Protection MFA pour les réseaux isolés

Les récentes cyberattaques lancées dans le cadre de la guerre russo-ukrainienne ont ravivé les inquiétudes quant à la sécurité des réseaux aériens, notamment en ce qui concerne la protection de l'identité. Espacement d'air est mis en œuvre pour réduire la surface d'attaque d'un réseau hautement sensible, comme ceux que l'on trouve dans les infrastructures critiques des nations, les environnements militaires et gouvernementaux et les ateliers de fabrication. Ces types de réseaux sont susceptibles d'être ciblés par des acteurs de la menace, une probabilité qui sert d'expression alternative d'hostilité tout en s'abstenant de la guerre conventionnelle. Dans cet article, nous explorons comment le Silverfort Sécurité Protection d'identité La plate-forme applique une authentification sécurisée dans des environnements isolés en permettant l'utilisation de jetons matériels FIDO2 pour MFA sans agents, modification de code ou changement d'infrastructure d'authentification. De cette façon, Silverfort fournit à ces réseaux une protection en temps réel contre mouvement latéral et la propagation automatisée des logiciels malveillants.

Qu'est-ce qu'un réseau cloisonné ?

Les réseaux isolés sont des réseaux informatiques sans interfaces connectées au monde extérieur. Il s'agit évidemment d'une mesure drastique, de sorte que l'approche n'est généralement utilisée que par des organisations très sensibles qui nécessitent des niveaux de sécurité maximaux.

Les réseaux à air isolé sont des environnements de production dans lesquels les machines qui composent l'environnement n'ont aucune connexion orientée vers l'extérieur, ni directement à Internet, ni indirectement à un réseau interne orienté vers l'extérieur. Les réseaux deviennent isolés pour réduire leur surface d'attaque et augmente leur résilience aux cyberattaques.

Certains exemples importants de réseaux isolés incluent divers acteurs de la sécurité nationale tels que la défense, les gouvernements et les organismes militaires, ainsi que des entités d'infrastructures critiques qui fournissent de l'énergie, des services d'eau et d'autres services habilitants. Les organisations de ce type s'efforcent de séparer entièrement leurs segments de réseau les plus sensibles, de sorte qu'elles sont coupées de toute connexion Internet.

Les réseaux isolés sont toujours exposés à des infiltrations malveillantes

Bien que cette approche ait du sens en théorie, dans la pratique, il existe diverses contraintes qui font de l'entrefer complet une tâche presque impossible. Ce qui se passe généralement, c'est qu'un certain degré de connectivité avec le monde extérieur est toujours maintenu, quelles que soient les intentions initiales, principalement pour des raisons opérationnelles : les opérateurs qui ont besoin de transférer des fichiers externes sur le réseau, les mises à jour logicielles, le support technique à distance sont juste un quelques exemples courants. En fin de compte, tout cela s'ajoute à une incapacité inhérente à mettre en œuvre une véritable architecture 100 % isolée. Le Logiciel malveillant Stuxnet, qui a été initialement introduit dans les réseaux isolés à l'aide de lecteurs amovibles infectés tels que les clés USB, devrait être un rappel constant que l'accès initial à un réseau isolé reste possible.

Mouvement latéral dans les réseaux à espacement aérien

Une fois que les attaquants ont établi un pied initial dans le réseau isolé, ils peuvent effectuer un mouvement latéral, en utilisant des mots de passe et des informations d'identification volés pour étendre leur présence et augmenter l'impact de l'attaque. En 2017, la tristement célèbre attaque NotPetya a effectué un tel mouvement latéral dans les réseaux informatiques standard ainsi que dans les réseaux OT isolés.

Ainsi, l'espacement d'air à lui seul ne peut garantir la protection à toute épreuve que son nom implique. C'était peut-être possible par le passé, mais dans l'environnement informatique hyperconnecté d'aujourd'hui, c'est tout simplement impossible. Cela nécessite une réévaluation de la meilleure façon de protéger ces réseaux, à la fois contre les accès malveillants initiaux, ainsi que contre les mouvements latéraux dans une phase post-compromis.

Quelles contraintes font de la protection du réseau cloisonné est un défi ?

Les réseaux isolés ne peuvent pas être facilement protégés avec des solutions de sécurité standard.

Tout d'abord, toute solution reposant sur la connectivité cloud ou la connectivité Internet ne peut pas être utilisée.

Deuxièmement, une caractéristique principale des réseaux isolés est leur engagement envers la stabilité opérationnelle 24x7x365. Par exemple, cela signifie qu'il est impossible de les redémarrer après l'installation d'un logiciel ou l'application d'un correctif. Dans de nombreux cas, ces réseaux utilisent également d'autres systèmes propriétaires soumis à des conditions de garantie fournisseur strictes qui ne permettent pas l'installation de logiciels tiers sur les serveurs. En outre, vous pouvez souvent trouver des systèmes hérités qui sont toujours actifs dans ces réseaux, même si le support du fabricant n'existe plus. Cela exclut tout type de solution basée sur des agents.

Et troisièmement, la nature de ces réseaux augmente leur sensibilité aux perturbations opérationnelles causées par des faux positifs ou la rupture de processus critiques tout en bloquant les activités malveillantes. Toutes ces considérations réduisent considérablement la portée des produits de sécurité optionnels pouvant être utilisés dans les réseaux isolés.

Exigences pour l'authentification multifacteur dans les réseaux isolés

Surmonter les contraintes de sécurité intégrées

Authentification multifacteur (MFA) est la solution ultime contre les attaques qui utilisent des informations d'identification compromises pour accéder à des ressources ciblées telles que les prises de contrôle de compte et les mouvements latéraux. Cependant, pour être efficace dans un réseau isolé, une solution MFA doit répondre à plusieurs critères, selon les contraintes que nous avons décrites ci-dessus :

• Est capable de fonctionner pleinement sans dépendre de la connectivité Internet
• Ne nécessite pas le déploiement d'agents sur les machines qu'il protège
• Crée un minimum de perturbations et ne met pas en danger la stabilité et la disponibilité des systèmes et processus sensibles

Prise en charge des jetons matériels

En outre, la pratique courante dans les réseaux isolés consiste à utiliser des jetons de sécurité matériels physiques à la place des appareils mobiles standard qui nécessitent une connectivité Internet. Cette considération ajoute une autre exigence :

• Pouvoir utiliser un jeton matériel pour fournir le deuxième facteur d'authentification.

FIDO2 est la norme préférée pour les jetons matériels et est considérée résistant aux attaques de phishing avancées et traditionnelles.

Cependant, les jetons FIDO2 ne peuvent être utilisés qu'avec webauthN or U2F protocoles d'authentification. Si les systèmes du réseau isolé n'étaient pas initialement conçus pour fonctionner avec ces protocoles, il serait extrêmement difficile d'effectuer la modification requise (voir ci-dessus sur la disponibilité 24/7/365). En conséquence, la dernière exigence n'est pas facilement satisfaite, laissant de nombreux réseaux isolés exposés aux attaques.

Silverfort Authentification sécurisée pour les réseaux isolés

Notre mission à Silverfort est d'étendre l'authentification sécurisée à tous les utilisateurs, interfaces d'accès et ressources. Nous avons réussi à appliquer la protection MFA à des ressources qui n'auraient jamais pu être protégées de cette manière auparavant, telles que l'infrastructure informatique, les partages de fichiers, les bases de données, l'IIOT et même les systèmes OT comme les IHM et les serveurs de production.

S'alignant sur cette vision, Silverfort fournit également une protection MFA sans agent pour les réseaux isolés, permettant l'utilisation de jetons matériels FIDO2 sans aucun changement de code sur les systèmes protégés :

1. A Adresse  Mode de déploiement Agnostique à Connectivité Internet: Silverfort offre un mode de déploiement complet sur site. Dans ce mode, Silverfort est déployé en tant qu'appliance virtuelle sur site, avec toutes les fonctionnalités disponibles. Notez que Silverfort propose également une option de déploiement SaaS et une option de déploiement hybride sur site-SaaS.
2. Architecture sans agent comprenant Aucun changement de code requis: L'architecture innovante unique permet aux organisations d'étendre l'authentification multifacteur à n'importe quel système ou ressource, sans installation d'agents sur les machines protégées, et sans nécessiter de personnalisation de code ni de modification des protocoles d'authentification.
3. Jetons matériels conformes FIDO2: Silverfort permet aux organisations de choisir leur authentificateur dans les environnements isolés, y compris tous les jetons matériels FIDO2.

L'implémentation la plus populaire au sein de l'écosystème de nos clients est notre intégration avec les jetons YubiKey. Cette intégration transparente comble le fossé entre les jetons FIDO2 modernes et votre infrastructure d'authentification existante pour fournir protection MFA complète au réseau isolé.

Conclusion

L'espace d'air est une stratégie de sécurité solide, mais il faut reconnaître à la fois ses lacunes et ses implications sur les produits de sécurité que vous pouvez utiliser. SilverfortLe MFA de vous permet d'appliquer une authentification sécurisée et de valider l'identité des utilisateurs dans les réseaux isolés, garantissant ainsi qu'ils sont protégés contre attaques basées sur l'identité.