Silverfort Revoluciona la protección contra el movimiento lateral con MFA – Reflexiones sobre el ataque de SolarWinds
24th diciembre, 2020 Yiftaj Keshet
*****Por Yiftach Keshet, director de marketing de productos, Silverfort *****
MFA evita el 99.9% de los compromisos de la cuenta. Sin embargo, esta medida de seguridad extremadamente eficiente actualmente está No aplicable a los recursos empresariales centrales, en primer lugar, los puntos finales y servidores locales.. La reciente Ataque SolarWinds muestra una vez más que la protección contra el movimiento lateral se encuentra entre los puntos más débiles del sistema de seguridad actual. Silverfort revoluciona la protección contra el movimiento lateral al introducir MFA en los puntos finales y el acceso a los servidores en el entorno local, evitando de manera proactiva los existentes técnicas de movimiento lateral como los utilizados por los actores de amenazas de SolarWinds.
Tabla de contenido
Descripción general del movimiento lateral en el ataque de SolarWinds
El Movimiento lateral La parte en el ataque de SolarWinds siguió su ejemplo con patrones bien conocidos: después del compromiso inicial, los atacantes comenzaron la búsqueda de credenciales que finalmente terminó con la obtención de credenciales de administrador y el inicio de sesión en el objetivo real (en este caso, el servidor ADFS). Los inicios de sesión en las distintas máquinas a lo largo del camino aparentemente se llevaron a cabo con herramientas de línea de comando de acceso remoto (PSexec, Powershell, etcétera).
La protección de movimiento lateral está rota
Vale la pena mencionar que la parte de acceso inicial del ataque SolarWinds presentó innovación, sofisticación y creatividad extremas. Ese no es el caso con la parte del Movimiento Lateral – sin embargo, eso no la hace menos efectiva.
La triste verdad es que Técnicas de movimiento lateral y las tácticas no han cambiado mucho desde hace una década, simplemente porque no era necesario; desde la perspectiva de los atacantes, no hay necesidad de cambiar algo que funciona muy bien. Y lamentablemente en este caso tienen razón. La pila de seguridad de la empresa falla repetidamente contra el movimiento lateral.
Esto se debe a que, en esencia, el movimiento lateral no es más que iniciar sesión en máquinas con credenciales válidas (aunque comprometidas). Los controles de seguridad existentes, ya sea colocados directamente en el punto final o monitoreando el tráfico de la red, en el mejor de los casos podrían detectar que se ha producido un inicio de sesión anómalo y generar una alerta. Sin embargo, en realidad no pueden hacer nada en tiempo real para evitar el inicio de sesión realmente suceda, lo que en la mayoría de los casos será demasiado tarde.
La clave para prevenir el movimiento lateral es comprender el significado real de lo que acabamos de decir: El movimiento lateral no es más que iniciar sesión en las máquinas utilizando credenciales válidas. En otras palabras, es una autenticación no segura que debemos mitigar, y existe una tecnología diseñada específicamente para frustrar un escenario en el que un actor de amenazas intenta acceder a recursos empresariales con credenciales válidas: la autenticación multifactor.
MFA no está disponible contra movimientos laterales
Uno de los pocos puntos de consenso entre los profesionales de la seguridad es el enorme valor que proporciona la MFA. Según Microsoft, La MFA implementada evita que el 99.9% de las cuentas se vean comprometidas. Sin embargo, las Active Directory Los puntos finales y servidores basados, que son objetivos principales para el movimiento lateral, están excluidos de la protección que brinda MFA.
Hoy en día no existe ninguna tecnología disponible que pueda aplicar MFA en las herramientas de línea de comandos de acceso remoto que los atacantes utilizan para moverse lateralmente entre máquinas. MFA es la tecnología más eficaz y probada para evitar inicios de sesión maliciosos. Su ausencia de inicios de sesión en el entorno local es lo que permite que el movimiento lateral prospere, como hemos visto en numerosas APT, incluido el último ataque de SolarWinds.
Pero que si…?
Sin embargo, MFA puede fácilmente darle la vuelta a los atacantes. Con una MFA implementada, cuando el atacante proporciona las credenciales de inicio de sesión a la nueva máquina, el usuario real al que pertenecen estas credenciales recibe una notificación en su teléfono o escritorio. La notificación preguntaría si permitir o denegar el acceso a la máquina y la solicitud finalmente sería denegada porque el usuario real nunca realizó este intento de inicio de sesión y el atacante no podría acceder a la máquina.
Prepare su entorno local contra el movimiento lateral con Silverfort
Silverfort Unificado Protección de Identidad Platform (UIPP) es pionera en la extensión de MFA a todos los recursos empresariales, incluidos los recursos y los métodos de acceso. Silverfort es el primero en introducir la aplicación de MFA política de acceso sobre el acceso a puntos finales y servidores locales a través de herramientas de línea de comandos remotas.
Una política simple que requiera verificación MFA cada vez que un administrador de dominio inicie sesión utilizando una herramienta de línea de comando de acceso remoto reduciría radicalmente las tasas de éxito de cualquier movimiento lateral. Esto se aplicaría incluso en un escenario de ataque a SolarWinds en el que los atacantes lograron obtener las credenciales de un administrador. Mientras que los atacantes de hecho tienen las credenciales, no podrán usarlas para realizar la tarea real Inicie sesión a los recursos a los que se dirigen.
Consideraciones Finales:
¿Cómo es posible que se haya dado por sentada durante todo este tiempo la ausencia de MFA en el entorno local? Esta ausencia está tan profundamente arraigada en la mentalidad común que la mayoría de los profesionales de la seguridad, tanto los prácticos como los ejecutivos, probablemente ni siquiera la consideran una brecha de seguridad, sino más bien una realidad con la que tenemos que vivir. Silverfort está aquí para cambiar esta realidad.
Más información sobre Silverfort esta página
