À medida que o trabalho diminui com a típica desaceleração de fim de ano, agora é um bom momento para revisar as funções e privilégios dos usuários e remover qualquer pessoa que não deveria ter acesso, bem como cortar permissões desnecessárias. Além de economizar algumas taxas de licença desnecessárias, um inventário de usuário limpo aumenta significativamente a segurança de seus aplicativos SaaS. Da redução de riscos à proteção contra vazamento de dados, veja como você pode começar o novo ano com uma lista de usuários limpa.
Como os usuários excluídos ainda têm acesso aos seus aplicativos
Quando os funcionários deixam uma empresa, eles desencadeiam uma série de mudanças nos sistemas de back-end. Primeiro, eles são removidos do provedor de identidade (IdP) da empresa, o que inicia um fluxo de trabalho automatizado que desativa seus e-mails e remove o acesso a todos os sistemas internos. Quando as empresas usam um SSO (logon único), esses ex-funcionários perdem o acesso a quaisquer propriedades online – incluindo aplicativos SaaS – que exigem SSO para login.
No entanto, isso não significa que os ex-funcionários tenham sido totalmente desprovisionados de todas as aplicações SaaS. As empresas devem desativar ou excluir manualmente os usuários de seus aplicativos SaaS para todos os aplicativos que não estão conectados ao SSO, bem como para qualquer usuário que tenha acesso local a um aplicativo que esteja conectado ao SSO. Este problema é particularmente grave com usuários de alto privilégio. Muitos aplicativos exigem acesso local caso o SSO fique offline.
Qualquer usuário desconectado com acesso a aplicativos SaaS corporativos mantém a capacidade de fazer login e usar o aplicativo. Isso significa que eles podem baixar dados, fazer alterações, excluir arquivos ou até mesmo compartilhar suas credenciais de login com concorrentes.
Certifique-se de dimensionar as permissões corretamente
A permissão excessiva de qualquer usuário expande desnecessariamente a superfície de ataque e introduz desnecessariamente um nível mais alto de risco para o aplicativo. São as permissões do usuário que controlam o nível de acesso que cada funcionário tem dentro de uma aplicação. Caso uma conta de usuário fosse comprometida, o autor da ameaça teria um nível de acesso igual ao do usuário comprometido.
Um líder de equipe provavelmente precisaria de permissões administrativas para adicionar novos usuários, abrir projetos e controlar o uso do aplicativo. Os funcionários que usam o aplicativo podem precisar de permissões de leitura/gravação para cumprir sua função, enquanto o pessoal de suporte pode precisar apenas de permissões de leitura ou da capacidade de baixar relatórios.
Com o ano chegando ao fim, é um bom momento para revisar as permissões dos usuários e garantir que estejam alinhadas com sua função. As empresas devem implementar o princípio do menor privilégio (POLP), para garantir que os funcionários tenham o nível certo de acesso para realizar o seu trabalho. Para aplicativos que incluem funcionalidade de grupo, atribua usuários semelhantes a grupos com permissões predefinidas para padronizar conjuntos de permissões. Para outros aplicativos, vale a pena revisar as permissões do usuário e limitar o acesso apenas às funcionalidades necessárias.
Elimine contas inativas
As contas inativas, que são contas não utilizadas, normalmente se enquadram em uma das três categorias.
Contas de administrador – usadas para configurar inicialmente o aplicativo, geralmente por vários usuários. Essas contas inativas têm amplos privilégios.
Contas internas não utilizadas – contas de funcionários que não precisam mais ou não utilizam mais o aplicativo. O acesso é baseado na função do funcionário.
Contas externas não utilizadas – contas de usuários externos que não são utilizadas. Este acesso é baseado nas permissões concedidas ao usuário.
O risco inerente a estas contas é significativo. As contas de administrador usadas por vários usuários tendem a ter nomes de usuário fáceis de adivinhar, senhas fáceis de lembrar e acesso local. Esta é uma combinação pronta para abuso. Contas de funcionários não utilizadas podem fornecer acesso a agentes de ameaças após um ataque de phishing, em que o funcionário nem sequer se lembra de todos os aplicativos aos quais tem acesso. Enquanto isso, as equipes de segurança não têm visibilidade dos usuários externos e se eles ainda estão envolvidos no projeto.
À medida que as empresas avançam durante a época festiva, cabe-lhes rever as contas inativas e tomar as medidas necessárias para investigar e avaliar o seu risco. Quando indicado, essas contas deverão ser desativadas ou canceladas.
Implementar prevenção de compartilhamento de contas
Quando as equipes usam um nome de usuário compartilhado para reduzir as taxas de licença, elas criam, sem saber, um risco adicional de segurança. As contas compartilhadas são quase impossíveis de serem totalmente protegidas. À medida que os funcionários ingressam e saem da equipe, aumenta o número de usuários que conhecem as credenciais da conta. Além disso, o uso de um login compartilhado evita o uso de MFA e SSO, duas ferramentas críticas usadas para proteger aplicativos SaaS.
As contas compartilhadas também dificultam a detecção de ameaças provenientes de uma conta. Os dados usados para detectar ameaças são baseados no uso normal. No entanto, se uma conta for acessada frequentemente de vários locais, é improvável que acione um alerta se for acessada por um agente de ameaça.
Embora não seja fácil detectar contas compartilhadas, as empresas podem implementar medidas para prevenir e detectar o compartilhamento de contas. A exigência de MFA ou SSO, por exemplo, dificulta o compartilhamento de contas entre os usuários. As equipes de segurança também podem revisar análises de comportamento do usuário que indicam o compartilhamento de contas. Monitorar logins de endereços IP ou revisar de perto a análise do comportamento do usuário são duas maneiras de detectar nomes de usuários compartilhados.
Gastar tempo agora para descobrir contas compartilhadas ajudará a manter os aplicativos SaaS mais seguros no próximo ano e no futuro.
Automatizando o monitoramento e gerenciamento de usuários
Revisar manualmente as listas de aplicativos e compará-las com o IdP é uma tarefa tediosa. O mesmo acontece com a verificação de permissões, a revisão de contas inativas e a procura de sinais de compartilhamento de contas. A introdução de uma plataforma SaaS Security Posture Management (SSPM) automatiza o processo.
Usando um inventário de usuários do SSPM, como o Adaptive Shield, as empresas podem identificar rapidamente contas de usuários que não foram acessadas durante um determinado período de tempo, encontrar usuários externos com altos conjuntos de permissões e detectar usuários que foram removidos do IdP. Os SSPMs também são capazes de associar usuários a dispositivos para limitar ainda mais o risco.
Ao preparar-se para 2024, introduzir um SSPM é a maneira mais eficaz e eficiente de monitorar usuários e saber quem tem acesso a quê em sua pilha de SaaS.