Repensar la AMF

By Hed Kovetz, director ejecutivo y cofundador, Silverfort

Todos soñamos con un mundo en el que podamos confiar en todos los que acceden a nuestros recursos corporativos, pero la realidad es diferente. Los adversarios intentan constantemente violar nuestros sistemas y acceder a nuestros datos confidenciales, utilizando nuestras vulnerabilidades. autenticación mecanismos contra nosotros.

Los problemas de la autenticación de contraseñas se conocen desde hace décadas. La introducción de autenticación de múltiples factores fue el primer gran paso hacia el fortalecimiento de la autenticación. Hoy en día, casi todas las empresas utilizan MFA con cierta capacidad, pero todavía se utiliza para proteger solo una pequeña parte de nuestros activos sensibles. Esto debe hacerle preguntarse: si el problema es bien conocido y la solución está disponible, ¿por qué no utilizamos MFA para proteger todos los sistemas? ¿Por qué seguimos confiando tanto en las contraseñas? Esto es especialmente alarmante teniendo en cuenta que el uso de contraseñas comprometidas en filtraciones de datos crece año tras año en lugar de disminuir.
Darme cuenta de esto me impulsó, junto con mis cofundadores Matan Fattal y Yaron Kassner, para comenzar Silverfort. Nos conocimos durante nuestros años en la unidad de ciberinteligencia israelí 8200, donde trabajamos en investigación de ciberseguridad, liderazgo de equipos y roles de liderazgo de grupos, y tuvimos la oportunidad de liderar proyectos de investigación innovadores y el desarrollo de tecnologías de vanguardia. Posteriormente, cada uno de nosotros trabajó para empresas líderes en la industria, hasta que hace tres años volvimos a unir fuerzas para establecer Silverfort.

Siendo innovadores en el ámbito de la autenticación, siempre pensamos que MFA nunca será verdaderamente eficaz mientras siga siendo una solución puntual para proteger los activos individuales. Nuestro enfoque es fundamentalmente diferente. Por primera vez, MFA se diseñará para proteger de manera fácil y fluida cualquier recurso organizacional, sin importar qué sea o dónde se encuentre.

¿Quién movió mi perímetro?

Como muchos otros marcos de seguridad, MFA se diseñó bajo la percepción del perímetro: la frontera clara que separa la red corporativa "confiable" de la red externa "no confiable". En esta simple realidad, fue suficiente aplicar MFA en la “puerta”: la puerta de enlace VPN, y tal vez para algunos recursos remotos. Por lo tanto, las soluciones MFA se crearon para proteger un punto de acceso específico y, si bien la experiencia del usuario evolucionó a lo largo de los años, esta suposición básica no.

En los últimos años, los perímetros de la red se están disolviendo gradualmente. Las revoluciones de TI como la nube, IoT y BYOD son sólo algunas de las razones por las que los límites físicos de la red corporativa se están volviendo irrelevantes. Esta nueva era está desafiando los marcos de seguridad tradicionales: ¿dónde pongo mi guardián si no hay una puerta clara? ¿Dónde puedo aplicar MFA en un entorno híbrido y dinámico donde innumerables dispositivos y servicios diferentes se conectan entre sí? Es por eso que un punto final infectado es suficiente para apoderarse de una red completa mediante el robo de credenciales y movimiento lateral, como se demostró en el ataque a NotPetya de 2017 y muchos otros.

Integrar MFA sistema por sistema: una batalla perdida

Para abordar mejor las necesidades cambiantes de sus clientes, los proveedores de MFA han comenzado a ofrecer una larga lista de integraciones, agentes de software, SDK, servidores proxy y otras herramientas que habilitan MFA para más sistemas. Sin embargo, implementarlos se ha convertido en una tarea interminable para los equipos de seguridad. Dado que cada solución ofrece integraciones con sistemas específicos, las organizaciones a menudo se ven obligadas a mantener varias soluciones MFA para proteger sus activos críticos. Esto da como resultado altos costos, una inversión continua de recursos profesionales y una experiencia de usuario inconsistente. También limita el potencial de autenticación adaptativa basada en riesgos, porque cada solución MFA monitorea solo una parte de los activos de la red (por ejemplo, solo aplicaciones web), sin ningún análisis de riesgo consolidado que tenga en cuenta el comportamiento del usuario en todos los sistemas y entornos.

Más importante aún, muchos tipos de recursos confidenciales no pueden protegerse con las soluciones MFA actuales, por múltiples razones:

• En muchos casos, implementar agentes de software o realizar modificaciones locales en ciertos sistemas no es técnicamente factible. Este es el caso de muchos sistemas propietarios y heredados, archivos compartidos (que ahora son el objetivo de ransomware), dispositivos IoT y más.
• Para muchos activos críticos y 3^rd En los sistemas de terceros, los propietarios de los recursos rechazan las modificaciones técnicas o los fabricantes las prohíben. Esto es común con servidores críticos para la producción y sistemas de control industrial (ICS).
• En muchas organizaciones, la cantidad de activos y la naturaleza dinámica del entorno hacen imposible la integración activo por activo, como en las grandes redes empresariales y entornos IaaS complejos donde se crean o se mueven entre entornos innumerables instancias diferentes de VM a diario. , o en casos en los que las unidades de negocio están implementando sistemas de los que TI no tiene idea, un fenómeno llamado "TI en la sombra".

Repensar la AMF

Al observar los desafíos y limitaciones de las soluciones tradicionales de MFA, parece que el intento de “extender” las soluciones tradicionales Soluciones MFA adaptarse a la realidad actual ha llegado a sus límites y los atacantes se están aprovechando de ello. Es hora de volver a la mesa de dibujo y diseñar una nueva generación de soluciones MFA. Necesitamos mirar la red como un todo en lugar de integrar MFA en cada activo individual. Necesitamos una manera de ofrecer sin problemas una autenticación sólida a sistemas que actualmente se consideran “inprotegibles” o que el departamento de TI ni siquiera conoce. Necesitamos una forma de habilitar políticas de autenticación unificadas, visibilidad, experiencia de usuario y análisis de riesgos en todos los sistemas y entornos.

Al cambiar la forma en que se diseña e implementa MFA, Silverfort ha abierto un nuevo capítulo en la autenticación empresarial, mejorando la capacidad de confianza usuarios, gestionan acceso seguro a todos los sistemas y entornos corporativos, responde a amenazas con autenticación intensificada en tiempo real y hacer cumplir verdadera conciencia del riesgo autenticación adaptativa que no se limita a sistemas específicos.

Tres años después de este viaje, el Silverfort La plataforma de autenticación de próxima generación ahora es utilizada por organizaciones de todo el mundo para lograr exactamente eso. Ayudamos a las instituciones financieras a habilitar MFA para sus servidores SWIFT, aplicaciones financieras heredadas y varios servidores donde PCI DSS requiere MFA, SWIFT CSP, GDPR o las regulaciones de ciberseguridad NY-DFS. Ayudamos a las organizaciones de atención médica a hacer cumplir autenticación basada en riesgos en dispositivos médicos de IoT, servidores PACS y registros médicos confidenciales (EHR). Ayudamos a las empresas de energía y fabricación a aplicar MFA no solo en su entorno de TI, sino también en sus redes de OT. Ayudamos a las organizaciones de todas las industrias a ofrecer políticas de autenticación integrales, visibilidad unificada y una experiencia de usuario sin fricciones en todos los sistemas y entornos.

En el camino, nos ganamos el apoyo de grandes inversores, socios líderes, expertos de la industria y, lo más importante, clientes satisfechos. Pero esto es sólo el comienzo: ahora es el momento de correr la voz y remodelar el mercado de la autenticación.

Hed Kovetz, director ejecutivo y cofundador, Silverfort

Hed sirve como SilverfortEs el director ejecutivo y uno de los cofundadores de la empresa. Aporta una experiencia técnica y de liderazgo única, que incluye funciones de liderazgo de productos en Verint, donde dirigió el producto de ciberseguridad a escala nacional de la empresa y ganó el concurso de innovación de la empresa por sus invenciones pendientes de patente. Anteriormente se desempeñó como líder de grupo en la famosa unidad cibernética de élite 8200 de las Fuerzas de Defensa de Israel, donde recibió los premios a la excelencia de la unidad y el premio a la innovación del Jefe del Cuerpo de Inteligencia. Hed tiene un LL.B. de la Universidad de Tel Aviv.

Espero continuar este viaje y te invito a unirte a nosotros.