Buscar

Idioma

La MFA y la protección del acceso administrativo son los medios. ¿Pero con qué fin?

Marzo 2nd, 2023

Inicio » Blog » La MFA y la protección del acceso administrativo son los medios. ¿Pero con qué fin?

De vez en cuando, en ciberseguridad es útil reflexionar sobre las cosas que se dan por sentado y las decisiones tomadas, específicamente por qué se tomaron y si lograron su propósito. Por ejemplo, examinemos el uso de MFA y la protección del acceso administrativo. Sabemos que son fundamentales, pero ¿por qué? Además, ¿qué significa no contar con estas medidas de seguridad?

En este artículo, examinaremos algunas verdades comúnmente aceptadas (pero igualmente ignoradas) sobre los objetivos detrás de MFA y control de acceso privilegiado, los riesgos que mitigan y las barreras para implementarlos completamente en un entorno.

Concluiremos demostrando cómo SilverfortLa plataforma Unified Identity Protection permite a los equipos de identidad y seguridad cerrar estas brechas y garantizar que sus entornos estén protegidos contra la apropiación de cuentas. movimiento lateraly propagación de ransomware.

Tabla de contenido

  • Resumen: ¿Qué son los controles de acceso administrativo y MFA?
  • El falso propósito: una mentalidad de casilla de verificación que inevitablemente conduce a brechas de seguridad
  • El verdadero propósito: prevenir amenazas a la identidad, como la apropiación de cuentas, el movimiento lateral y la propagación de ransomware
  • Cómo la mentalidad de casilla de verificación pone en riesgo los entornos
  • ¿Cuáles son las barreras tecnológicas que impiden que la MFA y el control de acceso privilegiado se implementen en todo el entorno?
  • Silverfort Protección de identidad unificada: MFA en todas partes y descubrimiento, monitoreo y protección automatizados para cuentas de servicio

    • Resumen: ¿Qué son los controles de acceso administrativo y MFA?

    MFA y los controles de acceso administrativo aumentan el proceso de autenticación del usuario al agregar una capa de protección además de la coincidencia básica de nombre de usuario y contraseña. La razón es que las credenciales pueden verse comprometidas, lo que significa que los adversarios podrían iniciar sesión con un nombre de usuario y contraseña legítimos. MFA mitiga este escenario garantizando que el verdadero usuario tenga que verificar su identidad proporcionando un identificador genuino que es poco probable que tenga el adversario. A Gestión de acceso privilegiado (PAM) La solución puede lograr esencialmente lo mismo al hacer que el acto de comprometer credenciales sea mucho más difícil, mediante el almacenamiento y la rotación regular de contraseñas.

    El falso propósito: una mentalidad de casilla de verificación que inevitablemente conduce a brechas de seguridad

    El error más común que cometen los equipos de identidad o seguridad con MFA es confundir los medios con un fin. Por ejemplo, procesos de pensamiento como "Necesitamos aplicar AMF para cumplir con la regulación X" o "Necesitamos aumentar la cobertura de AMF para poder demostrar a la gerencia que estamos progresando". Este tipo de pensamiento es fundamentalmente defectuoso, ya que garantiza que siempre que se supere una barrera tecnológica para implementar MFA o cuenta privilegiada Si aparecen controles de acceso (mostraremos ejemplos de estos más adelante en este artículo), la implementación simplemente no se realizará. Los requisitos de cumplimiento podrían satisfacerse con algún control compensatorio vago, con una cobertura de protección que progrese sólo de manera incremental, protegiendo lo que es fácil de proteger, en lugar de lo que mejorará sustancialmente la resiliencia del medio ambiente.

    La realidad es que la única manera de lograr una mejor protección es tener presente constantemente qué es lo que buscamos lograr. Entonces, examinemos cuál es exactamente la protección que queremos lograr con MFA y controles de acceso administrativo, y cuáles son las amenazas que intentamos mitigar.

    El verdadero propósito: prevenir amenazas a la identidad, como la apropiación de cuentas, el movimiento lateral y la propagación de ransomware


    Profundizando en el verdadero propósito de estas protecciones, lo que queda claro es que en realidad se trata de prevenir amenazas a la identidad (es decir, cualquier tipo de ataque o componente de ataque) que impliquen el uso de credenciales comprometidas para acceso malicioso. Los ejemplos más destacados de estos son las apropiaciones de cuentas, el movimiento lateral y ransomware desparramar. Y esto es un gran problema porque estas son precisamente las amenazas que introducen el mayor riesgo operativo para las organizaciones en la actualidad. Entonces entendamos por qué.

    Las amenazas a la identidad son el máximo acelerador de daños en los ciberataques actuales

    Entonces, ¿por qué la protección contra amenazas a la identidad es una necesidad crítica? Usemos el ejemplo del ransomware para comprender mejor por qué. Los ataques de ransomware siempre comienzan con el compromiso inicial de una estación de trabajo o servidor que luego proporciona al adversario un punto de apoyo inicial en el entorno objetivo. En este punto, sin embargo, el daño se limita a una sola máquina. El factor X aquí es la etapa de movimiento lateral, donde el adversario utiliza credenciales comprometidas para iniciar sesión y acceder a máquinas adicionales en el entorno hasta alcanzar una posición que le permita colocar la carga útil del ransomware en la mayor cantidad de máquinas posible. Ahora, el ataque ha pasado de ser un evento local de una sola máquina a uno que en realidad podría detener las operaciones comerciales.

    Cómo la mentalidad de casilla de verificación pone en riesgo los entornos

    Esto es exactamente lo que se supone que deben detener las soluciones MFA y PAM. Así que puedes ver cómo la mentalidad de casilla de verificación de cumplimiento se queda corta. Para bloquear las amenazas a la identidad, la protección MFA y PAM debe abarcar a todos los usuarios, recursos y métodos de acceso. Cualquier cosa menos que eso deja a los adversarios una puerta abierta. Sin embargo, las limitaciones de las tecnologías tradicionales MFA y PAM hacen que lograr este tipo de cobertura sea prácticamente imposible.

    La mentalidad de casilla de verificación es especialmente peligrosa porque tanto los reguladores como la gerencia pueden estar satisfechos porque se hizo el mejor esfuerzo. Además, los equipos de identidad pueden sentir que han hecho su trabajo lo mejor que pudieron. Sin embargo, lo cierto es que los adversarios estarán más satisfechos, ya que sus operaciones podrán continuar sin ser detectados. Y, en gran medida, ésta es desgraciadamente la Protección de la identidad status quo en muchas organizaciones hoy en día.

    ¿Cuáles son las barreras tecnológicas que impiden que la MFA y el control de acceso privilegiado se implementen en todo el entorno?

    Ahora, comprendamos cuáles son los desafíos para garantizar que todos los usuarios, recursos y métodos de acceso estén protegidos.

    MFA tradicional: dependiente del agente sin cobertura para Active Directory Protocolos de autenticación

    Los productos MFA tradicionales requieren la instalación de agentes en los servidores y estaciones de trabajo protegidos o bien la colocación de servidores proxy delante de los segmentos de la red. Lo que esto significa en la práctica es que que siempre habrá máquinas sin protección — ya sea porque no pueden aceptar agentes adicionales o porque la arquitectura de la red es demasiado compleja.

    La segunda limitación es aún más problemática. Active DirectoryLos protocolos de autenticación (AD), incluidos NTLM y Kerberos, se escribieron mucho antes de que surgiera la tecnología MFA. Esto hace que la protección MFA no sea aplicable a la parte más amplia de la autenticación AD. Por lo tanto, las autenticaciones a través de herramientas de acceso a la línea de comandos que se han creado sobre estos protocolos, como PsExec, Remote PowerShell y WMI (todos los cuales son ampliamente utilizados por los administradores para conectarse a máquinas remotas) no se pueden proteger. Esta es exactamente la razón por la que estas son las herramientas elegidas para los ataques de movimiento lateral. La incapacidad de protegerlos con MFA significa que una vez que un adversario ha logrado obtener credenciales comprometidas, no hay forma de impedir que accedan a tantos recursos como desee.

    Protección de acceso privilegiado: un arduo proceso de implementación sin protección para las cuentas de servicio

    Si bien PAM se considera la forma más sencilla de proteger cuentas privilegiadas, también está sujeta a dos limitaciones clave que limitan significativamente su eficacia. El primero es un proceso de incorporación extremadamente largo y tedioso, que implica el descubrimiento manual de todas las cuentas privilegiadas que necesitan protección, así como integraciones especiales con cada componente individual de la infraestructura de TI.

    El segundo es un desajuste fundamental entre los mecanismos de seguridad de rotación y bóveda de PAM y la naturaleza de la conexión máquina a máquina. cuentas de servicio. Incorporar estas cuentas al PAM es esencialmente imposible porque: 1) no existe ninguna utilidad que pueda proporcionar visibilidad instantánea de estas cuentas, lo que hace que su descubrimiento sea un esfuerzo minucioso y a menudo imposible, y 2) incluso después del descubrimiento de una cuenta de servicio, hay todavía no hay visibilidad de sus máquinas de origen y de destino o de las aplicaciones que ejecuta. Sin esta información, simplemente no puedes aplicar la rotación de contraseñas a la cuenta sin correr el riesgo de interrumpir cualquier proceso que administre.

    El resultado de estas brechas en MFA y la protección de cuentas privilegiadas es la razón por la que se han convertido en una clave superficie de ataque que los adversarios apuntan con gran éxito.

    Silverfort Protección de identidad unificada: MFA en todas partes y descubrimiento, monitoreo y protección automatizados para cuentas de servicio

    Silverfort ha sido pionero en la primera plataforma de protección de identidad unificada especialmente diseñada que puede extender MFA a cualquier usuario y recurso, automatizar el descubrimiento, monitoreo y protección de cuentas de servicioy prevenir proactivamente movimiento lateral y propagación de ransomware ataques. Silverfort se conecta a todos los controladores de dominio y otros proveedores de identidad locales (IdPs) en el ambiente para monitoreo continuo, análisis de riesgos y aplicación de políticas de acceso en cada intento de autenticación y acceso realizado por usuarios, administradores o cuentas de servicio a cualquier usuario, sistema y entorno.

    Los equipos de identidad y seguridad utilizan SilverfortLa plataforma de implementar fácilmente la cobertura de 360 ​​grados requerida que sus entornos necesitan para obtener protección contra amenazas de identidad. ¿Necesita aumentar la cobertura de su protección MFA en todos sus usuarios y sistemas, u obtener visibilidad y protección en sus cuentas de servicio? Programar una llamada con uno de nuestros expertos.

    ¿Listo para una demostración?
    Regístrate hoy.

    Mensajes recientes

    24 de abril de 2024

    Cinco formas de mejorar la higiene de su AD con Silverfort  

    Marzo 26th, 2024

    The Identity Underground Report: visión profunda de las brechas de seguridad de identidad más críticas  

    Marzo 2nd, 2024

    Protección MFA para redes aisladas

    Febrero 21st, 2024

    Mitigar los riesgos de identidad de las cuentas de ex empleados
    Ver más

    Síguenos en:

    Detenga las amenazas a la identidad ahora