Como funciona o Método de autenticação externa (EAM)

O que é um método de autenticação externa (EAM)?

As stacks de tecnologia modernas incluem diversos serviços internos e de terceiros. A separação de serviços é um elemento fundamental da arquitetura de microsserviços. Fazer isso pode ajudar as empresas a gerar valor mais rapidamente e com menos pontos de falha. No entanto, aumentar o número de serviços envolvidos no desenvolvimento de software acarreta desvantagens. Cada novo serviço torna o gerenciamento de identidade e acesso (IAM) mais complexo.

Cada novo serviço traz potencialmente uma nova abordagem de autenticação, que pode não estar em conformidade com as políticas de segurança ou regulamentares. A segurança deficiente na autenticação em um único serviço pode resultar em dispendiosos ciberataques e comprometimento de dados.

Os métodos de autenticação externa (EAM) tradicionais dependem de provedores de identidade (IdPs) como Okta, Entra ID e Google Identity para autenticar usuários. Essas soluções validam credenciais e aplicam a autenticação multifatorial (MFA), mas não avaliam sinais de risco em tempo real.

A CrowdStrike leva o EAM um passo adiante, combinando autenticação com análise de risco avançada. O CrowdStrike Falcon® Next-Gen Identity Security avalia continuamente classificações de risco do usuário, sinais de confiança do dispositivo e inteligência de ameaças antes de conceder acesso. Essa abordagem impede que adversários burlem a autenticação usando credenciais roubadas, ataques de fadiga de MFA ou endpoints comprometidos.

Este artigo explora os elementos críticos do EAM, seu fluxo de autenticação, benefícios, riscos, desafios e soluções.

Como entender o ecossistema do EAM

As implementações tradicionais de EAM terceirizam a autenticação para IdPs, que verificam as credenciais do usuário, autenticação multifatorial (MFA) ou dados biométricos antes de emitir um token de autenticação (por exemplo, JWT ou SAML). Embora essa abordagem simplifique o gerenciamento de identidades, ela não avalia fatores de risco como credenciais comprometidas, comportamento de login incomum ou segurança de endpoint.

O CrowdStrike Falcon® Next-Gen Identity Security aprimora o EAM ao introduzir a autenticação baseada em risco. Em vez de confiar cegamente nos IdPs, o Falcon Next-Gen Identity Security avalia:

• Classificações de risco do usuário: sinaliza usuários que apresentam comportamentos de login incomuns.
• Confiança do dispositivo: garante que apenas dispositivos seguros e gerenciados possam se autenticar.
• Inteligência de ameaças: identifica credenciais comprometidas, tentativas de ataque à autenticação multifatorial (MFA) ou táticas adversárias.

Essa abordagem baseada em risco vai além da validação de credenciais — ela garante que as solicitações de autenticação venham de usuários legítimos em dispositivos seguros.

A delegação do processo de autenticação aumenta a segurança, a escalabilidade e a experiência do usuário. Isso também reduz o risco associado ao gerenciamento descentralizado de identidades. 

O EAM utiliza o modelo de Segurança Zero Trust. Por padrão, o EAM não confia em nenhum usuário ou dispositivo e exige verificação explícita para autenticar uma identidade. O EAM também ajuda as organizações a cumprir requisitos de conformidade, aplicando práticas recomendadas ao tratamento de dados. 

IdPs federados

Os IdPs federados funcionam como fonte de verdade para autenticação de identidade. Exemplos populares de IdPs federados incluem Okta, Azure AD e Google Identity. Esses provedores verificam as identidades dos usuários e emitem um token JWT ou SAML, que é posteriormente usado por aplicações de negócios para fins de autorização e gerenciamento de sessão. 

Com esse modelo de autenticação centralizada, as empresas eliminam a necessidade — e o risco — de múltiplos sistemas de autenticação desconectados para cada serviço em sua stack de tecnologia.

Logon único (SSO)

O login único (SSO) é um modelo de autenticação que permite aos usuários fazer login em várias aplicações com uma única identidade centralizada. Com o SSO, as aplicações de negócios individuais delegam a autenticação para um IdP centralizado. O SSO elimina a necessidade de autenticação repetida, proporciona uma experiência integrada para o usuário, reduz a fadiga de senhas e minimiza os riscos de segurança. 

Autenticação multifatorial

A autenticação multifatorial (MFA) aprimora a segurança do EAM, solicitando ao usuário uma verificação adicional antes de confirmar sua identidade. A MFA normalmente utiliza um nome de usuário/senha juntamente com um fator de autenticação diferente de uma das opções comuns de MFA, como SMS, senhas de uso único (OTP) geradas por aplicativos, biometria ou tokens OTP de hardware. Ao impor a MFA, as implementações de EAM reduzem o risco de ataques de força bruta e os danos causados por vazamentos de credenciais.

Como funciona o EAM: fluxo de autenticação

O fluxo de autenticação em uma implementação de EAM aprimorada pela CrowdStrike inclui uma camada adicional de análise de risco:

1. O usuário inicia uma solicitação de login.

2. A solicitação de autenticação é interceptada pelo Falcon Next-Gen Identity Security, que avalia sinais de risco em tempo real antes de encaminhar a solicitação ao IdP.

3. A tomada de decisões baseada em risco ocorre:

• Se o login for de baixo risco → o usuário é redirecionado para o IdP e recebe a autenticação padrão.
• Se o login for de alto risco → a CrowdStrike aplica controles de segurança adaptativos, como bloquear o acesso, exigir autenticação de dois fatores ou alertar as equipes de segurança.

4. O IdP verifica as credenciais, e a autenticação multifatorial (MFA) e emite um token JWT/SAML.

5. A CrowdStrike monitora continuamente a atividade da sessão em busca de riscos pós-autenticação.

Quatro benefícios essenciais do EAM para organizações modernas

O EAM simplifica o gerenciamento de identidade e acesso para organizações e elimina a necessidade de manter bancos de dados e serviços internos para armazenar credenciais de usuário. 

Os quatro principais benefícios do EAM são: 

1. Prevenção proativa de ameaças: ao contrário dos IdPs tradicionais, o Falcon Next-Gen Identity Security bloqueia ativamente ataques baseados em identidade antes que eles atinjam as aplicações.

2. Controle de acesso baseado em risco: a CrowdStrike avalia continuamente os sinais do usuário, do dispositivo e das ameaças para determinar se um login deve ser permitido, contestado ou bloqueado.

3. Melhoria na conformidade e na postura de segurança: organizações que utilizam o Falcon Next-Gen Identity Security para EAM obtêm monitoramento em tempo real do risco de autenticação, reduzindo a exposição a roubo de credenciais, ataques de fadiga de autenticação multifatorial (MFA) e apropriação de contas.

4. Experiência de usuário perfeita sem sacrificar a segurança: ao eliminar atritos desnecessários na autenticação para usuários de baixo risco, a CrowdStrike equilibra segurança e praticidade para o usuário.

Riscos e desafios potenciais do EAM

O EAM simplifica o gerenciamento de identidades e a segurança, mas também introduz alguns riscos e desafios operacionais. Ao desenvolver uma estratégia de EAM, as organizações devem considerar os obstáculos mais comuns que surgem nesse processo.

Risco de tempo de inatividade devido a dependências de IdP externo 

As soluções tradicionais de EAM dependem inteiramente de IdPs externos. Se um IdP ficar inativo, a autenticação falha, bloqueando o acesso dos usuários a aplicações críticas. Um comprometimento de dados no sistema de IdP pode vazar dados confidenciais do usuário ou expor aplicações a ataques de falsificação de identidade. As organizações devem revisar regularmente suas políticas de emissão de tokens para mitigar esses riscos e garantir que as aplicações subsequentes sigam as práticas recomendadas de validação. 

Como a CrowdStrike pode ajudar:

• Avaliação de risco offline: o Falcon Next-Gen Identity Security impede o bloqueio total do IdP, avaliando continuamente os sinais de risco, mesmo quando o IdP está indisponível.
• Controles de segurança adaptáveis: caso ocorra tempo de inatividade do IdP, o Falcon Next-Gen Identity Security pode impor mecanismos de autenticação de backup para manter a continuidade dos negócios.

As políticas devem impor tokens de curta duração com escopos limitados para reduzir o risco de uso indevido por atores mal-intencionados. Além disso, é fundamental avaliar regularmente a postura de segurança do IdP e estabelecer acordos de nível de serviço (SLAs) para fins de responsabilização. 

Práticas inadequadas de gerenciamento de identidade 

Práticas inconsistentes de gerenciamento de identidade por parte do IdP podem resultar na criação de contas duplicadas, causando problemas de login e aumentando as despesas operacionais de TI. Para evitar isso, configure as aplicações com um ID de entidade exclusivo e certifique-se de que as contas do usuário estejam vinculadas a um identificador exclusivo. 

Desafios relacionados ao risco e ao desligamento de contas órfãs

A falta de fluxos de trabalho de desligamento de usuários pode resultar em contas órfãs, ou seja, a conta do usuário permanece ativa no IdP mesmo depois que o usuário deixou a organização. Isso aumenta o risco de acesso não autorizado. O risco de contas órfãs pode ser mitigado pela implementação de fluxos de trabalho automatizados de desprovisionamento, que sincronizam as contas entre o IdP e os sistemas internos.

Suporte e segurança de soluções de EAM

O EAM reduz significativamente o tempo e o esforço necessários para implementar um sistema de autenticação, permitindo maior segurança, conformidade, padronização e escalabilidade. O EAM oferece aos usuários finais uma experiência de login integrada em todas as aplicações e elimina a necessidade de autenticação repetida. 

A autenticação de IdP tradicional, por si só, não é suficiente para impedir ataques de identidade modernos. O CrowdStrike Falcon® Next-Gen Identity Security aprimora o EAM analisando sinais de risco em tempo real, garantindo que apenas usuários confiáveis e dispositivos seguros obtenham acesso.

• Previna ataques baseados em identidade antes que a autenticação ocorra.
• Bloqueie adversários que usam credenciais roubadas ou táticas de fadiga de autenticação multifatorial (MFA).
• Implemente a autenticação adaptativa com políticas baseadas em risco.

O CrowdStrike Falcon ® Next-Gen Identity Security e o ITDR oferecem segurança em tempo real contra ataques baseados em identidade, permitindo que as organizações identifiquem e respondam a essas ameaças assim que elas ocorrerem. A solução oferece também Serviços profissionais de proteção de identidade para monitoramento proativo de ameaças baseadas em IdP, incluindo Azure ID, Okta e Entra ID.