En el artículo 21, la Directiva NIS2 define el conjunto mínimo de medidas de seguridad que las entidades reguladas deben implementar para cumplir con sus requisitos. La sección 2(j) se relaciona directamente con Autenticación de múltiples factores (MFA), afirmando que las medidas de seguridad deberían incluir:
"Tel uso de multifactor autenticación o soluciones de autenticación continua, comunicaciones seguras de voz, video y texto y sistemas seguros de comunicación de emergencia dentro de la entidad, donde corresponda.'
La interpretación de 'donde corresponda' significa dondequiera que exista la posibilidad de que la falta de protección MFA pueda resultar en una violación cibernética. En otras palabras, las entidades deben demostrar que a) han evaluado minuciosamente su identidad superficie de ataque para identificar dónde el acceso malicioso realizado por un actor de amenazas es una amenaza crítica, y b) mitigó este riesgo aplicando MFA en estos posibles intentos de acceso.
Desglose de los requisitos de NIS2 MFA
Podemos mapear los puntos de acceso que necesitan protección en función de los siguientes tres aspectos:
- Cuentas de usuario – ¿A quiénes es probable que se dirijan los adversarios?
- Acceda a métodos – ¿Cómo obtienen los adversarios acceso malicioso?
- Recursos organizacionales – ¿A qué recursos es probable que se dirijan los adversarios?
Estas son las preguntas que usted como seguridad de identidad La parte interesada debe responder primero para determinar dónde se necesita la protección del AMF. Para responderlas mejor, necesitaremos adoptar el punto de vista del atacante, basado en numerosos ataques que hemos analizado, investigado y prevenido.
Entonces, ¿qué usuarios, métodos de acceso y recursos debería proteger con MFA? Examinémoslos uno por uno.
MFA para usuarios privilegiados cuyo compromiso tiene el mayor impacto
el compromiso de usuarios privilegiados es un objetivo primordial para los adversarios. Estos cuentas de usuario tienen derecho a acceder, ejecutar código e interactuar con datos en múltiples recursos dentro del entorno. En un entorno típico, estos usuarios son sus administradores, servicio de asistencia técnica y equipos de TI, por lo que brindar protección MFA a estos usuarios es de suma importancia.
MFA para acceso a PsExec y PowerShell remoto utilizado por atacantes para movimiento lateral y propagación de ransomware
Los adversarios pueden utilizar credenciales comprometidas para actuar movimiento lateral, ampliando su acceso inicial y difundiéndose dentro del entorno objetivo. Esta propagación es el componente clave detrás de la masa ransomware y ataques de robo de datos. Sus herramientas preferidas son herramientas de acceso a la línea de comandos como PsExec y PowerShell remoto. Aplicar MFA a los usuarios que acceden a recursos a través de estas herramientas es la máxima protección contra estos ataques.
MFA para todas las aplicaciones y servidores que son críticos para las operaciones de su organización
Los adversarios apuntan a recursos críticos para maximizar el retorno de su inversión, ya sea un ataque de ransomware que bloquea aplicaciones de misión crítica o el robo de datos comerciales confidenciales o propiedad intelectual. Por lo tanto, identificar estos recursos y colocar protección MFA en el acceso de los usuarios a ellos es una máxima prioridad.
Silverfort Protección de identidad unificada MFA sin agente
Silverfort es el proveedor del primer Unified Protección de Identidad plataforma que ofrece protección en tiempo real contra amenazas de identidad que utilizan credenciales comprometidas para acceso malicioso. SilverfortLa integración única con Active Directory le permite ampliar la ayuda macrofinanciera a cualquier autenticación dentro de los entornos AD a través de cualquier usuario, protocolo de autenticación y recurso.
Integración nativa con Active Directory Proporciona cobertura 100% MFA
¿Cómo se hace? AD reenvía cada solicitud de acceso entrante a Silverfort. Silverfort analiza la solicitud de acceso con respecto a las políticas de acceso vigentes, así como patrones de ataque conocidos o anomalías que podrían indicar un posible compromiso. SilverfortEl análisis de determina si se permite el acceso, se bloquea o se verifica la identidad del usuario con MFA. Si se necesita verificación, Silverfort contactos ya sea propio o cualquiera de los 3rd servicio MFA de terceros para verificar que el usuario real ha iniciado la solicitud de acceso. Tras la respuesta del usuario, Silverfort le dice a AD si se permite el acceso. Esta arquitectura garantiza una cobertura total de todas las autenticaciones e intentos de acceso dentro del entorno protegido.
Silverfort ProProtección para los requisitos de MFA de NIS2: cuentas de usuario críticas, recursos y métodos de acceso
SilverfortLa protección MFA integral de permite a las organizaciones implementar NIS2 Requisitos de la Maestría en Bellas ArtesVamos a examinarlo con más detalle:
SilverfortMFA para usuarios privilegiados
Silverfort automatiza el descubrimiento de todos los usuarios que pertenecen a un grupo administrativo y permite la configuración y aplicación de una política MFA en estos usuarios con un solo clic. Además, Silverfort también descubre usuarios a los que se les han asignado inadvertidamente privilegios de administrador (también conocidos como 'Administradores en la sombra') y configura políticas que incluyen a estos usuarios en la protección de MFA. De esa manera, cualquier intento adversario de aprovechar la credenciales comprometidas Se bloqueará el acceso malicioso de estos usuarios.
SilverfortMFA para acceso a la línea de comandos
Como se explicó anteriormente, SilverfortLa integración de con AD le permite extender la MFA a todas las autenticaciones de AD. Hasta ahora, las herramientas de línea de comandos como PsExec y PowerShell estaban fuera del alcance de las soluciones MFA tradicionales. Esto se debe a que sus protocolos de autenticación subyacentes heredados, NTLM y Kerberos, no admiten la integración de MFA en su proceso de autenticación. SilverfortLa arquitectura de evita el problema de soporte de protocolo porque es capaz de analizar y obtener información sobre cualquier paquete de autenticación reenviado por AD. Esto hace Silverfort la única solución que puede proteger PsExec y PowerShell con MFA, mitigando eficazmente el riesgo de propagación de ransomware en el entorno.
SilverfortMFA para aplicaciones heredadas
Muchas organizaciones, especialmente en los sectores verticales sujetos a estándares de ciberseguridad específicos como la directiva NIS2, aún dependen de aplicaciones heredadas para sus operaciones principales. Soluciones MFA No son una buena opción en este caso porque incorporar MFA en estas aplicaciones requiere cambios en el código fuente de la aplicación, un riesgo operativo que la mayoría de las organizaciones son reacias a asumir. Sin embargo, nuevamente, SilverfortLa integración de AD con AD le permite aplicar sin problemas la protección MFA en cualquier aplicación que se autentique en AD, garantizando que los recursos críticos de la organización tengan protección en tiempo real contra el acceso malicioso.
¿Quieres saber más sobre cómo Silverfort ¿Puede ayudarle a cumplir con los requisitos de NIS2 MFA? Programar una llamada con uno de nuestros expertos o complete este formulario para una cotización de precios.