Comment se conformer aux exigences MFA de la directive NIS2
Novembre 2nd, 2023 Yiftah Keshet
À l'article 21, la directive NIS2 définit l'ensemble minimum de mesures de sécurité que les entités réglementées doivent mettre en œuvre pour se conformer à ses exigences. L’article 2(j) concerne directement Authentification multi-facteurs (MFA), précisant que les mesures de sécurité devraient inclure :
»Til utilise de solutions d'authentification multifacteur ou d'authentification continue, les communications vocales, vidéo et textuelles sécurisées et les systèmes de communication d'urgence sécurisés au sein de l'entité, le cas échéant.»
L'interprétation de 'le cas échéant' signifie partout où il existe une probabilité que le manque de protection MFA puisse entraîner une cyber-violation. En d’autres termes, les entités doivent démontrer que a) elles ont soigneusement évalué leur identité surface d'attaque pour identifier où l'accès malveillant effectué par un acteur malveillant constitue une menace critique, et b) atténué ce risque en appliquant l'authentification MFA à ces tentatives d'accès potentielles.
Table des matières
Répartition des exigences MFA NIS2
Nous pouvons cartographier les points d'accès qui nécessitent une protection en fonction des trois aspects suivants :
- Comptes utilisateur – qui les adversaires sont-ils susceptibles de cibler ?
- Accès méthodes – comment les adversaires obtiennent-ils un accès malveillant ?
- Ressources organisationnelles – quelles ressources les adversaires sont-ils susceptibles de cibler ?
Ce sont les questions auxquelles vous, en tant qu'acteur de la sécurité de l'identité, devez d'abord répondre pour déterminer où la protection MFA est nécessaire. Pour y répondre au mieux, nous devrons adopter le point de vue de l’attaquant, sur la base de nombreuses attaques que nous avons analysées, enquêtées et empêchées.
Alors, quels utilisateurs, méthodes d’accès et ressources devriez-vous protéger avec MFA ? Examinons-les un par un.
MFA pour les utilisateurs privilégiés dont le compromis a le plus grand impact
Le compromis de utilisateurs privilégiés est un objectif primordial pour les adversaires. Ces des comptes d'utilisateurs ou administrateurs ont le droit d’accéder, d’exécuter du code et d’interagir avec les données sur plusieurs ressources au sein de l’environnement. Dans un environnement typique, ces utilisateurs sont vos administrateurs, votre service d'assistance et vos équipes informatiques. Il est donc primordial de placer la protection MFA sur ces utilisateurs.
MFA pour PsExec et accès PowerShell à distance utilisé par les attaquants pour les mouvements latéraux et la propagation des ransomwares
Les adversaires peuvent utiliser des informations d'identification compromises pour effectuer mouvement latéral, en augmentant leur accès initial et en se propageant dans l'environnement ciblé. Cette propagation est l'élément clé derrière la masse ransomware et les attaques de vol de données. Leurs outils de prédilection sont des outils d'accès en ligne de commande tels que PsExec et PowerShell à distance. L'application de l'authentification multifacteur aux utilisateurs accédant aux ressources via ces outils constitue la protection ultime contre ces attaques.
MFA pour toutes les applications et serveurs essentiels aux opérations de votre organisation
Les adversaires ciblent les ressources critiques pour maximiser le retour sur investissement, qu'il s'agisse d'une attaque de ransomware qui verrouille des applications critiques ou du vol de données commerciales sensibles ou de propriété intellectuelle. L'identification de ces ressources et la mise en place d'une protection MFA sur l'accès des utilisateurs à celles-ci sont donc une priorité absolue.
Etendre le MFA aux accès qui ne le supportent pas nativement
Silverfort est le fournisseur du premier Unified Protection d'identité qui offre une protection en temps réel contre les menaces d'identité qui utilisent des informations d'identification compromises pour un accès malveillant. Silverfortl'intégration unique de Active Directory lui permet d'étendre l'AMF à toute authentification au sein des environnements AD pour n’importe quel utilisateur, protocole d’authentification et ressource.
Intégration native avec Active Directory Fournit une couverture MFA à 100 %
Comment est-il fait? AD transmet chaque demande d'accès entrante à Silverfort. Silverfort analyse la demande d'accès par rapport aux politiques d'accès en place, ainsi qu'aux modèles d'attaque connus ou aux anomalies qui pourraient indiquer une compromission potentielle. SilverfortL'analyse de détermine s'il faut autoriser l'accès, le bloquer ou vérifier l'identité de l'utilisateur avec MFA. Si une vérification est nécessaire, Silverfort contacte soit le sien, soit 3rd service MFA du tiers pour vérifier que l’utilisateur réel a initié la demande d’accès. Suite à la réponse de l'utilisateur, Silverfort indique à AD si l'accès est autorisé. Cette architecture garantit une couverture complète de toutes les authentifications et tentatives d'accès au sein de l'environnement protégé.
Silverfort Protection pour les exigences MFA NIS2 : comptes d'utilisateurs critiques, ressources et méthodes d'accès
SilverfortLa protection MFA complète de permet aux organisations de mettre en œuvre les exigences MFA NIS2. Examinons cela plus en détail :
SilverfortMFA de pour les utilisateurs privilégiés
Silverfort automatise la découverte de tous les utilisateurs appartenant à un groupe administratif et permet la configuration et l'application d'une stratégie MFA sur ces utilisateurs en un seul clic. De plus, Silverfort découvre également les utilisateurs auxquels des privilèges d'administrateur ont été attribués par inadvertance (alias « Administrateurs Shadow ») et configure des politiques qui incluent ces utilisateurs dans la protection MFA. De cette manière, toute tentative adverse visant à exploiter les informations d’identification compromises de ces utilisateurs à des fins d’accès malveillant sera bloquée.
SilverfortMFA de pour l'accès en ligne de commande
Comme expliqué précédemment, SilverfortL'intégration de avec AD lui permet d'étendre la MFA à toutes les authentifications AD. Jusqu'à présent, les outils de ligne de commande comme PsExec et PowerShell dépassaient le cadre des outils traditionnels. Solutions MFA. En effet, leurs anciens protocoles d'authentification sous-jacents, NTLM et Kerberos, ne prennent pas en charge l'intégration de MFA dans leur processus d'authentification. SilverfortL'architecture de évite le problème de prise en charge du protocole car elle est capable d'analyser et d'obtenir un aperçu de tout paquet d'authentification transmis par AD. Cela rend Silverfort la seule solution capable de protéger PsExec et PowerShell avec MFA, atténuant ainsi efficacement le risque de propagation de ransomwares dans l'environnement.
SilverfortMFA de pour les applications héritées
De nombreuses organisations, en particulier dans les secteurs verticaux soumis à des normes de cybersécurité spécifiques telles que la directive NIS2, s'appuient encore sur des applications existantes pour leurs opérations principales. Les solutions MFA traditionnelles ne conviennent pas ici, car l’intégration de la MFA dans ces applications nécessite de modifier le code source de l’application – un risque opérationnel que la plupart des organisations sont réticentes à prendre. Cependant, encore une fois, SilverfortL'intégration de avec AD lui permet d'appliquer de manière transparente la protection MFA sur toute application qui s'authentifie auprès d'AD, garantissant ainsi aux ressources critiques de l'organisation une protection en temps réel contre les accès malveillants.
Vous voulez en savoir plus sur la façon dont Silverfort peut vous aider à vous conformer aux exigences NIS2 MFA ? Planifier un appel avec l'un de nos experts ou remplissez ce formulaire pour un devis.
