Privileged Access Management na prática: por que 93% dos incidentes passam por credencial privilegiada e o que fazer antes do próximo

A realidade que os dados de campo confirmam repetidamente é que os ataques modernos não terminam onde começam. Eles usam o acesso inicial como ponto de partida para um processo deliberado de escalada e esse processo invariavelmente converge para o mesmo objetivo: obter controle sobre uma identidade com poder suficiente para fazer o que o atacante precisa fazer, seja criptografar dados para ransomware, exfiltrar informações silenciosamente ou estabelecer persistência de longo prazo na infraestrutura. 

Identidade privilegiada é o caminho. PAM é o que torna esse caminho difícil o suficiente para ser detectado ou bloqueado antes que o dano aconteça.

O que realmente é identidade privilegiada 

O erro mais comum que as equipes de segurança cometem ao avaliar sua exposição a ataques de identidade é assumir que o problema se limita às contas de administrador de domínio. Na prática, o escopo é consideravelmente mais amplo e é exatamente essa amplitude que os atacantes exploram com mais frequência.

Qualquer conta com acesso a recursos que vai além do necessário para a função do usuário conta como privilegiada do ponto de vista de risco. Isso inclui service accounts criadas para automações que acumularam permissões ao longo do tempo sem revisão periódica; contas de fornecedores com acesso remoto a sistemas de produção, frequentemente com credenciais compartilhadas e sem monitoramento de sessão; credenciais de aplicações embarcadas em scripts ou variáveis de ambiente com acesso irrestrito a bancos de dados ou APIs internas; e contas de backup e recuperação com privilégios elevados que raramente são usadas mas nunca são desativadas. 

A proliferação dessas identidades ao longo dos anos, em organizações que cresceram sem estrutura de segurança proporcional, cria uma superfície de ataque de identidade que a maioria dos times subestima significativamente.

Os vetores de comprometimento mais documentados em 2025

O Verizon DBIR 2025 confirma que credenciais comprometidas são o vetor de acesso inicial número um, presentes em 22% das violações analisadas e em 88% dos ataques a aplicações web. Mas a forma como essas credenciais são obtidas e exploradas evoluiu de maneira relevante ao longo dos últimos dois anos, e entender essa evolução é o que diferencia um programa de PAM eficaz de um que cobre o problema de dez anos atrás.

Pass-the-Hash é uma das técnicas mais antigas e ainda mais eficazes em ambientes Windows: em vez de precisar da senha em texto claro, o atacante captura o hash NTLM da credencial por memória de processo, por tráfego de rede ou por dump do SAM database, e o usa diretamente para autenticar em outros sistemas sem precisar decifrá-lo. A defesa passa por Credential Guard no Windows, isolamento de LSA e monitoramento de tentativas de autenticação lateral com hashes.

Kerberoasting é uma técnica específica para ambientes Active Directory que explora o protocolo Kerberos para extrair tickets de serviço de contas com SPNs (Service Principal Names) registrados, que frequentemente são service accounts com permissões elevadas, e os tenta decifrar offline, fora do alcance de qualquer sistema de detecção baseado em rede. A mitigação exige senhas longas e aleatórias nessas contas, rotação frequente e monitoramento de requisições de TGS em volume anômalo.

Golden Ticket é o cenário que qualquer equipe de IR considera o pior caso em Active Directory: o atacante compromete o hash KRBTGT e passa a poder gerar tickets de autenticação arbitrários para qualquer conta, com qualquer nível de privilégio, por períodos arbitrariamente longos. Uma vez obtido, o Golden Ticket persiste mesmo após reset de senha de contas individuais, exigindo duplo reset da conta KRBTGT com intervalo de 10 horas para invalidação completa.

Em ambientes cloud, a escalada de privilégios via IAM misconfiguration tornou-se o equivalente funcional dessas técnicas de AD. Políticas de IAM excessivamente permissivas, roles de instância com capacidade de criar novas policies ou modificar as existentes, e service accounts com capacidade de impersonação criam caminhos de escalada que podem levar de uma instância EC2 comprometida ao controle total da conta AWS, sem necessidade de técnicas de ataque sofisticadas.

O que um programa de PAM eficaz precisa cobrir

PAM não é um produto, é um conjunto de controles que, implementados em conjunto, tornam o comprometimento de identidade privilegiada significativamente mais difícil e o uso indevido detectável antes que cause dano irreversível. Os pilares fundamentais são quatro:

1. Descoberta e inventário contínuo de contas privilegiadas: você não pode proteger o que não sabe que existe. Isso inclui contas ativas, contas dormentes, service accounts, contas compartilhadas e qualquer identidade com permissões acima do necessário. A descoberta precisa ser automática e contínua, não um projeto pontual.
2. Cofre de credenciais com rotação automática: senhas de contas privilegiadas não devem ser conhecidas por seres humanos durante o uso normal da operação. Um cofre centralizado injeta credenciais no momento da sessão e as rotaciona automaticamente após o uso, eliminando o vetor de reutilização e de compartilhamento.
3. Controle de acesso just-in-time: privilégios elevados devem ser concedidos apenas quando necessários, para a tarefa específica, com duração limitada e com aprovação documentada. O modelo de contas sempre-admin é o principal facilitador de movimento lateral em incidentes reais.
4. Monitoramento e gravação de sessão: toda atividade de uma sessão privilegiada deve ser registrada de forma íntegra e auditável. Além de funcionar como evidência forense em caso de incidente, o monitoramento em tempo real permite detectar comportamentos anômalos, como comandos executados fora do padrão histórico, transferências de dados em volume incomum, acesso a sistemas fora do escopo esperado.

O papel do controle de acesso físico em ambientes de alta criticidade

Em ambientes onde o risco de uso indevido de credenciais por acesso remoto não autorizado é crítico, seja por ameaça interna, seja por credenciais comprometidas via infostealer ou phishing, o Auth USB adiciona uma camada de controle que o software por si só não consegue oferecer: a vinculação do acesso ao dispositivo físico autorizado. Mesmo que uma credencial privilegiada seja capturada, seu uso fica condicionado à presença do token físico registrado, eliminando o vetor de uso remoto da credencial roubada.

Essa abordagem não substitui as práticas de PAM descritas acima, ela as complementa, resolvendo um vetor específico que controles puramente lógicos deixam aberto.

Por onde começar independentemente do nível de maturidade atual

O primeiro passo prático, independentemente de onde sua organização está hoje, é um inventário completo de contas privilegiadas, incluindo service accounts, contas de terceiros e qualquer identidade com permissões acima do mínimo necessário. Esse inventário frequentemente revela dezenas ou centenas de contas que ninguém sabia que ainda existiam.

A segunda ação imediata é implementar rotação de senhas para as contas mais críticas e eliminar o compartilhamento de credenciais entre usuários. A terceira é habilitar monitoramento de sessão nas contas de maior risco, mesmo que inicialmente apenas com logging básico.

O Teste de Maturidade de Segurança da IB Cyber Security inclui uma avaliação específica do domínio de gestão de identidade e acesso e entrega um score que posiciona sua organização em relação às práticas que os frameworks de referência consideram adequadas para o seu porte. É o ponto de partida mais objetivo disponível.

Faça o diagnóstico gratuito e descubra onde está o risco de identidade na sua organização.