Mise en conformité au MFA et la protection des accès administrateurs privilégiés

De temps en temps, dans le domaine de la cybersécurité, il est utile de réfléchir aux choses tenues pour acquises et aux choix faits, en particulier pourquoi ils ont été faits et si ces choses ont atteint leur objectif. Par exemple, examinons l'utilisation de MFA et la protection de l'accès administratif. Nous savons qu'ils sont critiques, mais pourquoi ? De plus, qu'est-ce que cela signifie de ne pas avoir ces mesures de sécurité en place ?

Dans cet article, nous examinerons certaines vérités communément acceptées (mais tout aussi ignorées) sur les objectifs de l'AMF et contrôle d'accès privilégié, les risques qu'ils atténuent et les obstacles à leur déploiement complet dans un environnement.

Nous terminerons en démontrant comment SilverfortLa plate-forme de protection unifiée de l'identité permet aux équipes d'identité et de sécurité de combler ces lacunes et de s'assurer que leurs environnements sont protégés contre le piratage de compte, mouvement latéral, et les rançongiciels se sont propagés.

Récapitulatif : que sont l'authentification MFA et les contrôles d'accès administratif ?

MFA et les contrôles d'accès administratifs augmentent le processus d'authentification des utilisateurs en ajoutant une couche de protection au-dessus de la correspondance de base nom d'utilisateur-mot de passe. La raison en est que les informations d'identification peuvent être compromises, ce qui signifie que les adversaires pourraient se connecter à l'aide d'un nom d'utilisateur et d'un mot de passe légitimes. MFA atténue ce scénario en veillant à ce que le véritable utilisateur soit mis au défi de vérifier son identité en fournissant un identifiant authentique que l'adversaire est peu susceptible d'avoir. PAM (Privileged Access Management) La solution peut réaliser essentiellement la même chose en rendant l'acte de compromission des informations d'identification beaucoup plus difficile, via la sauvegarde et la rotation régulière des mots de passe.

Le faux objectif : une mentalité de case à cocher qui conduit inévitablement à des failles de sécurité

L’erreur la plus courante que commettent les équipes chargées de l’identité ou de la sécurité avec la MFA est de confondre les moyens avec une fin. Par exemple, des processus de réflexion tels que « Nous devons appliquer l'AMF afin de nous conformer à la réglementation X » ou « Nous devons augmenter la couverture de l'AMF afin de pouvoir montrer à la direction que nous faisons des progrès ». Ce type de réflexion est fondamentalement erroné, car il garantit que chaque fois qu'un obstacle technologique au déploiement de l'AMF ou compte privilégié des contrôles d'accès apparaissent (nous en montrerons des exemples plus loin dans cet article), le déploiement n'aura tout simplement pas lieu. Les exigences de conformité pourraient être satisfaites par un vague contrôle compensatoire, la couverture de protection ne progressant que progressivement – ​​en protégeant ce qui est facile à protéger, plutôt que ce qui améliorera considérablement la résilience de l'environnement.

La réalité est que la seule façon d'obtenir une meilleure protection est de garder constamment à l'esprit ce que nous cherchons à atteindre. Examinons donc quelle est exactement la protection que nous souhaitons obtenir avec la MFA et les contrôles d'accès administratifs, et quelles sont les menaces que nous tentons d'atténuer.

Le véritable objectif : prévenir les menaces d'identité telles que la prise de contrôle de compte, les mouvements latéraux et la propagation des ransomwares

En approfondissant le véritable objectif de ces protections, il est clair qu’il s’agit en réalité de prévenir les menaces d’identité (c’est-à-dire tout type d’attaque ou de composant d’attaque) qui impliquent l’utilisation d’informations d’identification compromises pour un accès malveillant. Les exemples les plus marquants sont les rachats de comptes, les mouvements latéraux et ransomware propagé. Et c’est un problème majeur, car ce sont précisément ces menaces qui présentent aujourd’hui le risque opérationnel le plus élevé pour les organisations. Alors comprenons pourquoi.

Les menaces d'identité sont les accélérateurs de dommages ultimes dans les cyberattaques d'aujourd'hui

Alors pourquoi la protection contre les menaces d'identité est-elle une nécessité critique ? Utilisons l'exemple du rançongiciel pour mieux comprendre pourquoi. Les attaques de ransomwares commencent toujours par une compromission initiale d'un poste de travail ou d'un serveur qui fournit ensuite à l'adversaire un premier point d'ancrage dans l'environnement ciblé. À ce stade, cependant, les dommages se limitent à une seule machine. Le facteur X ici est la phase de mouvement latéral, où l'adversaire utilise des informations d'identification compromises pour se connecter et accéder à des machines supplémentaires dans l'environnement jusqu'à ce qu'il atteigne une position qui lui permettra de planter la charge utile du ransomware sur autant de machines que possible. Aujourd'hui, l'attaque est passée d'un événement local sur une seule machine à un événement susceptible d'arrêter les opérations commerciales.

Comment la mentalité des cases à cocher met les environnements en danger

C'est exactement ce que les solutions MFA et PAM sont censées arrêter. Vous pouvez donc voir comment une mentalité de case à cocher de conformité est insuffisante. Afin de bloquer les menaces d'identité, la protection MFA et PAM doit englober tous les utilisateurs, ressources et méthodes d'accès. Rien de moins que cela laisse aux adversaires une porte ouverte. Cependant, les limites des technologies MFA et PAM traditionnelles rendent pratiquement impossible la réalisation de ce type de couverture.

La mentalité de la case à cocher est particulièrement dangereuse car les régulateurs et la direction peuvent être satisfaits parce que le meilleur effort a été démontré. De plus, les équipes d'identité peuvent avoir l'impression d'avoir fait leur travail au mieux de leurs capacités. Cependant, ce sont vraiment les adversaires qui seront les plus satisfaits, puisque leurs opérations pourront se poursuivre sans être détectées. Et dans une large mesure, c'est malheureusement le Protection de l'identité statu quo dans de nombreuses organisations aujourd'hui.

Quels sont les obstacles technologiques qui empêchent le MFA et le contrôle d'accès privilégié d'être déployés dans l'ensemble de l'environnement ?

Voyons maintenant quels sont les défis pour garantir que tous les utilisateurs, ressources et méthodes d'accès sont protégés.

MFA traditionnel : dépendant de l'agent sans couverture pour Active Directory Protocoles d'authentification

Les produits MFA traditionnels nécessitent soit l'installation d'agents sur les serveurs et postes de travail protégés, soit la mise en place de proxys devant les segments de réseau. Ce que cela signifie en pratique, c'est que qu'il y aura toujours des machines sans protection — soit parce qu'ils ne peuvent pas accepter d'agents supplémentaires, soit parce que l'architecture du réseau est trop complexe.

La deuxième limite est encore plus problématique. Active Directoryles protocoles d'authentification de (AD), y compris NTLM et Kerberos, ont été écrits bien avant l'apparition de la technologie MFA. Cela rend la protection MFA inapplicable à la partie la plus large de l'authentification AD. Ainsi, les authentifications via des outils d'accès en ligne de commande qui ont été construits sur ces protocoles - tels que PsExec, Remote PowerShell et WMI (qui sont tous largement utilisés par les administrateurs pour se connecter à des machines distantes) – ne peuvent pas être protégés. C'est exactement pourquoi ce sont les outils de choix pour les attaques de mouvement latéral. L'incapacité de les protéger avec MFA signifie qu'une fois qu'un adversaire a réussi à obtenir des informations d'identification compromises, il n'y a aucun moyen de l'empêcher d'accéder à autant de ressources qu'il le souhaite.

Protection des accès privilégiés : un processus de déploiement ardu sans protection pour les comptes de service

Bien que PAM soit considéré comme le moyen simple de protéger les comptes privilégiés, il est également soumis à deux limitations clés qui limitent considérablement son efficacité. Le premier est un processus d'intégration extrêmement long et fastidieux, qui implique la découverte manuelle de tous les comptes privilégiés nécessitant une protection ainsi que des intégrations séparées avec chaque composant individuel de l'infrastructure informatique.

La seconde est une incompatibilité fondamentale entre les mécanismes de sécurité de voûte et de rotation de PAM et la nature du machine-to-machine les comptes de service. L'intégration de ces comptes au PAM est essentiellement impossible car : 1) il n'existe aucun utilitaire pouvant fournir une visibilité instantanée sur ces comptes, ce qui rend leur découverte laborieuse et souvent impossible, et 2) même après la découverte d'un compte de service, il y a toujours aucune visibilité sur ses machines source et cible ou sur les applications qu'il exécute. Sans ces informations, vous ne pouvez tout simplement pas appliquer la rotation des mots de passe au compte sans risquer de casser les processus qu'il gère.

Le résultat de ces lacunes dans la MFA et la protection des comptes privilégiés est la raison pour laquelle ils sont devenus un élément clé surface d'attaque que les adversaires ciblent avec beaucoup de succès.

Silverfort Protection unifiée des identités : MFA Everywhere et détection, surveillance et protection automatisées pour les comptes de service

Silverfort a été le pionnier de la première plate-forme de protection unifiée de l'identité spécialement conçue pour étendre MFA à tout utilisateur et ressource, automatiser la découverte, la surveillance et la protection des comptes de service, et prévenir de manière proactive mouvement latéral ainsi que propagation de rançongiciels attaques. Silverfort se connecte à tous les contrôleurs de domaine et autres fournisseurs d'identité sur site (IdPs) dans l'environnement pour la surveillance continue, l'analyse des risques et l'application des politiques d'accès à chaque tentative d'authentification et d'accès effectuée par des utilisateurs, des administrateurs ou des comptes de service auprès de n'importe quel utilisateur, système et environnement.

Les équipes d'identité et de sécurité utilisent Silverfortpour mettre en œuvre facilement la couverture à 360 degrés dont leurs environnements ont besoin pour obtenir une protection contre les menaces d'identité. Avez-vous besoin d'augmenter la couverture de votre protection MFA pour tous vos utilisateurs et systèmes, ou d'obtenir une visibilité et une protection dans vos comptes de service ? Planifier un appel avec l'un de nos experts.