Em ataques modernos, comprometer uma conta nem sempre significa quebrar a senha. O usuário pode ser a pessoa certa e passar com sucesso no MFA; mas o dispositivo a partir do qual ele acessa pode estar desatualizado, com o agente de segurança desligado, com a criptografia de disco desabilitada, infectado por malware ou com root. Nesse caso, mesmo que a autenticação tenha êxito, o risco de acesso permanece.
O trabalho remoto e o modelo de dispositivo pessoal (BYOD) ampliam esse problema. Dispositivo corporativo, dispositivo pessoal, dispositivo móvel gerenciado, sessão temporária de navegador e endpoint desconhecido podem tentar acessar as mesmas aplicações. Conceder a mesma confiança de acesso a todos esses dispositivos contradiz a abordagem zero-trust.
Camadas tradicionais de balanceador de carga ou WAAP geralmente não enxergam a postura do dispositivo. Quando o tráfego do usuário chega, podem interpretar IP, header, TLS ou informação de sessão; mas não conseguem vincular naturalmente à decisão de acesso se o dispositivo é gerenciado, o estado da criptografia de disco, a atividade do agente de segurança ou a conformidade do sistema operacional.
A abordagem correta é tornar a confiança do dispositivo um sinal de primeira classe da política de acesso. Identidade do usuário, postura do dispositivo, localização, nível de risco, comportamento da sessão e estado do MFA devem ser avaliados na mesma cadeia de conditional-access.
O TR7 Endpoint Trust Manager oferece esse modelo: vincula os sinais de confiança provenientes da postura do dispositivo às políticas de acesso do AAM e toma a decisão de acesso com a tríade usuário + dispositivo + contexto.
O TR7 ETM funciona com postura de dispositivo, sinais agentless, avaliação contínua e integração com a política de acesso.
Em dispositivos gerenciados, podem ser coletadas informações de versão do sistema operacional, criptografia de disco, estado do agente de segurança, firewall, gerenciamento de dispositivo e conformidade. Esses sinais ricos fornecem um contexto de alta confiança na decisão de acesso.
Em dispositivos sem agente instalado, podem ser avaliados informação do navegador, impressão digital TLS, pistas do sistema operacional e contexto do cliente. Esse modelo não é tão rico quanto a postura completa, mas não deixa os dispositivos desconhecidos totalmente cegos.
O dispositivo pode ser avaliado não apenas no momento do login, mas também durante toda a sessão. Se a postura se deteriorar, o nível de acesso pode ser reduzido, MFA pode ser solicitado ou a sessão pode ser encerrada.
O dispositivo pode ser classificado em categorias como compliant, non-compliant ou at-risk. Essas classes são vinculadas diretamente a políticas do AAM como allow, MFA, block ou acesso restrito.
O Endpoint Trust Manager transforma os sinais de confiança do dispositivo em entrada de decisão aplicável às políticas de acesso do AAM.
O TR7 ETM posiciona-se para incluir na decisão de acesso os sinais de postura provenientes de desktops, notebooks e dispositivos móveis. Dispositivo corporativo, dispositivo pessoal e dispositivo móvel gerenciado podem ser avaliados na mesma cadeia de política. Essa abordagem reduz a criação de ilhas de segurança separadas para diferentes tipos de endpoint. A decisão de acesso é moldada conforme o tipo de dispositivo e o nível de confiança.
Versões antigas do sistema operacional, endpoints sem patch e plataformas em fim de suporte aumentam o risco de acesso. O TR7 ETM pode usar a informação de versão e atualidade do sistema operacional como trust signal. A dispositivos antigos podem ser aplicados bloqueio direto, MFA adicional ou política de acesso de baixo privilégio. Assim, o acesso à aplicação é vinculado ao requisito de uma plataforma segura.
Dispositivos sem criptografia de disco carregam alto risco em cenários de endpoint perdido ou roubado. O TR7 ETM pode avaliar o estado da criptografia de disco como um dos sinais fundamentais da confiança do dispositivo. O acesso a aplicações críticas pode ser concedido apenas a dispositivos que usam disco criptografado. Esse modelo é especialmente importante em ambientes que processam dados financeiros, de saúde e do setor público.
Se o agente de segurança está ou não ativo no endpoint é um indicador de postura importante. Se o agente de segurança estiver desligado, desabilitado ou desatualizado, o dispositivo pode ser colocado na classe at-risk. Nesse caso, a política do AAM pode solicitar MFA adicional, restringir o acesso ou bloqueá-lo totalmente. A decisão de acesso passa a estar alinhada ao estado de defesa do endpoint.
O estado de gerenciamento proveniente de integrações modernas de MDM/EMM pode indicar se o dispositivo está sob controle corporativo. A dispositivos gerenciados pode ser concedido um nível de confiança mais alto, e a dispositivos pessoais não gerenciados, um acesso mais limitado. Essa abordagem permite gerenciar o uso de dispositivo pessoal (BYOD) com base em risco, sem proibi-lo por completo. Estabelece-se um equilíbrio mais prático entre a experiência do usuário e a política de segurança.
Dispositivos com root ou jailbreak apresentam alto risco em termos de isolamento de aplicações, segurança de certificados e proteção de dados. O TR7 ETM pode colocar esses dispositivos na classe non-compliant ou at-risk. No acesso a banco móvel, portal de saúde ou gestão corporativa, esse sinal pode ser motivo de bloqueio direto. A confiança no endpoint móvel torna-se parte da política de acesso.
Nem todo dispositivo tem agente instalado. Nesse caso, podem ser usados sinais agentless como versão do navegador, TLS fingerprint, pista do sistema operacional e contexto de headers. Esses sinais não fornecem a postura completa do dispositivo, mas ajudam a distinguir um dispositivo desconhecido de um dispositivo confiável. Nesses casos, o AAM pode aplicar MFA adicional ou um nível de confiança baixo.
A postura do dispositivo por si só não basta; localização e contexto de rede também importam. Acessos provenientes de um país de risco, de uma localização incomum ou de uma rede inesperada podem ser avaliados junto com o sinal de confiança do dispositivo. Quando um sistema operacional antigo e uma localização de alto risco se combinam, pode-se tomar uma ação mais forte. Esse modelo torna a decisão de acesso multidimensional.
Um grande número de sinais de postura pode ser complexo para a equipe de operações. O TR7 ETM pode converter esses sinais em um trust score de 0 a 100 ou em um comportamento de classificação similar. A equipe que escreve a política pode decidir com níveis de confiança low, medium e high, em vez de interpretar cada sinal individualmente. Isso converte os sinais de confiança em uma política de acesso aplicável.
O nível de confiança do dispositivo pode ser usado diretamente na conditional-access policy do AAM. A dispositivos compliant pode ser aplicada a política allow, a dispositivos at-risk MFA, e a dispositivos non-compliant block. Assim, a postura do dispositivo não é apenas uma informação relatada, mas a entrada da decisão de acesso viva. O acesso à aplicação funciona mais próximo da lógica zero-trust.
O dispositivo pode estar seguro no momento do login, mas, durante a sessão, o agente de segurança pode ser desligado ou o estado da postura pode mudar. O TR7 ETM pode capturar essa mudança por meio de avaliação periódica. Se a postura cair, a sessão pode ser suspensa, MFA pode ser solicitado novamente ou o acesso pode ser encerrado. Essa abordagem elimina a suposição de "fez login, agora é confiável".
Eventos de postura de dispositivo, mudança de trust score, não conformidade, disparo de MFA e bloqueio podem ser enviados ao SIEM. As equipes de SOC podem correlacionar o risco de endpoint com os eventos de acesso à aplicação. Essa visibilidade fortalece a análise de comprometimento de conta, não conformidade de dispositivo e acesso anômalo. O sinal de endpoint trust torna-se parte da operação de segurança.
O Endpoint Trust Manager é operado junto com dados de postura, protocolo de trust signal, integração de política, avaliação contínua, auditoria e fluxo SIEM.
A postura do dispositivo pode ser correlacionada com o contexto de sessão do AAM. Dessa forma, a decisão de acesso é tomada não apenas pelo resultado do login, mas também pelo estado de confiança do dispositivo durante a sessão. Carregar os dados de postura junto com a sessão torna as decisões de política mais consistentes.
Em cenários que usam agente, os sinais de postura provenientes do dispositivo podem ser transmitidos à camada TR7 ETM por um canal seguro. No modo agentless, são usados sinais obtidos do contexto de navegador e TLS. Os dois modelos são alimentados na política com diferentes níveis de confiança.
Os sinais do ETM funcionam junto com a conditional-access policy, os métodos de MFA e o motor de continuous-trust-evaluation. Essa integração viabiliza decisões de allow, challenge, block ou session suspend. A confiança do dispositivo não é apenas um relatório, mas uma ação de acesso.
A postura do dispositivo pode ser reavaliada em intervalos definidos. O ciclo padrão pode ser ajustado conforme a política da organização. Em aplicações críticas pode-se preferir uma avaliação mais frequente, e em aplicações de baixo risco, mais espaçada.
Cada posture event, mudança de trust score e decisão de acesso pode ser gravado no audit log. A pergunta de quem, de qual dispositivo, com qual postura, acessou qual aplicação torna-se respondível. Esses registros apoiam os processos de auditoria e investigação de incidentes.
Os eventos do ETM podem ser exportados para a linha de SIEM log streaming. Eventos como não conformidade de endpoint, disparo de MFA, negação de acesso ou suspensão de sessão podem ser correlacionados no sistema central de monitoramento de segurança. Assim, o endpoint trust é vinculado à visibilidade de segurança da aplicação.
As equipes bancárias podem classificar como non-compliant os dispositivos móveis com root ou jailbreak. O acesso a partir desses dispositivos é bloqueado ou pode exigir verificação adicional.
Órgãos do setor público podem conceder acesso a aplicações classificadas apenas a dispositivos gerenciados, com criptografia de disco ativa e agente de segurança em operação. Dispositivos não conformes são recusados no nível da política.
Quando profissionais de saúde acessam a partir de um dispositivo pessoal, se o trust score do dispositivo for baixo, pode-se aplicar MFA adicional ou acesso restrito. Se o agente de segurança for desligado, a sessão pode ser suspensa.
Em vez de conceder acesso direto a um usuário que utiliza sistema operacional antigo e vem de uma localização de alto risco, pode-se aplicar step-up MFA. Se o nível de risco aumentar, o acesso pode ser totalmente bloqueado.
Que identidade do usuário, postura do dispositivo e contexto sejam avaliados em conjunto. Vamos planejar um tour de implantação ao vivo no seu próprio ambiente.