Glossário do IAM do Keeper

Uma lista de permissões especificando que usuários ou sistemas têm acesso concedido ou negado a um recurso de sistema particular, juntamente com as operações que podem realizar nesses recursos.

O processo pelo qual os administradores de TI concedem e restringem o acesso dos usuários a sistemas e dados específicos. Normalmente, isso é realizado configurando grupos para funções de trabalho, departamentos e/ou equipes de projeto, e, em seguida, atribuindo usuários aos grupos apropriados. Funciona em conjunto com o gerenciamento de identidade.

O Active Directory (AD) é um serviço de diretório desenvolvido pela Microsoft para redes do domínio do Windows. Originalmente, o AD foi usado somente para gerenciamento centralizado do domínio, mas agora é um termo abrangente que se refere a uma ampla variedade de serviços de identidade baseados em diretório. Ele permite que as organizações gerenciem vários componentes de infraestrutura e sistemas no local usando uma única identidade por usuário. Não deve ser confundido com o Azure Active Directory, que é uma ferramenta usada em conjunto com o AD.

Como o Active Directory de uma organização controla o acesso a todos os sistemas, a segurança efetiva do AD é essencial para proteger todo o ambiente de dados.

Uma ferramenta complementar ao Active Directory (AD) que estende as identidades no local para aplicações em nuvem, similar a uma ferramenta de SSO de aplicativos web, mas usada no local, em vez de na nuvem. Como o Azure AD, o AD FS não é um substituto para o Active Directory, mas uma ferramenta usada em conjunto com ele.

Também conhecida como autenticação adaptativa ou autenticação com base em risco. Um método pelo qual os parâmetros de login são ajustados dinamicamente de acordo com o risco que uma solicitação de acesso particular apresenta. Por exemplo, um usuário fazendo login em um serviço em um dispositivo que ele usa o tempo inteiro pode precisar fornecer apenas uma senha. Porém, se ele tentar fazer login de um dispositivo novo ou até mesmo em um navegador novo, talvez seja solicitado também a responder a perguntas de segurança ou fornecer um código de acesso de uso único.

Um conjunto de definições e protocolos que permite que diferentes aplicativos de software conversem entre si. Por exemplo, aplicativos de clima usam APIs de agências de clima governamentais para exibir os dados de clima. Os sites e aplicativos mais modernos usam pelo menos algumas APIs de terceiros.

Há quatro tipos de APIs:

As APIs públicas podem ser usadas por qualquer pessoa, porém algumas APIs públicas exigem autorização prévia e/ou tarifas de uso.

As APIs privadas são justamente isso: privadas. Elas são internas a uma organização e usadas apenas dentro do negócio.

As APIs de parceiros são similares às APIs privadas. Elas podem ser usadas apenas por parceiros comerciais externos autorizados para facilitar aplicações e transações entre empresas.

APIs compostas são uma combinação de dois ou mais tipos de API.

Um identificador único usado para autenticar um usuário, desenvolvedor ou aplicativo em uma API. Normalmente inclui um conjunto de direitos de acesso na API.

Garantir que um usuário é quem alega ser. Consulte Gerenciamento de identidade.

Garantir que um usuário esteja autorizado a acessar sistemas e dados específicos. Consulte Gerenciamento de acesso.

As ferramentas e os métodos para armazenar, acessar e gerenciar seguramente segredos de infraestrutura em um ambiente de TI, como chaves de API, certificados digitais e credenciais de contas privilegiadas. Também conhecido como gerenciamento de senhas entre aplicativos (AAPM).

Uma solução de Identidade como um Serviço (IDaaS) que as organizações podem usar para todos os seus aplicativos em seu ambiente de dados, tanto em nuvem como local. O Azure Active Directory (Azure AD) não é um substituto do Active Directory; em vez disso, é usado em conjunto com o AD.

As características físicas únicas de uma pessoa, como impressões digitais, varredura da íris e reconhecimento facial, que são usadas para autenticação do usuário e controle de acesso.

Um ataque automatizado em que um ator da ameaça usa um script para enviar um número muito grande de senhas ou frases de senha, verificando sistematicamente todas as possíveis combinações até encontrar um conjunto de credenciais que funcione.

A automação de processos comerciais (BPA) se refere a um software que automatiza tarefas repetitivas ou manuais para melhorar a eficiência organizacional. Exemplos de BPA incluem respostas automatizadas a ações dos clientes, como confirmações de pedidos e redefinição de senhas de autosserviço (SSPR).

Uma estrutura de IAM legada em que todos os usuários dentro de um perímetro de rede definido têm confiança implícita, enquanto que os de fora não a têm. Computação em nuvem, mobilidade e acesso remoto disseminado tornaram "castelo e fosso" obsoleta, que foi substituída pela confiança zero.

Um componente principal do conjunto FIDO2 de especificações, o Protocolo cliente para autenticador (CTAP) ativa um autenticador externo, como um smartphone ou uma chave de segurança, para funcionar com navegadores que têm suporte para WebAuthn e age como autenticador para serviços web e aplicativos da área de trabalho.

Também conhecida como segurança de nuvem. Um termo abrangente que compreende as políticas, os procedimentos, os controles e as ferramentas usados para proteger dados, aplicativos e serviços que são armazenados e usados na nuvem, juntamente com a infraestrutura de nuvem subjacente.

Normalmente, os serviços de nuvem públicos operam sob um modelo de responsabilidade compartilhada, em que o provedor de serviços de nuvem é responsável pela segurança *da* nuvem, enquanto que a organização que compra os serviços é responsável pela segurança *na* nuvem. Isso significa que o provedor de serviços de nuvem protege a infraestrutura subjacente, incluindo centros de dados físicos e todos os servidores e equipamentos dentro deles, enquanto que a organização protege os dados e as cargas de trabalho que colocam em sua implementação da nuvem.

Um serviço baseado em nuvem que oferece soluções de IA a outros serviços baseados em nuvem.

Um processo pelo qual um sistema monitora o comportamento do usuário durante uma sessão, comparando-o com uma linha de base, procurando anomalias e exigindo que o usuário autentique novamente ao detectar um comportamento anômalo.

Um ataque que tira vantagem do fato de que muitas pessoas usam as mesmas credenciais de login em várias contas. Em um ataque de sobrecarga de credenciais, quando os atores da ameaça obtêm com sucesso um conjunto de credenciais de login que funciona em um site, tentam usá-las no maior número de sites possível.

O processo pelo qual as organizações gerenciam identidades e níveis de acesso dos clientes. Essencialmente, é um subtipo de IAM que se refere apenas a clientes, e não a usuários internos ou parceiros comerciais.

Defesa em profundidade (DiD) é uma abordagem de várias camadas à segurança cibernética, com cada camada concentrada em um tipo diferente de segurança, para criar defesas abrangentes e robustas contra ameaças cibernéticas. A ideia é que, se uma camada falha, a próxima ainda continua no caminho do ator de uma ameaça. Dentre os elementos mais comuns em uma estratégia de DiD estão software antivírus, ferramentas e controles de segurança de rede, soluções de IAM e soluções de prevenção de perda de dados.

O processo de remover o acesso do usuário a sistemas inteiros ou aplicativos individuais. Um funcionário que sai de uma empresa é desprovisionado do sistema inteiro; um funcionário transferido para outro local ou departamento deve ser desprovisionado dos sistemas daquele local ou departamento.

A segurança de DevOps, também chamada de DevSecOps, é uma prática de segurança de aplicativos que busca "mover a segurança para a esquerda", o que significa introduzi-la o mais cedo possível no ciclo de vida de desenvolvimento do software (SDLC) com a meta de criar aplicativos seguros. Além disso, como DevOps, DevSecOps quebra silos organizacionais, melhorando a comunicação e a colaboração entre as equipes de desenvolvimento, operações e segurança via SDLC.

Algumas vezes chamada de detecção de ameaça de terminal e resposta (ETDR), uma solução de EDR é uma ferramenta de segurança de terminais integrada que combina monitoramento contínuo em tempo real e coleta de dados de terminais com resposta e análise automatizadas com base em regras. Uma solução de EDR monitora toda a atividade do terminal, analisa-a para identificar padrões de ameaça, responde automaticamente para remover ou conter ameaças identificadas, e fornece notificações à equipe humana de segurança. As metas de um sistema de EDR são identificar ameaças em tempo real, minimizá-las ou contê-las automaticamente, se possível, e facilitar a resposta rápida por equipes humanas.

O gerenciamento de privilégios de terminais combina o controle do aplicativo com o acesso de menor privilégio para garantir que os usuários estejam executando apenas aplicativos confiáveis com o menor privilégio possível.

Historicamente, o acesso à rede dentro de uma organização era dividido em duas categorias amplas: usuários padrão e administradores. Lamentavelmente, isso é insuficiente para proteger contra ataques cibernéticos relacionados a credenciais nos ambientes de dados distribuídos e altamente complexos de hoje. O gerenciamento de privilégios de terminais governa os níveis de acesso dos usuários para que privilégios administrativos sejam concedidos ao menor número possível de usuários. Além de proteger contra ameaças internas, o gerenciamento de privilégios de terminais limita a capacidade de atores de ameaças externos de se moverem lateralmente dentro da rede caso consigam comprometer um conjunto de credenciais de usuário funcionais.

Uma plataforma de proteção de terminais (EPP) é uma solução integrada que detecta atividade maliciosa em dispositivos terminais e protege-os de acesso não autorizado, phishing e ataques de malware baseados em arquivo. Os EPPs modernos são normalmente baseados em nuvem e alguns incluem um firewall pessoal, recursos de proteção de dados e prevenção de perda de dados, controle de dispositivo e integração com soluções de gerenciamento de vulnerabilidades, correções e configuração.

Um gerenciador de senhas empresarial (EPM) é uma plataforma de gerenciamento de senhas que é especificamente projetado para uso comercial. Um EPM é uma parte fundamental das pilhas de segurança e IAM de qualquer organização.

Os EPMs fazem tudo o que gerenciadores de senhas de clientes faze, como gerar automaticamente senhas complexas e fornecer aos usuários um cofre digital seguro que podem usar para armazenar e acessar suas senhas de vários dispositivos. Porém, eles também incluem uma infinidade de recursos que são específicos a organizações, como um painel administrativo que a equipe de TI e segurança pode usar para provisionar e desprovisionar contas de usuários; monitorar e controlar o uso de senhas na organização; definir controles de acesso com base em funções (RBAC) e acesso de menor privile´gio; executar relatórios de auditoria e gerenciar senhas compartilhadas.

Além disso, alguns EPMs oferecem soluções especificamente personalizadas para atender às necessidades dos provedores de serviços gerenciados (como o KeeperMSP) e das agências governamentais (como a Keeper Security Government Cloud, ou KSGC).

O Gerenciamento federado de identidade (FIM) é um método de autenticação pelo qual vários sistemas de software compartilham dados de identidade de um sistema centralizado maior, permitindo que os usuários acessem vários aplicativos e sistemas com um único conjunto de credenciais de login. Apesar de o gerenciamento federado de identidade ser frequentemente usado de forma sinônima com o SSO, o FIM perite o acesso a sistemas e aplicativos entre domínios (conhecidos como "organizações federadas"), enquanto que o SSO permite o acesso dentro de um só domínio.

As organizações frequentemente usam os dois, SSO e FIM.

Uma associação aberta do setor com a missão declarada de promover "padrões de autenticação para ajudar a reduzir o excesso de confiança do mundo em senhas".

Um esforço conjunto da Aliança FIDO e do Consórcio da World Wide Web (W3C) que busca possibilitar que os usuários aproveitem dispositivos comuns, como smartphones e tokens de segurança de hardware, para se autenticar em serviços on-line em ambientes de área de trabalho e dispositivos móveis. Baseados pesadamente no padrão de autenticação U2F, o FIDO2 consiste no conjunto de padrões WebAuthn e no Protocolo cliente para autenticador (CTAP) do FIDO.

O Gerenciamento de identidade e acesso (IAM) é um termo abrangente que compreende as políticas, os procedimentos, os controles e as ferramentas tecnológicas que as organizações usam para gerenciar identidades digitais de usuários finais e controlar o acesso a redes, aplicativos e dados organizacionais. O IAM é uma parte fundamental da defesa em profundidade (DiD).

O Gerenciamento de acesso privilegiado (PAM), o gerenciamento de sessão privilegiada (PSM), a governança e a administração de identidade (IGA) e o gerenciamento de identidade e acesso de clientes (CIAM) são todos subcategorias do IAM.

A Identidade como um Serviço (IDaaS) é uma solução de autenticação baseada em nuvem. Algumas vezes, é chamada de IAM entregue via SaaS (Gartner) ou IAM como um Serviço (IaaS). A IDaaS é u m termo abrangente que se refere a uma ampla variedade de soluções de SaaS para IAM, de plataformas de SSO a gerenciadores de senhas.

Governança e administração de identidade (IGA) é uma subcategoria do IAM que se refere às políticas e às ferramentas tecnológicas que permitem que as organizações garantam que suas políticas de IAM sejam consistentes e universalmente impostas em todo o ambiente de dados. As ferramentas de IGA permitem que as organizações gerenciem identidades mais efetivamente e minimizem riscos de acesso relacionados à identidade ao automatizar a criação, o gerenciamento e a certificação de contas, funções e direitos de acesso dos usuários.

Apesar de IGA e IAM serem algumas vezes usados de forma intercambiável, a IGA é diferente do IAM porque, como o Gartner coloca, ela "permite que as organizações não só definam e imponham política de IAM, como também conecta as funções do IAM para atender a requisitos de auditoria e conformidade".

O gerenciamento do ciclo de vida da identidade (ILM) é uma subcategoria do IAM que se refere às políticas, aos procedimentos e às ferramentas tecnológicas para criar identidades digitais e suas permissões associadas, gerenciá-las e atualizá-las em todo o seu ciclo de vida, e excluí-las quando não são mais necessárias. A identidade digital pode pertencer a um ser humano, incluindo um funcionário, um terceirizado, um fornecedor, um parceiro comercial ou um aplicativo.

Os privilégios dos usuários evoluem no decorrer do tempo. Se um funcionário é promovido ou recebe deveres adicionais do trabalho, seus privilégios de rede podem precisar ser ajustados. Quando os funcionários deixam a organização, o acesso deles deve ser revogado imediatamente. São essas as situações em que o ILM entra em cena.

O processo pelo qual os sistemas determina que os usuários são quem alegam ser. Exemplos incluem nomes de usuário e senhas, bem como autenticação de vários fatores. Funciona em conjunto com o gerenciamento de acesso.

Um Provedor de identidade (IdP) é um serviço que armazena e gerencia identidades de usuários. Um IdP pode verificar os usuários em uma lista armazenada de combinações de nome de usuário e senha ou fornecer uma lista de identidades de usuários que outro provedor verifica. Provedores de SSO são IdPs.

JSON Web Token (JWT) é um padrão aberto usado para compartilhar informações de segurança entre clientes e servidores. JWTs são assinados usando um segredo privado ou uma chave pública/privada, de forma que alegações não podem ser alteradas depois da emissão do issued.

O acesso no momento certo, também conhecido como acesso JIT, é uma prática de Gerenciamento de acesso privilegiado (PAM), em que privilégios de usuários humanos e não humanos são elevados em tempo real e a duração da sessão é limitada a um tempo predeterminado. Isso garante que o usuário humano ou o aplicativo possa acessar um aplicativo ou sistema privilegiado apenas quando necessário e somente por um certo período.

Um protocolo de autenticação de rede de código aberto que usa criptografia de chaves simétricas para autenticar solicitações entre hosts confiáveis que se comunicam em uma rede não confiável, como a internet. O Kerberos é o protocolo de autorização padrão no Microsoft Windows e um componente fundamental do Windows Active Directory. O suporte para Kerberos é integrado em todos os principais sistemas operacionais. Ele é extensamente usado em grandes implementações do SSO, onde tem suporte para vários métodos de autenticação.

Uma prática recomendada de segurança em que usuários humanos e aplicativos têm o menor nível absoluto de acesso aos sistemas que é necessário para realizar suas tarefas e nada mais.

O Lightweight Directory Access Protocol (LDAP) é um padrão de protocolo de aplicativo aberto para acessar e manter serviços de informações de diretório distribuídos sobre uma rede IP. O LDAP é comumente usado como uma única fonte verdadeira de nomes de usuário e senhas; os aplicativos podem se conectar ao servidor LDAP e automaticamente adicionar e excluir usuários à medida que os funcionários são integrados ou deixam uma organização. O LDAP é usado como base para o Microsoft Active Directory.

Consulte também SCIM, uma alternativa ao LDAP que cresce rapidamente em popularidade.

O gerenciamento de identidade de máquina (MIM) rege as identidades digitais de usuários não humanos, significando os certificados digitais e as chaves usados por dispositivos de hardware (incluindo dispositivos de IoT), cargas de trabalho, aplicativos, contêineres etc. O MIM é um subconjunto do IAM e do gerenciamento de credenciais.

Softwares maliciosos, mais conhecidos como malwares, são exatamente o que seu nome indica: uma forma de software malicioso que infecta dispositivos com várias técnicas, como o clique da vítima em e-mails de phishing ou o download de arquivos maliciosos como jogos, filmes ou softwares.

Uma senha mestra, algumas vezes abreviada como MP, é a senha que os usuários finais criam durante a instalação e a configuração de um gerenciador de senhas, como o Keeper. A senha mestra de um usuário é a única senha de que ele precisa se lembrar. Como ela é a chave do cofre de senhas digital, é essencial que seja complexa e única, e que o usuário nunca a perca nem esqueça. Por esse motivo, uma frase de senha é uma boa forma de criar uma senha mestra.

A Autenticação de vários fatores (AVF) e a Autenticação de dois fatores (A2F) são métodos de autenticação que exigem que os usuários forneçam dois ou mais fatores de autenticação para ter acesso a um recurso, como um aplicativo, uma pasta ou um sistema. Para se "qualificar" como A2D/AVF, cada fator de verificação deve ser proveniente de uma categoria de verificação diferente, como segue:

Algo que você sabe - como uma senha ou um PIN.

Algo que você tem - como uma chave de segurança ou um cartão.

Algo que você é - biometria, como uma impressão digital ou varredura da íris.

Onde você está - seu endereço IP e geolocalização. Não é usado com frequência.

Um caixa eletrônico é um exemplo de AVF, pois os usuários precisam inserir um cartão (algo que eles têm) e digitar um PIN (algo que sabem).

A2F e AVF são essencialmente sinônimos, com a única diferença sendo que a A2F exige apenas 2 fatores de autenticação, como no exemplo do caixa eletrônico, enquanto a AVF pode teoricamente exigir 3 ou mais (como um cartão inteligente, um PIN e uma impressão digital).

Um padrão aberto para delegar acesso a informações do usuário em aplicativos web e em sites. Usado por empresas como Amazon, Google, Facebook, Microsoft e Twitter para permitir que os usuários compartilhem informações sobre suas contas com aplicativos ou sites de terceiros sem ter que dar sua senha a esses terceiros.

Uma One-Time Password (OTP) ou Time-Based One-Time Password (TOTP) é uma sequência de caracteres gerada automaticamente que autentica um usuário para uma única transação ou sessão de login. OTPs podem ser entregues via e-mail, SMS ou um aplicativo de autenticador. frequentemente usada como um fator de autenticação para A2F/AVF.

Uma TOPT é como uma OTP, com exceção de que é válida somente por um curto período, normalmente de 30-60 segundos.

O OpenID Connect (OIDC) é um sistema de autenticação RESTful criado sobre a estrutura OAuth 2.0 que usa tokens web JSON. Permite que aplicativos de terceiros verifiquem identidades dos usuários e obtenham informações básicas do perfil dos usuários, possibilitando o single sign-on em vários aplicativos.

Em um ataque pass-the-hash (PtH), um ator de ameaça rouba uma senha com hash e, sem quebrá-la, tenta usá-la para enganar um sistema para que crie uma nova sessão de usuário autenticado. O pass-the-hash é normalmente usado para movimento lateral dentro de uma rede que já foi comprometida. As máquinas Windows são particularmente suscetíveis a esses ataques devido a uma vulnerabilidade em hashes do Gerenciador de Rede Local de Nova Tecnologia (NTLM), que permite que os atores de ameaças aproveitem contas de domínios comprometidos apenas com o hash da senha, sem precisar da senha propriamente dita.

Uma frase de senha é uma forma fácil de os usuários criarem uma senha complexa única. Por esse motivo, frases de senha são frequentemente usadas para criar senhas mestras.

Para criar uma frase de senha, um usuário precisa criar uma frase que inclua uma combinação de letras maiúsculas e minúsculas, números, caracteres especiais e pontuação.

Exemplo de uma frase de senha inaceitável: "Meu primeiro apartamento foi em Alexandria, Virginia". Isso gera a senha MpafeAV, que é muito curta (apenas 7 caracteres) e não inclui caracteres especiais nem números. Um ator de ameaça usando uma ferramenta automatizada para quebrar senhas descobriria esta senha bem depressa.

Exemplo de frase de senha aceitável: “Meu primeiro apartamento foi em 2630 Hegal Place #42 Alexandria, Virginia 23242". Isso gera a senha Mpafe2630HP#42AV23242, que tem 21 caracteres e inclui letras maiúsculas e minúsculas, números e um caractere especial. Mesmo uma ferramenta automatizada para quebrar senhas precisaria de décadas para quebrar esta senha!

Um ataque de força bruta que tira vantagem do fato de que muitas senhas são bastante "populares" entre os usuários. Por exemplo, muitas pessoas usam o padrão do teclado "qwerty" ou simplesmente a palavra "password". Um ataque de pulverização de senhas usa uma lista de senhas "populares" e tenta usá-las em combinação com todos os nomes de usuário no sistema.

Um método de verificar a identidade de um usuário sem usar uma senha, usando meios como biometria, chaves de segurança ou senhas de uso único (OTPs).

Também chamado de gerenciamento de privilégio de superusuário (SUPM), o Gerenciamento de delegação e elevação de privilégio (PEDM) é um subconjunto do PAM que fornece a usuários não administrativos acesso temporário a sistemas privilegiados com base em limitações específicas. Por exemplo, um usuário pode receber acesso a um aplicativo particular apenas por um período especificado. Depois que o limite da sessão expira, os direitos de acesso do usuário são automaticamente revogados.

Soluções de PEDM permitem que as organizações aproveitem o acesso no momento certo para reduzir o número de usuários com privilégios administrativos.

A governança de acesso privilegiado (PAG) aplica regras do IAM a usuários privilegiados, garantindo que até mesmo o acesso de usuário privilegiado siga o princípio do menor privilégio. Os processos associados com o PAG incluem provisionamento e desprovisionamento de contas automatizados, um processo formal de aprovação para conceder novos acessos privilegiados e revisões periódicas de contas privilegiadas para garantir que os níveis de acesso ainda sejam apropriados.

O Gerenciamento de acesso privilegiado (PAM) se refere às ferramentas e à tecnologia que as organizações usam para proteger, controlar e monitorar o acesso a suas informações e recursos mais críticos, como contas administrativas locais e de domínio.

Algumas vezes chamado de PAM como um Serviço, o Gerenciamento de Acesso Privilegiado como um Serviço (PAMaaS) é uma solução de gerenciamento de acesso privilegiado com base em nuvem.

Uma estação de trabalho de acesso privilegiado (PAW), algumas vezes chamada de Estação de trabalho de acesso seguro (SAW), é uma estação de trabalho reforçada, projetada específica e exclusivamente para executar tarefas altamente privilegiadas. As PAWs são configuradas com controles e políticas de segurança que restringem o acesso administrativo local e bloqueia e-mails, ferramentas de produtividade de escritório e navegação na web; elas são equipadas apenas com as ferramentas que são absolutamente necessárias para realizar as tarefas altamente privilegiadas. Isso bloqueia os vetores mais comuns para ataques de phishing (e-mail e navegação na web), reduzindo drasticamente o risco de que a PAW seja comprometida.

Uma conta privilegiada tem níveis de acesso à rede muito maiores do que contas de usuário padrão. Por exemplo, contas privilegiadas podem ser capazes de provisionar e desprovisionar usuários, alterar níveis de acesso dos usuários ou modificar configurações de sistemas ou aplicativos.

As contas privilegiadas são frequentemente chamadas de contas de administrador, mas nem todas as contas privilegiadas são usadas por seres humanos. Contas de serviço, que são usadas por aplicativos, são contas privilegiadas.

Além disso, o termo "conta privilegiada" pode se referir a um usuário não técnico de alto nível, como um CEO ou CFO, que tem acesso a dados extremamente sensíveis, como arquivos confidenciais do governo, registros médicos ou informações financeiras de uma organização.

O gerenciamento de conta e sessão privilegiada (PASM) é uma parte do gerenciamento de acesso privilegiado (PAM) e fornece às organizações uma forma de proteger, controlar e monitorar contas de usuários privilegiados. Ele possibilita que as equipes de TI tenham governança forte sobre sessões críticas de usuários administrativos.

O Gerenciamento de identidade privilegiada (PIM) funciona em conjunto com o PAM. Enquanto o PAM se refere às políticas e às soluções técnicas para gerenciar contas de usuários privilegiados, o PIM envolve gerenciar quais recursos os usuários privilegiados podem acessar. O PIM permite que as organizações possam controlar, gerenciar e monitorar permissões de acesso dos usuários privilegiados a dados e sistemas específicos.

O Gerenciamento de sessão privilegiada (PSM) funciona em conjunto com o Gerenciamento de acesso privilegiado (PAM) para proteger o acesso aos sistemas e dados mais sensíveis e críticos de uma organização. Enquanto o PAM se concentra em proteger credenciais de usuários privilegiados, o PSM se trata de controlar, monitorar e registrar sessões privilegiadas, significando as ações que os usuários privilegiados tomam depois de fazer login na rede.

Além de evitar que os usuários privilegiados abusem de seu acesso, o PSM permite que as organizações atendam a regulamentações de conformidade, como SOX, HIPAA, PCI DSS, ICS CERT, GLBA, FDCC e FISMA, que exigem que atividades privilegiadas sejam registradas e monitoradas.

O gerenciamento de usuário privilegiado (PUM) é algumas vezes usado como sinônimo de Gerenciamento de acesso privilegiado (PAM) e de gerenciamento de identidade privilegiada (PIM). No entanto, há diferenças importantes. Diferentemente de contas PAM, as contas PUM são normalmente compartilhadas e não usam A2F/AVF; os usuários acessam as contas PUM apenas com uma senha. Por esse motivo, as contas PUM devem ser evitadas.

O processo de estabelecer o acesso do usuário a sistemas inteiros ou a aplicativos individuais. Um novo contratado é provisionado em todos os sistemas e aplicativos que serão necessários para realizar seu trabalho; um funcionário que recebe responsabilidades adicionais de trabalho pode precisar ser provisionado em aplicativos e sistemas adicionais.

Também conhecida como codificação de chave pública ou criptografia assimétrica. Um método de criptografar dados que usa duas chaves, uma chave pública, que está disponível para qualquer pessoa usar, e uma chave privada. Os dados criptografados com a chave pública só podem ser descriptografados com a chave privada e vice-versa.

PWN é gíria de hackers que se originou na comunidade de jogos on-line como "owned" (dominado) digitado incorretamente. (É por isso que PWM é pronunciado como "own", não como "pawn". No Brasil, também é usada, em alguns casos, a variação "ownado".) A palavra significa conquistar ou dominar - como invadir com sucesso uma conta ou uma rede.

O Serviço de usuário discado de autenticação remota (RADIUS) é um protocolo cliente-servidor que possibilita o gerenciamento centralizado de autenticação, autorização e contabilização para acesso removo e de rede sem fio. O RADIUS é executado na camada de aplicativo e possibilita que as organizações mantenham os perfis de usuários em um repositório central compartilhado por todos os servidores remotos.

O Protocolo de área de trabalho remota (RDP) é um protocolo de comunicação de rede proprietário desenvolvido pela Microsoft. O RDP possibilita o acesso remoto seguro a estações de trabalho e servidores. O RDP pode ser usado por usuários finais não técnicos para acessar remotamente suas estações de trabalho, bem como por administradores de TI e equipes de DevOps para realizar remotamente manutenção e diagnóstico do sistema, e reparar problemas. Usando uma interface de usuário gráfica, os usuários remotos podem abrir aplicativos e editar arquivos da mesma forma que fariam se estivessem sentados em frente à máquina remota.

Além do Windows, clientes RDP estão disponíveis para Mac OS, Linux/Unix, Google Android e Apple iOS. Estão disponíveis também versões de código aberto do software do RDP.

Transferência de estado representacional. Uma API moderna, sem estado e altamente flexível que define um conjunto de funções, como GET, PUT e DELETE, que os clientes podem usar para acessar dados do servidor. Clientes e servidores trocam dados usando HTTP.

Similar à automação de processo comercial (BPA), a automação de processo robótico (RPA) se refere ao software que automatiza trabalho manual e repetitivo. No entanto, diferentemente de soluções de BPA, o RPA faz uso maior da inteligência artificial e de aprendizagem de máquina, de forma que os robôs podem imitar usuários humanos e adaptar-se a circunstâncias dinâmicas. Por exemplo, enquanto o BPA é usado para enviar por e-mail uma resposta padronizada para um cliente (como uma confirmação de pedido ou de envio), o RPA é usado para criar chatbots interativos que podem analisar as perguntas dos clientes em tempo real.

O Controle de acesso com base em função (RBAC), também conhecido como segurança com base em função, é um modelo de controle de acesso em que a função de um usuário dentro de uma organização determina que recursos de rede ele pode acessar. O objetivo do RBAC é garantir que os usuários não possam acessar sistemas e dados não relacionados a suas funções de trabalho, melhorando a conformidade, evitando vazamento de dados e, caso as credenciais de um usuário sejam comprometidas, prejudicando a capacidade de um ator de ameaça de se mover lateralmente dentro da rede. Funciona em conjunto com o acesso de menor privilégio.

Linguagem de marcação de assertiva de segurança. Um padrão aberto para a troca de dados de autenticação e autorização entre as partes. Normalmente usada por provedores de identidade para se comunicar com provedores de serviço, possibilitando que o SSO seja estendido entre domínios de segurança e tornando possível o single sign-on de navegador.

Em um ambiente de TI, um segredo é qualquer dado compacto que deve permanecer confidencial. Normalmente usado por não humanos para autenticação em sistemas e dados altamente privilegiados. Exemplos de segredos de TI incluem credenciais de RDP, chaves de SSH, chaves de API e credenciais de contas privilegiadas.

As ferramentas e os métodos para armazenar, acessar e gerenciar seguramente segredos de infraestrutura em um ambiente de TI, como chaves de API, certificados digitais e credenciais de contas privilegiadas. Também conhecido como gerenciamento de senhas entre aplicativos (AAPM).

O Secure Shell Protocol (SSH) é um protocolo de rede criptográfico que permite que dois computadores se comuniquem seguramente. O SSH foi desenvolvido como uma alternativa segura ao Telnet e aos protocolos de shell remoto do Unix não seguros, que transmitem dados (incluindo senhas) em texto simples. O SSH usa criptografia de chave pública para autenticar o computador remoto e permitir que ele autentique o usuário, e criptografa todas as comunicações entre os dois computadores. Os usos mais comuns do SSH são o login remoto e a execução da linha de comandos.

Segurança como um Serviço (SaaS/SecaaS) é um modelo de negócios em que as organizações terceirizam soluções e serviços de segurança cibernética, em vez de usar recursos internos. O SecaaS pode ser mínimo, como implementar uma plataforma de PAM ou IAM baseada em nuvem, ou extensa, como terceirizar todas as funções de segurança de uma organização.

Um sistema de gerenciamento de informações e eventos de segurança (SIEM) é uma plataforma de software que agrega dados de segurança do ambiente de dados de uma organização, analisa-os e notifica a equipe de segurança humana sobre possíveis ameaças. Os SIEMs coletam e analisam dados de hardware e de aplicativos, incluindo dispositivos de rede, servidores e controladores de domínio.

Um dispositivo físico ou lógico usado por um usuário final para provar sua identidade e acessar um recurso digital. Os tokens de segurança podem ser usados em adição a senhas, como um fator de autenticação de A2F/AVF ou no lugar de senhas em uma configuração de autenticação sem senha.

Tokens de segurança físicos incluem cartões ou chaves de segurança (como YubiKey). Tokens de segurança digitais incluem OTPs/TOTPs geradas por aplicativos de autenticação.

A Redefinição de senha de autosserviço (SSPR) é um recurso de automação de processo comercial que possibilita que os usuários redefinam suas senhas sem precisar interagir com a equipe humana de TI, poupando o tempo dos usuários finais e da equipe de atendimento. A SSPR é normalmente usada para redefinir senhas perdidas, esquecidas ou expiradas.

Um tipo especial de conta privilegiada usada por usuários não humanos, particularmente aplicativos. Usos comuns para contas de serviço incluem a execução de cargas de trabalho em instâncias de máquina virtual (VM), a execução de cargas de trabalho em estações de trabalho ou centros de dados locais que chamam APIs e outros processos automatizados.

Os usuários humanos não são diretamente envolvidos na criação nem no uso de contas de serviço. Normalmente, elas são criadas e configuradas pelo gerenciador de pacotes durante a instalação do software, e um aplicativo assume a identidade de uma conta de serviço para chamar uma API ou executar outros processos. Essa automação poupa tempo das equipes de TI, mas, como outras contas privilegiadas, as contas de serviço apresentam grandes riscos de segurança cibernética e devem ser rigorosamente gerenciadas e controladas.

Uma "passkey" é uma tecnologia de autenticação moderna sem senha que permite que os usuários façam login em conts e aplicativos usando uma chave criptográfica em vez de um senha. Uma "passkey" aproveita biometria (impressão digital, reconhecimento de face etc.) para confirmar a identidade do usuário.

Um subconjunto do gerenciamento de credenciais, a governança de contas de serviço (SAG) se refere às políticas, aos procedimentos e às ferramentas tecnológicas usados para proteger e gerenciar contas de serviço, incluindo provisionamento e desprovisionamento, gerenciamento de senhas e gerenciamento de dependências.

O gerenciamento de senhas de contas compartilhadas (SAPM) é similar ao gerenciamento de usuário privilegiado (PUM). Ele se refere ao gerenciamento de contas privilegiadas compartilhadas - algo que as organizações devem evitar ao máximo, pois contas privilegiadas devem ser rigorosamente gerenciadas e monitoradas para fins de segurança e conformidade.

O Single Sign-on (SSO) é um método de autenticação com o qual os usuários podem aproveitar um único conjunto de credenciais para acessar vários aplicativos e sistemas. Apesar de o SSO ser frequentemente usado de forma sinônima com o gerenciamento de identidade federado (FIM), o SSO possibilita o acesso dentro de um único domínio, enquanto que o gerenciamento de identidade federado possibilita o acesso a sistemas e aplicativos entre domínios.

Exemplo de SSO: os funcionários usam um conjunto de credenciais para acessar o e-mail de trabalho, o portal de RH e outros recursos internos.

Exemplo de FI: os funcionários usam um conjunto de credenciais para acessar aplicativos de terceiros, como aplicativos de videoconferência e sistemas de bilhetes.

O SSO e o FIM são frequentemente usados em conjunto.

Uma API antiga que ficou obsoleta devido a opções mais flexíveis, como REST. Usa o Protocolo de acesso a objetos simples, com clientes e servidores trocando mensagens usando XML.

O Gartner define o gerenciamento de alteração e configuração de software (SCCM) como ferramentas usadas para gerenciar e controlar versões e configurações de software. O Gartner também considera que soluções para "gerenciamento de alterações de desenvolvimento, rastreamento de defeitos, automação de alterações, gerenciamento de lançamentos de desenvolvimento, gerenciamento de testes integrados, gerenciamento de compilações integradas e outros processos relacionados" como parte do SCCM.

O Sistema de gerenciamento de Identidade entre domínios (SCIM) é um padrão aberto para automatizar o provisionamento e o desprovisionamento de usuários. O SCIM possibilita a troca de informações de identidades de usuários entre domínios de identiddade ou sistemas de TI por meio de uma API padronizada via REST, com dados foratados em JSON ou XML. As organizações usam o SCIM para adicionar e excluir automaticamente usuários de plataformas de terceiros, como pacotes de produtividade de escritório, CRMs e sistemas de bilhetes, à medida que os usuários são integrados ou desligados.

À medida que as organizações adotam mais soluções de SaaS, o SCIM está rapidamente crescendo em popularidade como alternativa ao LDAP. Os principais provedores de identidade, incluindo o Azure Active Directory, têm suporte para o SCIM, como muitas plataformas SaaS populares, incluindo Microsoft Office e Google Workspace.

Segurança da camada de transporte (TLS) e Camadas de soquete de segurança (SSL) são protocolos criptográficos que criptografam dados e autenticam conexões ao transferir dados na internet.

O TLS evoluiu do SSL; o protocolo TLS deveria originalmente ser chamado de SSL 3.0. O nome foi mudado antes da publicação para dissociá-lo da Netscape, a agora extinta empresa que criou o SSL. Apesar de os termos TLS e SSL serem frequentemente usados de forma intercambiável, o SSL não é mais usado pois continha vulnerabilidades de segurança que o TSL foi desenvolvido para corrigir.

Um método com o qual os usuários podem se autenticar a um aplicativo usando um cookie assinado contendo informações do estado da sessão. A autenticação com base em token é geralmente usada em conjunto com outros métodos de autenticação. Nesse cenário, outro método será usado para autenticação inicial da identidade, e a autenticação com base em token é usada para reautenticação quando um usuário retorna a um site ou aplicativo.

A Estrutura de autenticação universal (UAF) é um padrão aberto desenvolvido pela Aliança FIDO com o objetivo de possibilitar a autenticação sem senha como fator de autenticação principal, e não secundário.

Universal Second Factor (U2F) é um padrão aberto que usa tokens de segurança de hardware, conectados via USB ou comunicação de campo próximo (NFC), como fatores adicionais em A2F/AVF. Inicialmente desenvolvido pela Google e Yubico, com contribuição da NXP Semiconductors, o padrão U2F agora é hospedado pela Aliança FIDO. Ele teve sucesso com o Projeto FIDO2.

O Controle de conta de usuário (UAC) é um recurso de execução de controle de acesso obrigatório incluído nos sistemas Microsoft Windows. O UAC ajuda a minimizar o impacto de malware, evitando que usuários humanos, aplicativos e malware façam alterações não autorizadas no sistema operacional. Ele funciona forçando que todos os aplicativos que exijam um token de acesso de administrador solicitem consentimento antes de executar certos processos, como instalar um novo software.

A análise de comportamento de usuários entidades (UEBA) aproveita algoritmos de inteligência artificial e aprendizagem de máquina para criar linhas de base comportamentais para usuários humanos, roteadores, servidores e terminais em uma rede organizacional, e, em seguida, monitora em busca de desvios dessa linha de base. Um exemplo comum de UEBA em ação é quando uma empresa de cartão de crédito congela temporariamente a conta de um cliente porque o algoritmo notou uma mudança drástica no comportamento do usuário, como um cliente subitamente fazendo vários pedidos muito grandes.

O Gerenciamento de acesso privilegiado de fornecedor (VPAM) é um subconjunto do PAM que lida com fornecedores que precisam de acesso a sistemas sensíveis; por exemplo, um desenvolvedor terceiro, fornecedor de segurança ou empresa de folha de pagamento. As soluções de VPAM garantem que o acesso de fornecedores privilegiados siga as mesmas restrições que as contas de PAM da organização, como menor privilégio, acesso no momento certo e registro/monitoramento de sessão.

A Computação em rede virtual (VNC) é um sistema de compartilhamento de tela entre plataformas usado para controlar remotamente, de outro computador, áreas de trabalho. Usando VNC, um usuário remoto pode usar a tela, o teclado e o mouse de um computador como se estivesse sentado à frente dele.

A VNC funciona em um modelo cliente/servidor, o que exige instalar um componente servidor na máquina remota sendo acessada e um visualizador de VCN, ou cliente, no dispositivo de onde a máquina remota está sendo acessada. A VNC utiliza o protocolo Remote Framebuffer (RFB) para governar o formato dos dados que passam entre o cliente e o servidor.

A VNC é similar ao RDP, mas funciona entre vários sistemas operacionais e conecta-se diretamente ao computador remoto, em vez de passar por um servidor.

O gerenciamento de acesso web (WAM) foi um predecessor do IAM que era comum nos anos 1990 e no começo dos anos 2000. As soluções de WAN forneciam controle e governança sobre o acesso dos usuários a recursos da web hospedados localmente em centros de dados da empresa. Como as ferramentas de WAM não se adaptaram ao advento da computação em nuvem, da mobilidade, das APIs e do acesso remoto, elas foram substituídas por soluções de IAM mais robustas.

WebAuthn (Autenticação web) é uma API baseada na web publicada pelo World Wide Web Consortium (W3C) e um componente essencial do conjunto de especificações FIDO2. A WebAuthn possibilita que os sites atualizem as páginas de login para adicionar autenticação com base em FIDO em navegadores e plataformas com suporte.

eXtensible Access Control Markup Language (Linguagem de marcação de controle de acesso extensível). Uma linguagem estruturada usada por soluções de IAM que suportam controle de acesso com base em atributo (ABAC), controle de acesso com base em política (PBAC) e outros mecanismos de autorização altamente complexos que concedem direitos de acesso de acordo com um conjunto de atributos granulares do usuário que funcionam juntos.

Conhecimento zero é um modelo de segurança que utiliza uma estrutura única de criptografia e segregação de dados que protege contra violações de dados remotas, garantindo que os provedores de serviços de TI que não tenham conhecimento dos dados do cliente armazenados em seus servidores.

Em um ambiente de conhecimento zero, os dados são criptografados e descriptografados no nível do dispositivo, não no servidor. O servidor nunca recebe nem armazena dados em texto simples, e o provedor de serviços de TI não pode acessar as chaves de criptografia do cliente. Como resultado, ninguém além do cliente pode acessar os dados descriptografados - nem mesmo os funcionários do provedor de serviços de TI.

O Keeper Security é um provedor de segurança de conhecimento zero. Os dados são criptografados no dispositivo do usuário antes de serem transmitidos e armazenados no cofre digital do Keeper. Quando os dados são sincronizados com outro dispositivo, os dados permanecem criptografados até que sejam descriptografados no outro dispositivo. O Keeper não pode acessar as senhas mestras de nossos clientes nem suas chaves de criptografia para descriptografar seus dados.

Uma estrutura de IAM moderna que supõe que todos os usuários e dispositivos podem ser comprometidos, que todos, humanos ou máquinas, devem ser verificados antes que possam acessar a rede e que devem ter acesso de menor privilégio aos recursos de rede.

Acesso de rede de confiança zero (ZTNA) é uma estrutura de segurança de rede voltada para manter controles de acesso e mecanismos de autenticação estritos, independentemente de um usuário ou dispositivo estar localizado dentro ou fora do perímetro da rede.

Credenciais detectáveis, também conhecidas como chaves residentes, possibilitam que a WebAuthn API ofereça AVF de alta garantia com uma experiência de login sem senha.

Em uma configuração de autenticação "tradicional", as credenciais do usuário são armazenadas no servidor da parte terceira. Isso faz com que seja necessário que o servidor retorne as credenciais ao autenticador antes o autenticador possa descriptografá-los e usá-los. Além disso, o usuário precisa inserir um nome de usuário e normalmente uma senha para verificar sua identidade.

Em uma configuração de credenciais detectáveis, a chave privada do usuário e os metadados associados são armazenados no autenticador em vez de no servidor da parte terceira. Durante o processo de registro inicial, o servidor da parte terceira gera um código de usuário contendo um identificador exclusivo. Esse código de usuário, juntamente com a chave privada, são armazenados no autenticador.

Em seguida, durante o processo de autenticação, o autenticador retorna o código do usuário, permitindo que o servidor procure o usuário associado, em vez de o usuário ter que digitar o nome de usuário para fazer login. Se o autenticador também tiver suporte para verificação com PIN ou biometria, a parte terceira receberá AVF de alta garantia em um único passo de login, se que nenhuma senha precise ser transmitida.

Um atestado se refere a evidência ou prova de algo. O conjunto FIDO 2.0 de especificações de segurança usa atestados para fornecer prova criptográfica do modelo do autenticador para a parte terceira, com a qual a parte terceira pode então derivar as características de segurança do autenticador.

No FIDO 2.0, declarações de atestado são vinculadas a dados contextuais. Os dados são observados e adicionados à medida que uma solicitação de assinatura passa do servidor para o autenticador. Para verificar uma assinatura, o servidor verifica os dados que recebe com relação aos valores esperados.

No contexto do FIDO 2.0, uma parte terceira é um site ou qualquer outra entidade que usa o protocolo FIDO para autenticar os usuários diretamente.

Nos casos em que o FIDO é combinado com protocolos de gerenciamento de identidade federado, como SAML e OpenID Connect, o provedor de identidade também é uma parte terceira do FIDO.