Um pequeno descuido ao administrar as contas do diretório da organização, pode gerar diversas consequências. Quando uma conta de usuário com privilégios de administrador dentro do ambiente não está sendo monitorada, ou pelo menos não da forma adequada, ela é chamada de Shadow Admin ou Administrador Sombra. Por não ter a existência conhecida, ela pode representar um risco para qualquer empresa.
Hoje iremos explicar o que são Shadow Admins, como eles agem, como identificá-los e quais riscos representam para as organizações. Continue lendo!
O que são as contas shadow admin?
Essas contas geralmente possuem acessos administrativos com privilégios, que podem variar dependendo de cada conta, mas não fazem parte de nenhum grupo administrativo ou função de administração.
Ou seja, em uma auditoria ou em relatório simples de monitoramento, elas não seriam incluídas e ninguém iria obter os detalhes do que elas estão fazendo dentro do ambiente.
Com esses privilégios, uma pessoa que usa essa conta pode acessar aplicações ou sistemas que não deveria, e realizar alterações no diretório que não vão ser rastreadas – como redefinir senha de outros usuários ou alterar permissões.
Mas esse conceito no contexto de CIEM, as contas dentro do ambiente Cloud que possuem permissões excessivas também podem ser consideradas shadow admin, mesmo que não façam parte de grupos, pois existem políticas de nuvem que garantem acessos excessivos.
Como as contas shadow admin surgem?
O mais comum é que elas surjam a partir de uma necessidade na organização para realizar uma tarefa especifica. Em uma situação como essa, o super administrador cria uma conta com privilégios administrativos fora do grupo administrativo/função de administração, para que ela execute a atividade.
Mas por falha humana, o administrador pode esquecer de retirar o privilégio daquela conta após o término da atividade e a pessoa pode continuar agindo ativamente no sistema com os direitos de acesso que lhe foram concedidos. Essa situação pode gerar diversos riscos para a empresa, vamos explorar mais sobre eles a seguir.
Quais riscos estão associados às shadow admins?
Pelo fato de existirem casos de contas shadow admins não associadas a grupos administrativos, elas passam despercebidas por análises de monitoramento voltadas a segurança dos usuários. Essas contas podem estar sendo utilizadas por agentes maliciosos para atos indevidos dentro do sistema para obter acesso a recursos críticos, com isso, comprometendo a segurança do ambiente.
Com acesso a recursos administrativos, o usuário por trás dessa conta pode, além de alterar permissões, também removê-las. Isso pode impedir que, caso a conta seja descoberta, uma conta legítima consiga excluí-la ou limitar sua atuação.
Em casos em que a conta é invadida, o departamento de TI pode levar muito mais tempo que o normal para identificar e agir, e o criminoso pode utilizar dela para explorar brechas de segurança.
Diante de tudo isso, fica evidente o perigo de manter contas administrativas “sombras” no diretório de usuários da organização. Para evitar esse tipo de dor de cabeça, vamos apresentar uma solução da ManageEngine que pode ajudar a identificar os shadow admins e mantê-los no radar.
Como identificar contas shadow admin com o PAM360 da ManageEngine
O PAM360 é uma solução de gerenciamento de acesso privilegiado que agora conta com o recurso de gerenciamento de direitos de infraestrutura em nuvem, com todos os requisitos necessários para realizar avaliações de riscos no ambiente cloud e corrigi-los.
Para aprender como realizar esse monitoramento e agir contra as ameaças de shadow admin, temos um vídeo em nosso canal ensinando sobre:
Na aba de CIEM da ferramenta, é possível importar as credenciais do seu ambiente na nuvem e realizar o gerenciamento das funções, usuários, grupos de usuários e serviços atrelados a cada um deles.
Dessa maneira, é possível ter a garantia de que as permissões são dadas apenas a quem precisa e que o diretório organizacional da empresa está em conformidade com as regulamentações do país.
Quer saber mais sobre a solução? Clique aqui. Oferecemos um teste gratuito por 30 dias ou uma demonstração personalizada com um de nossos especialistas.
