho ou não. Isso expõe uma organização a muitos riscos de segurança se uma conta for comprometida, incluindo violações de dados. Como os modelos de segurança de confiança zero seguem o princípio do privilégio mínimo (PoLP), usuários podem acessar apenas o que é necessário, reduzindo os danos causados por ameaças internas e externas em potencial.
Limitações das defesas baseadas em perímetro com o aumento do uso de serviços em nuvem
Os modelos de segurança tradicionais protegem o perímetro da rede de uma organização com firewalls e VPNs, seguindo a estrutura de “castelo e fosso”. Porém, com o aumento do uso de serviços em nuvem, funcionários podem trabalhar de diversos locais, o que significa que os dados podem ser armazenados fora da rede física de uma organização. Isso torna a segurança baseada em perímetro, como a usada em modelos tradicionais, menos eficaz. Por outro lado, os modelos de segurança de confiança zero protegem dados e recursos independentemente da localização, porque verificam continuamente todas as solicitações de acesso.
Resposta insuficiente a ameaças internas
Como os modelos de segurança tradicionais presumem que os usuários de uma rede são automaticamente confiáveis, eles geralmente não conseguem detectar ameaças internas. Por exemplo: se um funcionário faz uso indevido de dados ou um cibercriminoso usa as credenciais roubadas de um funcionário para obter acesso, um modelo de segurança tradicional pode não identificar as atividades maliciosas, porque todos os usuários dentro da rede são considerados inerentemente confiáveis. Isso pode causar danos graves a uma organização, incluindo violações de dados.
Falta de segmentação
Nos os modelos de segurança tradicionais, uma rede interna é vista como um espaço confiável. Logo, se um cibercriminoso obtiver acesso a ela, poderá se mover lateralmente por todo o sistema. A falta de segmentação em modelos de segurança tradicionais aumenta o risco de um cibercriminoso se mover livremente pela rede de uma organização, causando maiores danos em potencial. Ao contrário dos modelos de segurança tradicionais, os modelos de segurança de confiança zero dividem a rede de uma organização em segmentos menores para restringir o acesso a determinadas áreas dela.
Como o PAM ajuda as organizações a implementar a segurança de confiança zero
As organizações podem fazer a transição de modelos de segurança tradicionais para modelos de segurança de confiança zero com a ajuda de uma solução de PAM sólida. Veja como uma solução de PAM pode ajudar as organizações a implementar modelos de segurança de confiança zero.
Reforçar o princípio do privilégio mínimo (PoLP)
Como o modelo de segurança segue o PoLP, o PAM garante que os usuários tenham acesso apenas aos recursos necessários para seus trabalhos. Essa limitação reduz o risco de acessos não autorizados e minimiza possíveis danos se a conta de um funcionário for comprometida. Em vez de dar a um funcionário acesso total a dados confidenciais que não são necessários para sua função, o PAM trabalha com o RBAC e concede aos funcionários apenas o que precisam para desempenhar suas funções de trabalho específicas.
Otimizar permissões quando necessário
Com uma solução de PAM como o KeeperPAM® do Keeper Security, as organizações podem dar acesso just-in-time (JIT) aos usuários, permitindo que recebam acesso temporário a dados confidenciais quando necessário. O acesso JIT não apenas reduz privilégios permanentes, mas também minimiza a superfície de ataque de uma organização, garantindo que as credenciais permaneçam válidas apenas pela duração de uma determinada tarefa, alinhando-se aos princípios da segurança de confiança zero. O PAM elimina acessos permanentes nas organizações. Ele concede privilégios apenas quando necessário para realizar tarefas específicas e com duração definida, após a qual esses privilégios são revogados. A rotação de senhas automatizada também pode ser programada para ser executada após a revogação do acesso, garantindo que os recursos estejam seguros.
Monitoramento e gerenciamento de contas e sessões privilegiadas
O PAM monitora e rastreia continuamente a atividade de contas privilegiadas, ajudando as organizações a identificar comportamentos suspeitos e responder a possíveis ameaças à segurança com monitoramento em tempo real. Além das notificações em tempo real, o Módulo de Relatórios e Alertas Avançados (ARAM) do Keeper permite que administradores e equipes de conformidade monitorem incidentes de segurança e detectem comportamentos incomuns nos dispositivos. Por exemplo: se um administrador tentar acessar dados financeiros confidenciais fora do horário comercial, uma solução de PAM notificará a equipe de segurança da organização para que ela possa agir imediatamente.
Integração com MFA
Uma solução de PAM como o KeeperPAM fortalece a autenticação integrando a autenticação multifator (MFA), adicionando uma camada extra de segurança ao verificar as identidades dos usuários antes que possam acessar informações confidenciais. A MFA garante que, mesmo que as credenciais de um usuário sejam roubadas, cibercriminosos não possam acessar informações confidenciais sem uma forma adicional de verificação, alinhando-se aos princípios da segurança de confiança zero.
Segmentação e isolamento de recursos
O PAM aplica controles de acesso rigorosos, segmentando recursos para que os usuários possam interagir apenas com os sistemas específicos que estão autorizados a acessar. Isso minimiza as chances de cibercriminosos se moverem lateralmente dentro de uma rede se obtiverem acesso não autorizado. Como a segmentação de rede é fundamental para a segurança de confiança zero, o PAM fornece ferramentas essenciais para que as organizações fortaleçam sua segurança geral.
Implemente a confiança zero sem esforço com o KeeperPAM®
Organizações podem implementar modelos de segurança de confiança zero sem fazer esforços usando o KeeperPAM. Ao reforçar o acesso com privilégios mínimos, otimizar permissões, monitorar e gerenciar contas privilegiadas, integrar a MFA e segmentar redes, o KeeperPAM oferece suporte a todas as áreas da segurança cibernética de uma organização.
Solicite uma demonstração do KeeperPAM hoje mesmo para aprimorar o gerenciamento de acesso de sua organização e implementar um modelo de segurança de confiança zero.
