Protección MFA para redes aisladas

Los recientes ciberataques lanzados como parte de la guerra entre Rusia y Ucrania han vuelto a despertar preocupaciones sobre la seguridad de las redes aisladas, en particular en lo que respecta a la protección de la identidad. Espacio de aire se implementa para reducir la superficie de ataque de una red altamente sensible, como las que se encuentran en la infraestructura crítica de los países, entornos militares y gubernamentales y plantas de fabricación. Es probable que este tipo de redes sean objetivo de actores amenazantes, una probabilidad que sirve como una expresión alternativa de hostilidad al tiempo que se abstiene de la guerra convencional. En este artículo exploramos cómo Silverfort unificada Protección de Identidad La plataforma impone una autenticación segura dentro de entornos con espacios aislados al permitir el uso de tokens de hardware FIDO2 para MFA sin agentes, modificación de código o cambios en la infraestructura de autenticación. De esta forma, Silverfort proporciona a estas redes protección en tiempo real contra movimiento lateral y propagación automatizada de malware.

¿Qué es una red aislada?

Las redes aisladas son redes informáticas sin interfaces conectadas con el mundo exterior. Obviamente, se trata de una medida drástica, por lo que este enfoque normalmente sólo lo utilizan organizaciones altamente sensibles que requieren niveles máximos de seguridad.

Las redes aisladas son entornos de producción en los que las máquinas que componen el entorno no tienen conexión exterior, ni directamente a Internet ni indirectamente a una red interna saliente. Las redes quedan aisladas para reducir su superficie de ataque y aumenta su resiliencia a los ciberataques.

Algunos ejemplos destacados de redes aisladas incluyen varios actores de seguridad nacional, como defensa, gobiernos y organismos militares, así como entidades de infraestructura crítica que proporcionan servicios públicos de energía, agua y otros servicios habilitantes. Las organizaciones de este tipo se esfuerzan por segregar por completo sus segmentos de red más sensibles, por lo que quedan aislados de cualquier conexión a Internet.

Las redes aisladas siguen expuestas a infiltración maliciosa

Si bien este enfoque tiene sentido en teoría, en la práctica existen varias limitaciones que hacen que la separación total de aire sea una tarea casi imposible. Lo que suele ocurrir es que se sigue manteniendo un cierto grado de conectividad con el mundo exterior, independientemente de todas las intenciones iniciales, principalmente por razones operativas: los operadores que necesitan transferir archivos externos a la red, actualizaciones de software, soporte técnico remoto son una solución justa. algunos ejemplos comunes. Al final del día, todo esto se suma a una incapacidad inherente para implementar una verdadera arquitectura 100% aislada. El malware Stuxnet, que se introdujo inicialmente en redes aisladas mediante unidades extraíbles infectadas, como unidades flash USB, debería ser un recordatorio constante de que el acceso inicial a una red aislada sigue siendo posible.

Movimiento lateral en redes con espacio de aire

Una vez que los atacantes han establecido un punto de apoyo inicial en la red aislada, pueden seguir con movimientos laterales, utilizando contraseñas y credenciales robadas para ampliar la presencia y aumentar el impacto del ataque. En 2017, el infame ataque NotPetya realizó dicho movimiento lateral tanto en redes de TI estándar como en redes OT aisladas.

Por lo tanto, los espacios de aire por sí solos no pueden garantizar la protección férrea que implica su nombre. Podría haber sido posible en el pasado, pero en el entorno de TI hiperconectado actual, simplemente no es práctico. Esto exige una reevaluación de cómo proteger mejor dichas redes, tanto del acceso malicioso inicial como del movimiento lateral en una fase posterior al compromiso.

¿Qué restricciones hacen que la protección de redes con espacios de aire sea un desafío?

Las redes aisladas no se pueden proteger fácilmente con soluciones de seguridad estándar.

En primer lugar, no se puede utilizar ninguna solución que dependa de la conectividad en la nube o de Internet.

En segundo lugar, una característica principal de las redes aisladas es su compromiso con la estabilidad operativa 24 horas al día, 7 días a la semana, 365 días al año. Por ejemplo, esto significa que es imposible reiniciarlos después de instalar un software o aplicar un parche. En muchos casos, estas redes también emplean otros sistemas propietarios que están bajo estrictos términos de garantía del proveedor que no permiten la instalación de software de terceros en los servidores. Además, a menudo es posible encontrar sistemas heredados que todavía están activos en estas redes, incluso si el soporte del fabricante ya no existe. Esto descarta cualquier tipo de solución basada en agentes.

Y en tercer lugar, la naturaleza de estas redes aumenta su sensibilidad a las interrupciones operativas causadas por falsos positivos o la interrupción de procesos críticos al tiempo que bloquean la actividad maliciosa. Todas estas consideraciones reducen significativamente el alcance de los productos de seguridad opcionales que se pueden utilizar en redes aisladas.

Requisitos para la autenticación multifactor en redes aisladas

Superar las restricciones de seguridad incorporadas

Autenticación multifactor (MFA) es la solución definitiva contra ataques que utilizan credenciales comprometidas para acceder a recursos específicos, como apropiaciones de cuentas y movimientos laterales. Sin embargo, para ser eficaz en una red aislada, una solución MFA debe cumplir varios criterios, según las limitaciones que describimos anteriormente:

• Puede funcionar completamente sin depender de la conectividad a Internet
• No requiere la implementación de agentes en las máquinas que protege
• Crea interrupciones mínimas y no pone en peligro la estabilidad y disponibilidad de sistemas y procesos sensibles.

Compatibilidad con tokens de hardware

Además, la práctica común en las redes aisladas es utilizar tokens de seguridad de hardware físico en lugar de los dispositivos móviles estándar que requieren conectividad a Internet. Esta consideración añade otro requisito:

• Ser capaz de utilizar un token de hardware para proporcionar el segundo factor de autenticación.

FIDO2 es el estándar preferido para tokens duros y se considera resistente a ataques de phishing tanto avanzados como tradicionales.

Sin embargo, los tokens FIDO2 solo se pueden usar con webauthN or U2F protocolos de autenticación. Si los sistemas dentro de la red aislada no estuvieran diseñados inicialmente para funcionar con estos protocolos, sería extremadamente difícil realizar la modificación requerida (ver arriba sobre disponibilidad 24 horas al día, 7 días a la semana, 365 días al año). Como resultado, el último requisito no se cumple fácilmente, lo que deja a muchas redes aisladas expuestas a ataques.

Silverfort Autenticación segura para redes aisladas

Nuestra misión en Silverfort es extender la autenticación segura a todos los usuarios, interfaces de acceso y recursos. Hemos logrado aplicar la protección MFA a recursos que nunca antes podrían haberse protegido de esta manera, como infraestructura de TI, recursos compartidos de archivos, bases de datos, IIOT e incluso sistemas OT como HMI y servidores de producción.

Alineándose con esta visión, Silverfort también proporciona protección MFA sin agente para redes aisladas, lo que permite el uso de tokens de hardware FIDO2 sin ningún cambio de código en los sistemas protegidos:

1. A Dedicado  Modo de implementación Agnóstico a Conectividad a Internet: Silverfort ofrece un modo de implementación local completo. En este modo, Silverfort se implementa como un dispositivo virtual local, con funcionalidades completas disponibles. Tenga en cuenta que Silverfort también ofrece una opción de implementación basada en SaaS y una opción de implementación híbrida de SaaS local.
2. Arquitectura sin agentes No se requieren cambios de código: SilverfortLa arquitectura innovadora única de permite a las organizaciones extender la autenticación multifactor a cualquier sistema o recurso, sin instalar agentes en las máquinas protegidas y sin requerir ninguna personalización del código ni alteración de los protocolos de autenticación.
3. Fichas de hardware compatibles con FIDO2: Silverfort permite a las organizaciones elegir su autenticador en entornos aislados, incluidos todos los tokens de hardware FIDO2.

La implementación más popular dentro del ecosistema de nuestros clientes es nuestra integración con tokens YubiKey. Esta perfecta integración cierra la brecha entre los tokens FIDO2 modernos y su infraestructura de autenticación existente para proporcionar protección integral de MFA a la red aislada.

Conclusión

La separación de aire es una buena estrategia de seguridad, pero hay que reconocer tanto sus lagunas como sus implicaciones para los productos de seguridad que se pueden utilizar. SilverfortMFA de le permite aplicar una autenticación segura y validar la identidad de los usuarios en redes aisladas, garantizando que estén protegidos contra ataques basados ​​en identidad.