Repenser l'AMF
Novembre 7th, 2018 Hed Kovetz
By Hed Kovetz, PDG et co-fondateur, Silverfort
Nous rêvons tous d’un monde où nous pouvons faire confiance à tous ceux qui accèdent aux ressources de notre entreprise – mais la réalité est différente. Les adversaires tentent constamment de pirater nos systèmes et d'accéder à nos données sensibles, en utilisant nos vulnérabilités. authentification mécanismes contre nous.
Les problèmes d'authentification par mot de passe sont connus depuis des décennies. L'introduction de authentification multi-facteurs a été la première étape majeure vers le renforcement de l'authentification. Aujourd'hui, la MFA est utilisée par presque toutes les entreprises à une certaine capacité, mais elle n'est encore utilisée que pour protéger seulement une petite partie de nos actifs sensibles. Cela doit vous amener à vous demander : si le problème est bien connu et que la solution est disponible, pourquoi n'utilisons-nous pas MFA pour protéger tous les systèmes ? Pourquoi comptons-nous toujours autant sur les mots de passe ? Ceci est particulièrement alarmant étant donné que l'utilisation de mots de passe compromis dans les violations de données augmente d'année en année au lieu de diminuer.
Réaliser cela m'a poussé, avec mes co-fondateurs Matan Fattal ainsi que Yaron Kassner, commencer Silverfort. Nous nous sommes rencontrés au cours de nos années à l'unité israélienne de cyber-renseignement 8200, où nous avons occupé des postes de recherche en cybersécurité, de direction d'équipe et de direction de groupe, et avons eu l'opportunité de diriger des projets de recherche innovants et le développement de technologies de pointe. Chacun de nous a ensuite travaillé pour des entreprises leaders du secteur, jusqu'à ce qu'il y a trois ans, nous ayons à nouveau uni nos forces pour établir Silverfort.
En tant qu'innovateurs dans le domaine de l'authentification, nous avons toujours pensé que la MFA ne serait jamais vraiment efficace tant qu'elle resterait une solution ponctuelle pour protéger les actifs individuels. Notre approche est fondamentalement différente. Pour la première fois, MFA sera conçu pour protéger facilement et de manière transparente toute ressource organisationnelle, quelle qu'elle soit et où qu'elle se trouve.
Table des matières
Qui a déplacé mon périmètre ?
Comme de nombreux autres cadres de sécurité, MFA a été conçu sous la perception du périmètre - la frontière claire séparant le réseau d'entreprise "de confiance" du réseau externe "non fiable". Dans cette simple réalité, il suffisait d'appliquer l'authentification MFA à la « porte » - la passerelle VPN, et peut-être pour quelques ressources distantes. Les solutions MFA ont donc été conçues pour protéger un point d'accès spécifique, et bien que leur expérience utilisateur ait évolué au fil des ans, cette hypothèse de base n'a pas évolué.
Ces dernières années, les périmètres du réseau se dissolvent progressivement. Les révolutions informatiques telles que le cloud, l'IoT et le BYOD ne sont que quelques-unes des raisons pour lesquelles les frontières physiques du réseau d'entreprise ne sont plus pertinentes. Cette nouvelle ère remet en question les cadres de sécurité traditionnels - où dois-je placer mon gardien s'il n'y a pas de porte claire ? Où puis-je appliquer la MFA dans un environnement dynamique et hybride où d'innombrables appareils et services différents se connectent les uns aux autres ? C'est pourquoi un terminal infecté suffit à prendre le contrôle de tout un réseau en utilisant le vol d'informations d'identification et mouvement latéral, comme l'a démontré l'attaque NotPetya de 2017 et bien d'autres.
Intégrer MFA système par système – une bataille perdue d'avance
Pour mieux répondre aux besoins changeants de leurs clients, les fournisseurs de MFA ont commencé à proposer une longue liste d'intégrations, d'agents logiciels, de SDK, de proxys et d'autres outils qui activent la MFA pour davantage de systèmes. Pourtant, leur déploiement est devenu une tâche sans fin pour les équipes de sécurité. Chaque solution offrant des intégrations avec des systèmes spécifiques, les organisations sont souvent obligées de maintenir plusieurs solutions MFA afin de protéger leurs actifs critiques. Cela se traduit par des coûts élevés, un investissement continu de ressources professionnelles et une expérience utilisateur incohérente. Cela limite également le potentiel de authentification adaptative basée sur les risques, car chaque solution MFA ne surveille qu'une partie des actifs du réseau (par exemple, uniquement les applications Web), sans aucune analyse de risque consolidée prenant en compte le comportement des utilisateurs sur tous les systèmes et environnements.
Plus important encore, de nombreux types de ressources sensibles ne peuvent pas être protégés par les solutions MFA actuelles, pour plusieurs raisons :
- Dans de nombreux cas, déployer des agents logiciels ou apporter des modifications locales à certains systèmes n’est pas techniquement réalisable. C'est le cas de nombreux systèmes propriétaires et hérités, des partages de fichiers (qui sont désormais ciblés par ransomware), les appareils IoT et bien plus encore.
- Pour de nombreux actifs critiques et 3rd systèmes de parti, les modifications techniques sont refusées par les propriétaires des ressources ou interdites par les fabricants. Ceci est courant avec les serveurs critiques pour la production et les systèmes de contrôle industriels (ICS).
- Dans de nombreuses organisations, la quantité d'actifs et la nature dynamique de l'environnement rendent l'intégration actif par actif impossible, comme dans les grands réseaux d'entreprise et les environnements IaaS complexes où d'innombrables instances de VM différentes sont créées ou déplacées entre les environnements sur une base quotidienne. , ou dans les cas où les unités commerciales mettent en œuvre des systèmes dont le service informatique n'a aucune idée - un phénomène appelé « shadow IT ».
Repenser l'AMF
En regardant les défis et les limites des solutions MFA traditionnelles, il semble que la tentative de « étirer » les solutions traditionnelles Solutions MFA pour s'adapter à la réalité d'aujourd'hui a atteint ses limites et les attaquants en profitent. Il est temps de revenir à la planche à dessin et de concevoir une nouvelle génération de solutions MFA. Nous devons examiner le réseau dans son ensemble au lieu d'intégrer MFA dans chaque actif individuel. Nous avons besoin d'un moyen de fournir de manière transparente une authentification forte aux systèmes qui sont actuellement considérés comme « non protégeables » ou dont le service informatique n'a même pas connaissance. Nous avons besoin d'un moyen d'activer les politiques d'authentification unifiées, la visibilité, l'expérience utilisateur et l'analyse des risques sur tous les systèmes et environnements.
En changeant la façon dont MFA est conçu et mis en œuvre, Silverfort a ouvert un nouveau chapitre dans l'authentification d'entreprise, améliorant la capacité à confiance les utilisateurs, gérer un accès sécurisé à tous les systèmes et environnements de l'entreprise, répondre aux menaces avec une authentification avancée en temps réel et imposer véritable conscient des risques l'authentification adaptative qui ne se limite pas à des systèmes spécifiques.
Trois ans après ce voyage, le Silverfort La plate-forme d'authentification de nouvelle génération est désormais utilisée par des organisations du monde entier pour y parvenir. Nous aidons les institutions financières à activer la MFA pour leurs serveurs SWIFT, leurs applications financières héritées et divers serveurs où MFA est requis par PCI DSS, SWIFT CSP, GDPR ou les réglementations de cybersécurité NY-DFS. Nous aidons les organismes de santé à appliquer authentification basée sur les risques sur les appareils médicaux IoT, les serveurs PACS et les dossiers de santé sensibles (DSE). Nous aidons les entreprises énergétiques et manufacturières à appliquer la MFA non seulement dans leur environnement informatique, mais également dans leurs réseaux OT. Nous aidons les organisations de tous les secteurs à mettre en place des politiques d'authentification holistiques, une visibilité unifiée et une expérience utilisateur fluide sur tous les systèmes et environnements.
En cours de route, nous avons gagné le soutien d'excellents investisseurs, de partenaires de premier plan, d'experts de l'industrie et, surtout, de clients satisfaits. Mais ce n'est que le début – il est maintenant temps de passer le mot et de remodeler le marché de l'authentification.
Hed Kovetz, PDG et co-fondateur, Silverfort
Hed est CEO, il est l'un des co-fondateurs de l'entreprise. Il apporte une expérience technique et de leadership unique, y compris des rôles de direction de produit chez Verint, où il a dirigé le produit de cybersécurité à l'échelle nationale de l'entreprise et a remporté le concours d'innovation de l'entreprise pour ses inventions en instance de brevet. Hed a précédemment occupé le poste de chef de groupe au sein de la célèbre unité cybernétique d'élite 8200 des Forces de défense israéliennes, où il a reçu les prix d'excellence de l'unité et le prix du chef du corps du renseignement pour l'innovation. Hed détient un LL.B. de l'Université de Tel-Aviv.
J'ai hâte de poursuivre ce voyage et vous invite à nous rejoindre.
